Geolokace odesílatele a DMARC: znamená pošta z jiné země podvržení?

Když vidíte, že se e-maily z vaší domény zdánlivě odesílají ze zemí, ve kterých jste nikdy nepůsobili, patří to mezi nejčastější spouštěče obav z podvržení. Téměř ve všech případech jde o planý poplach. Tyto IP adresy obvykle patří odesílací infrastruktuře vašich e-mailových poskytovatelů, která běží v datových centrech po celém světě, nikoli útočníkovi. Skutečným znakem podvržení není zahraniční lokalita sama o sobě, ale zdroj, který nepoznáváte a který odesílá poštu nesoucí vaši doménu a neprojde kontrolou DMARC, často z místa, kde nemáte žádné zastoupení.

Co najdete v tomto průvodci

• Jak zjistíte, odkud se vaše e-maily odesílají?
• Proč vaše zprávy DMARC ukazují IP adresy, které lze vystopovat do tolika různých zemí?
• Co geolokace odesílatele měří
• Znamená pošta z jiné země, že jste obětí podvržení?
• Jaký je skutečný znak podvržení ve vašich zprávách?
• Jak vyhodnotíte neznámou odesílací lokalitu?
• Jak DMARCeye mapuje vaše odesílací lokality

Jak zjistíte, odkud se vaše e-maily odesílají?

Stručná odpověď: pomocí reportingu DMARC. Jakmile zveřejníte DMARC záznam s adresou pro reporting, poskytovatelé poštovních schránek jako Google, Microsoft a Yahoo vám zasílají denní souhrnné zprávy. Každá zpráva uvádí každý zdroj, který použil vaši doménu, IP adresu, ze které odesílal, a zda prošel ověřením.

Tyto zprávy uvádějí IP adresy, nikoli místa. Jakoukoli jednotlivou IP adresu můžete vložit do nástroje pro geolokaci a zjistit zemi, ve které je registrována. Tak začíná mnoho obav z podvržení: někdo vytáhne ze zprávy jednu adresu, zkontroluje ji a najde ji v zemi, ve které nemá žádné zastoupení. Provádět to ručně u každé odesílací IP adresy je nepraktické, takže nejlepší způsob je použít platformu pro monitorování DMARC (například DMARCeye), která je všechny geolokuje a zanese na mapu.

Proč vaše zprávy DMARC ukazují IP adresy, které lze vystopovat do tolika různých zemí?

Téměř žádná firma už neodesílá vlastní e-maily přímo. Vaše pošta odchází přes poskytovatele: marketingovou platformu, CRM, helpdesk, Google Workspace nebo Microsoft 365, platební bránu. Každý poskytovatel provozuje servery v datových centrech po celém světě a lokalita, kterou vidíte, patří tomu serveru, který vaši zprávu zpracoval.

Souhrnné zprávy DMARC uvádějí každý zdroj, který odeslal poštu s použitím vaší domény, spolu s IP adresou, kterou každý z nich použil. Když služba jako DMARCeye tyto IP adresy zanese na mapu, jedno odeslání newsletteru se může zobrazit najednou ze tří nebo čtyř zemí. Tento rozptyl je podobou moderního e-mailu, kde za vás odesílá hrstka služeb z infrastruktury napříč kontinenty.

Z platformy DMARCeye.

Co geolokace odesílatele měří

Geolokace mění IP adresu na místo tak, že zjistí, která síť ji vlastní. Regionální internetové registry přidělují bloky IP adres poskytovatelům internetu, hostingovým firmám a cloudovým platformám a geolokační databáze zaznamenávají, kde je každý blok registrován a používán. Lokalita připojená k odesílací IP adrese tedy popisuje infrastrukturu, která ji vlastní, nikoli člověka píšícího na klávesnici.

Toto vyhledání je odhad a přesnost rychle klesá pod úrovní země. Země je spolehlivá, region nebo kraj mnohem méně a město je často chybné. Cloudový poskytovatel, VPN nebo síť pro doručování obsahu může umístit IP adresu stovky kilometrů od kohokoli skutečného. Společnost MaxMind, která dodává velkou část geolokačních dat v oboru, otevřeně mluví o těchto omezeních ve svých vlastních pokynech k přesnosti. Odesílací lokalitu berte jako hrubý signál, nikoli jako fakt.

Znamená pošta z jiné země, že jste obětí podvržení?

Zahraniční IP adresa sama o sobě neznamená, že jste obětí podvržení. Je to nejčastější důvod, proč lidé předpokládají, že jim někdo unesl doménu, a přitom sama o sobě nic neprokazuje ani v jednom směru. Pokud váš poskytovatel e-mailových služeb odesílá z datového centra v Německu nebo ve Virginii, vaše pošta se geolokuje do Německa nebo do Virginie, a nic není v nepořádku.

Toto je jiná otázka než to, jak se přijetí DMARC liší napříč regiony, což je vzorec v širších datech, nikoli signál o vaší vlastní doméně. Pokud vás tento makro pohled zajímá, věnovali jsme se mu v článcích o regionálních rozdílech ve shodě s DMARC a o politice DMARC podle národní TLD. Pro vyhodnocování vašich vlastních zpráv má lokalita význam až ve chvíli, kdy ji čtete společně s výsledkem ověření, nikoli předtím.

Jaký je skutečný znak podvržení ve vašich zprávách?

Skutečným znakem je zdroj, který dělá dvě věci najednou: odesílá poštu nesoucí vaši doménu a tato pošta neprojde kontrolou DMARC. DMARC kontroluje, zda zpráva projde mechanismem SPF nebo DKIM a zda se výsledek shoduje s doménou ve viditelné adrese odesílatele. Odesílatelé, které jste nastavili, touto kontrolou projdou. Útočník, který podvrhuje vaši doménu z vlastního serveru, obvykle neprojde, protože nemá kontrolu nad vaším SPF záznamem ani vašimi DKIM klíči.

Lokalita se stává užitečnou, jakmile začnete od výsledku ověření. Selhávající zdroj v zemi, ve které nemáte žádné poskytovatele a žádné aktivity, je silnější stopou než selhávající zdroj kousek od vás. Selhání přichází jako první a mapa ho zostřuje.

Jak vyhodnotíte neznámou odesílací lokalitu?

Začněte ověřením, nikoli geografií. Když vám padne do oka neznámá lokalita, projděte ji v tomto pořadí:

1. Zkontrolujte, zda tento zdroj prochází nebo neprochází kontrolou DMARC. Pokud prochází, jde téměř jistě o jednoho z vašich poskytovatelů a tady můžete skončit.
2. Pokud neprochází, identifikujte odesílací službu. Mnoho selhávajících zdrojů jsou vaše vlastní nástroje, které ještě nejsou plně ověřené, nikoli útočníci.
3. Porovnejte lokalitu s tím, kde působíte a přes koho odesíláte. Selhávající zdroj v regionu, ke kterému nemáte žádný vztah, si zaslouží bližší pohled.
4. Sledujte objem a trend. Náhlý nárůst selhávající pošty z nerozpoznaného zdroje je jasnější varování než hrstka zpráv.

Jak DMARCeye mapuje vaše odesílací lokality

DMARCeye zanáší každou odesílací IP adresu zdroje do shlukové mapy (zobrazené výše), takže velký odesílatel zůstává přehledný, a umožňuje vám otevřít kteroukoli jednotlivou IP adresu a vidět její lokalitu vedle výsledku jejího ověření. Hodnota je v tomto propojení: lokalita stojí vedle toho, zda daný zdroj prochází nebo neprochází kontrolou DMARC, takže dokážete odlišit běžnou globální infrastrukturu od zdroje, který si zaslouží druhý pohled.

Z platformy DMARCeye. Zobrazené IP adresy jsou příklady, nikoli skutečné adresy.

Protože výsledek ověření a lokalita sdílejí jeden pohled, strávíte méně času hádáním a více času u jednoho nebo dvou zdrojů, které si zaslouží pozornost.

Geolokace odesílatele je kontext, který zostřuje výsledek ověření, nikoli verdikt sám o sobě. Pošta z mnoha zemí je normální, protože vaši poskytovatelé za vás odesílají z infrastruktury po celém světě. Šum od skutečné hrozby odděluje právě kombinace: neznámý zdroj, který odesílá pod vaší doménou a neprochází kontrolou DMARC, z lokality, kde nemáte žádné zastoupení. To, že lokalitu a výsledek ověření vidíte v jednom pohledu, je důvod, proč tato kombinace vystoupí do popředí, a to je smyslem mapování vašich odesílacích lokalit. DMARCeye staví obojí vedle sebe, takže skutečný pokus o napodobení je snadné odhalit.