Jak zabránit útokům na e-mailové podvrhy a phishingovým útokům pomocí DMARC

E-mail je jedním z nejdůležitějších nástrojů pro obchodní komunikaci, ale také jedním z nejsnáze zneužitelných. Útočníci používají podvržené e-maily a phishingové kampaně, aby se vydávali za důvěryhodné odesílatele, kradli přihlašovací údaje a šířili malware.

Podvržené e-maily mohou vypadat k nerozeznání od pravých, což vede k finančním ztrátám a poškození pověsti. Dobrá zpráva? Pomocí DMARC můžete tyto útoky zastavit u zdroje.

Co je podvržený e-mail?

Podvržení e-mailu je podvržení adresy "Od" e-mailu tak, aby vypadal, že byl odeslán od někoho jiného, často od legitimní firmy nebo kolegy. Ke spoofingu může dojít u firem v jakémkoli odvětví.

Útočníci to dělají proto, aby:

• vylákat od uživatelů citlivé údaje (přihlašovací údaje, platební informace atd.).
• doručovat škodlivé přílohy nebo odkazy
• Provádět podvody typu BEC.

Bez řádného ověření nemají e-mailové servery možnost zjistit, zda je adresa "Od" skutečná, nebo podvržená.

Co je DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) je otevřený standard, který zabraňuje neoprávněným odesílatelům používat vaši doménu.

Vychází ze dvou stávajících metod ověřování:

• SPF (Sender Policy Framework) - ověřuje, zda je IP adresa odesílatele oprávněna odesílat jménem vaší domény.
• DKIM (DomainKeys Identified Mail) - Používá kryptografické podpisy k potvrzení integrity a pravosti zpráv.

DMARC funguje jakovrstva zásad nad těmito mechanismy. Říká přijímajícím serverům, co mají dělat, pokud e-mailneprojde kontrolou SPF nebo DKIM, a poskytuje zprávy, abyste mohli zjistit, kdo odesílá poštu pomocí vaší domény.

Jak DMARC funguje (krok za krokem)

1. Ověřování SPF a DKIM
   Když přijde e-mail, poštovní server příjemce zkontroluje, zda je IP adresa odesílatele uvedena v záznamu SPF domény a zda podpis DKIM odpovídá platnému klíči zveřejněnému v DNS.
   
   
2. Kontrola vyrovnání
   DMARC ověřuje "zarovnání", což znamená, že doména v hlavičce From: e-mailu odpovídá (nebo se shoduje) s doménou ověřenou pomocí SPF nebo DKIM. Tím se útočníkům zabrání v tom, aby prošli protokolem SPF nebo DKIM pomocí nesouvisejících domén.
   
   
3. Aplikace zásad
   Na základězásad DMARC(p=none, p=quarantine nebo p=reject) se přijímající server rozhodne, zda e-mail doručí, zařadí do složky spamu nebo odmítne.
   
   
4. Hlášení a viditelnost
   DMARC poskytuje dva typy hlášení:

• 1. RUA (souhrnné zprávy): Souhrnné denní reporty zobrazující, které IP adresy odesílají poštu pro vaši doménu.
  2. RUF (forenzní reporty): Podrobné kopie jednotlivých neúspěšných zpráv pro hlubší zkoumání.

Tyto reporty jsou zasílány na adresy, které jste zadali v záznamu DMARC, a lze je analyzovat pomocí vizualizačních nástrojů.

Proč SPF a DKIM nestačí

Protokoly SPF a DKIM jsou nezbytné, ale samy o sobě nechrání před přímým podvržením domény.

Například:

• SPF kontroluje pouze odesílatele obálky (Return-Path:), nikoli viditelnou hlavičku From:.
• DKIM dokáže ověřit obsah zprávy, ale útočníci přesto mohou v poli "From" použít jinou doménu.

DMARC tuto mezeru odstraňuje tím, že vynucujezarovnání domény a zajišťuje, že doména, kterou vaši zákazníci vidí, je stejná jako ta, kterou ověřuje SPF nebo DKIM.

Jak implementovat DMARC (průvodce krok za krokem)

Implementace DMARC nevyžaduje nový hardware ani software, pouze přístup k DNS, plánování a několik týdnů pozorování. Níže je uveden konkrétní a spolehlivý plán.

Krok 1: Inventarizace všech legitimních e-mailových zdrojů

Než začnete cokoli zveřejňovat, vytvořte kompletní seznam všech služeb, které odesílají poštu pomocí vaší domény. Obvykle sem patří např:

• váš primární poštovní server (např. Microsoft 365, Google Workspace).
• Transakční odesílatelé (např. SendGrid, Amazon SES).
• Marketingové platformy (např. HubSpot, Mailchimp).
• Helpdesk/ticketingové systémy (např. Zendesk)
• Nástroje pro fakturaci nebo ERP, které zasílají faktury

Tip: Vyhledejte v protokolech nebo zprávách DMARC všechny adresy "From" pod vaší doménou, abyste zachytili skryté nebo zapomenuté zdroje.

Krok 2: Konfigurace SPF a DKIM pro každého odesílatele

DMARC závisí na správné konfiguraci SPF a DKIM.

Pro SPF:

• Google Workspace: include:_spf.google.com
  
• Microsoft 365: include:spf.protection.outlook.com
  
• Mailchimp: include:servers.mcsv.net

Spojte je do jednoho záznamu SPF (pokud je to možné):

V=spf1 include:_spf.google.com include:servers.mcsv.net -all

Pro DKIM:

Publikujteveřejný klíč DKIMv DNS - obvykle na subdoméně, např:

google._domainkey.yourdomain.com

Krok 3: Zveřejnění základního záznamu DMARC

Jakmile budou protokoly SPF a DKIM fungovat, přidejte počáteční záznam DMARC:

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com; fo=1

Tento záznam:

• Aktivuje DMARC v režimu "monitor" (zatím bez vynucení).
• Odesílá souhrnné (RUA) a forenzní (RUF) zprávy na uvedené adresy.
• Používá fo=1 k vyžádání forenzních zpráv pro každé selhání

Zveřejní jakozáznam TXTna adrese:
_dmarc.yourdomain.com

Krok 4: Sledování a analýza zpráv

Během několika následujících týdnů začnete dostávat zprávy DMARC založené na XML z poštovních serverů po celém světě.

Mezi ně patří:

• zdrojové IP adresy
• Odesílající domény
• výsledky vyhověl/nevyhověl pro SPF a DKIM
• počty zpráv na odesílatele

Tyto zprávy můžete zpracovávat ručně nebo (realističtěji) prostřednictvím nástroje pro vytváření zpráv DMARC, který vizualizuje odesílatele, objemy a výsledky ověřování.

Cíl: Identifikovatvšechny legitimní zdroje, opravit případné chybné konfigurace a označit neznámé odesílatele (pravděpodobně spoofery nebo chybně nakonfigurované dodavatele).

Krok 5: Postupné zpřísňování zásad

Jakmile budete mít jistotu, že jsou všechny legitimní e-mailové toky ověřeny a sladěny, začněte postupně prosazovat zásady:

Přesunout do karantény

v=DMARC1; p=karanténa; pct=25; rua=mailto:dmarc-reports@yourdomain.com

• Do karantény se dostane 25 % neúspěšných zpráv (odeslaných do spamu).
• Umožňuje bezpečně sledovat dopad
• Postupně zvyšujte pct na 100 %, jakmile bude stabilní.

Přesunout do režimu Odmítnout

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com

• Plně blokuje neověřené e-maily
• Poskytuje maximální ochranu proti spoofingu

Krok 6: Udržování a rozšiřování

DMARC není "nastav a zapomeň". Je třeba:

• pravidelně kontrolovat zprávy, abyste odhalili nové neautorizované zdroje.
• Přidávat nové dodavatele do SPF/DKIM podle toho, jak se vyvíjí vaše infrastruktura.
• Použít DMARC na subdomény, pokud také odesílají poštu (admissions.yourdomain.com, news.yourdomain.com atd.).
• Zvažte přidání záznamu BIMI pro zobrazení loga vaší značky ve schránkách - k dispozici pouze s vynuceným DMARC.

Zde je příklad časové osy implementace DMARC

Tipy pro řešení problémů

• Problém: Legitimní e-maily se po vynucení přesunou do spamu
  → Zkontrolujte zarovnání DKIM a SPF pro daného odesílatele.
• Problém: Příliš dlouhý záznam SPF (>255 znaků)
  → Použijte subdomény nebo nástroje třetích stran pro zploštění.
• Problém: Chybějící zprávy DMARC
  → Ověřte, zdavaše poštovní schránka rua může přijímat přílohy XML.

DMARC chrání před phishingem

Phishing je založen na důvěře. Útočníci se vydávají za známé značky nebo kolegy, aby oběti přiměli kliknout na škodlivé odkazy nebo sdílet informace.

DMARC tento útok založený na důvěře podkopává tím, že zabraňuje tomu, aby se neověřené e-maily vůbec dostaly do schránky. Pokud se kyberzločinec pokusí odeslat poštu z adresy "support@yourdomain.com", ale není autorizován, je takový e-mail odmítnut dříve, než se zobrazí.

Pro zákazníky, partnery a zaměstnance tak vzniká viditelná hranice mezi legitimní komunikací a podvodem.

Nad rámec DMARC: Posílení zabezpečení e-mailu

DMARC je důležitým krokem, ale ne úplným řešením. Chcete-li vytvořit komplexní ochranu:

• Použijte BIMI (Brand Indicators for Message Identification) k zobrazení ověřených log značek v doručených zprávách.
• Kombinujte DMARC s DNSSEC pro ověření DNS odolné proti neoprávněné manipulaci.
• Vzdělávejte zaměstnance v oblasti sociálního inženýrství a povědomí o phishingu.

Společně vytvářejí vrstvenou obranu, která kombinuje technické a lidské bezpečnostní kontroly.

Jak DMARCeye zjednodušuje implementaci a monitorování DMARC

Ruční implementace DMARC je možná, ale interpretace dat, udržování záznamů v souladu s různými službami a udržování vynucování s vývojem infrastruktury se může rychle stát složitým.

DMARCeye je platforma pro viditelnost a reportování na bázi umělé inteligence, která je navržena tak, aby správa DMARC byla jednoduchá, transparentní a použitelná. Převádí nezpracované reporty XML na přehledné, lidsky čitelné řídicí panely, takže můžete:

• okamžitě zjistit, kteří odesílatelé jsou autorizovaní a kteří ne
• sledovat stav zarovnání SPF, DKIM a DMARC ve všech doménách
• identifikovat a blokovat pokusy o podvržení v reálném čase
• s jistotou přejít od monitorování k plnému prosazování
• Zachovejte doručitelnost a zároveň zabezpečte pověst své značky

Díky řízenému nastavení, automatické analýze a průběžnému monitorování poskytuje DMARCeye organizacím všech velikostí kontrolu a přehlednost potřebnou k ochraně jejich domény před podvrženými e-maily a phishingovými hrozbami, aniž by musely mít hluboké odborné znalosti v oblasti DNS.

Získejte bezplatnou zkušební verzi DMARCeye ještě dnes a začněte chránit svou e-mailovou doménu.