Když vidíte, že se e-maily z vaší domény zdánlivě odesílají ze zemí, ve kterých jste nikdy nepůsobili, patří to mezi nejčastější spouštěče obav z podvržení. Téměř ve všech případech jde o planý poplach. Tyto IP adresy obvykle patří odesílací infrastruktuře vašich e-mailových poskytovatelů, která běží v datových centrech po celém světě, nikoli útočníkovi. Skutečným znakem podvržení není zahraniční lokalita sama o sobě, ale zdroj, který nepoznáváte a který odesílá poštu nesoucí vaši doménu a neprojde kontrolou DMARC, často z místa, kde nemáte žádné zastoupení.
Stručná odpověď: pomocí reportingu DMARC. Jakmile zveřejníte DMARC záznam s adresou pro reporting, poskytovatelé poštovních schránek jako Google, Microsoft a Yahoo vám zasílají denní souhrnné zprávy. Každá zpráva uvádí každý zdroj, který použil vaši doménu, IP adresu, ze které odesílal, a zda prošel ověřením.
Tyto zprávy uvádějí IP adresy, nikoli místa. Jakoukoli jednotlivou IP adresu můžete vložit do nástroje pro geolokaci a zjistit zemi, ve které je registrována. Tak začíná mnoho obav z podvržení: někdo vytáhne ze zprávy jednu adresu, zkontroluje ji a najde ji v zemi, ve které nemá žádné zastoupení. Provádět to ručně u každé odesílací IP adresy je nepraktické, takže nejlepší způsob je použít platformu pro monitorování DMARC (například DMARCeye), která je všechny geolokuje a zanese na mapu.
Téměř žádná firma už neodesílá vlastní e-maily přímo. Vaše pošta odchází přes poskytovatele: marketingovou platformu, CRM, helpdesk, Google Workspace nebo Microsoft 365, platební bránu. Každý poskytovatel provozuje servery v datových centrech po celém světě a lokalita, kterou vidíte, patří tomu serveru, který vaši zprávu zpracoval.
Souhrnné zprávy DMARC uvádějí každý zdroj, který odeslal poštu s použitím vaší domény, spolu s IP adresou, kterou každý z nich použil. Když služba jako DMARCeye tyto IP adresy zanese na mapu, jedno odeslání newsletteru se může zobrazit najednou ze tří nebo čtyř zemí. Tento rozptyl je podobou moderního e-mailu, kde za vás odesílá hrstka služeb z infrastruktury napříč kontinenty.
Z platformy DMARCeye.
Geolokace mění IP adresu na místo tak, že zjistí, která síť ji vlastní. Regionální internetové registry přidělují bloky IP adres poskytovatelům internetu, hostingovým firmám a cloudovým platformám a geolokační databáze zaznamenávají, kde je každý blok registrován a používán. Lokalita připojená k odesílací IP adrese tedy popisuje infrastrukturu, která ji vlastní, nikoli člověka píšícího na klávesnici.
Toto vyhledání je odhad a přesnost rychle klesá pod úrovní země. Země je spolehlivá, region nebo kraj mnohem méně a město je často chybné. Cloudový poskytovatel, VPN nebo síť pro doručování obsahu může umístit IP adresu stovky kilometrů od kohokoli skutečného. Společnost MaxMind, která dodává velkou část geolokačních dat v oboru, otevřeně mluví o těchto omezeních ve svých vlastních pokynech k přesnosti. Odesílací lokalitu berte jako hrubý signál, nikoli jako fakt.
Zahraniční IP adresa sama o sobě neznamená, že jste obětí podvržení. Je to nejčastější důvod, proč lidé předpokládají, že jim někdo unesl doménu, a přitom sama o sobě nic neprokazuje ani v jednom směru. Pokud váš poskytovatel e-mailových služeb odesílá z datového centra v Německu nebo ve Virginii, vaše pošta se geolokuje do Německa nebo do Virginie, a nic není v nepořádku.
Toto je jiná otázka než to, jak se přijetí DMARC liší napříč regiony, což je vzorec v širších datech, nikoli signál o vaší vlastní doméně. Pokud vás tento makro pohled zajímá, věnovali jsme se mu v článcích o regionálních rozdílech ve shodě s DMARC a o politice DMARC podle národní TLD. Pro vyhodnocování vašich vlastních zpráv má lokalita význam až ve chvíli, kdy ji čtete společně s výsledkem ověření, nikoli předtím.
Skutečným znakem je zdroj, který dělá dvě věci najednou: odesílá poštu nesoucí vaši doménu a tato pošta neprojde kontrolou DMARC. DMARC kontroluje, zda zpráva projde mechanismem SPF nebo DKIM a zda se výsledek shoduje s doménou ve viditelné adrese odesílatele. Odesílatelé, které jste nastavili, touto kontrolou projdou. Útočník, který podvrhuje vaši doménu z vlastního serveru, obvykle neprojde, protože nemá kontrolu nad vaším SPF záznamem ani vašimi DKIM klíči.
Lokalita se stává užitečnou, jakmile začnete od výsledku ověření. Selhávající zdroj v zemi, ve které nemáte žádné poskytovatele a žádné aktivity, je silnější stopou než selhávající zdroj kousek od vás. Selhání přichází jako první a mapa ho zostřuje.
Začněte ověřením, nikoli geografií. Když vám padne do oka neznámá lokalita, projděte ji v tomto pořadí:
DMARCeye zanáší každou odesílací IP adresu zdroje do shlukové mapy (zobrazené výše), takže velký odesílatel zůstává přehledný, a umožňuje vám otevřít kteroukoli jednotlivou IP adresu a vidět její lokalitu vedle výsledku jejího ověření. Hodnota je v tomto propojení: lokalita stojí vedle toho, zda daný zdroj prochází nebo neprochází kontrolou DMARC, takže dokážete odlišit běžnou globální infrastrukturu od zdroje, který si zaslouží druhý pohled.
Z platformy DMARCeye. Zobrazené IP adresy jsou příklady, nikoli skutečné adresy.
Protože výsledek ověření a lokalita sdílejí jeden pohled, strávíte méně času hádáním a více času u jednoho nebo dvou zdrojů, které si zaslouží pozornost.
Geolokace odesílatele je kontext, který zostřuje výsledek ověření, nikoli verdikt sám o sobě. Pošta z mnoha zemí je normální, protože vaši poskytovatelé za vás odesílají z infrastruktury po celém světě. Šum od skutečné hrozby odděluje právě kombinace: neznámý zdroj, který odesílá pod vaší doménou a neprochází kontrolou DMARC, z lokality, kde nemáte žádné zastoupení. To, že lokalitu a výsledek ověření vidíte v jednom pohledu, je důvod, proč tato kombinace vystoupí do popředí, a to je smyslem mapování vašich odesílacích lokalit. DMARCeye staví obojí vedle sebe, takže skutečný pokus o napodobení je snadné odhalit.