Polityka DMARC nie jest włączona? Jak to zrobić w 5 prostych krokach

Jeśli Twoja domena nadal nie ma włączonej polityki DMARC, pozostawiasz swój system pocztowy bez ochrony przed jedną z najczęstszych form cyberprzestępczości: spoofingiem.

Polityka DMARC mówi serwerom odbierającym pocztę, co mają robić, gdy wiadomości nie przejdą pomyślnie kontroli uwierzytelniania. Bez niej Twoja domena może być wykorzystywana przez spamerów i phisherów, a Ty nawet nie będziesz wiedział, że tak się dzieje.

Konfiguracja DMARC jest prostsza niż się wydaje, ale musisz mieć dostęp do DNS (systemu nazw domen) swojej organizacji. Jeśli go nie masz, poproś o pomoc swoich programistów.

Gdy rekordy SPF i DKIM będą działać, możesz opublikować i rozpocząć korzystanie z DMARC w zaledwie kilku krokach.

Czym jest polityka DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) jest standardem uwierzytelniania poczty elektronicznej, który opiera się na SPF i DKIM.

Kiedy wysyłasz wiadomość e-mail, dostawcy skrzynek pocztowych sprawdzają:

• Czy serwer wysyłający jest autoryzowany przez Twój rekord SPF.
• Czy wiadomość e-mail ma prawidłowy podpis DKIM.
• Czy domeny używane w SPF i DKIM są zgodne z widocznym adresem From.

Polityka DMARC mówi serwerowi odbierającemu, co ma zrobić, jeśli te kontrole zakończą się niepowodzeniem.

Możesz wybrać:

• Monitorować: Nie podejmuj żadnych działań, po prostu zbieraj raporty.
• Kwarantanna: Wysyłanie podejrzanych wiadomości do spamu.
• Odrzuć: Całkowicie blokuj nieautoryzowane wiadomości.

Dlaczego nadawcy masowych wiadomości e-mail muszą włączyć DMARC?

Włączenie DMARC chroni Twoją markę, poprawia dostarczalność i pomaga zrozumieć, w jaki sposób Twoja domena jest używana.

Oto, co się dzieje, gdy nie masz wdrożonej polityki:

• Atakujący mogą podszywać się pod Twoją domenę w wiadomościach phishingowych.
• Dostawcy skrzynek pocztowych nie ufają Twoim wiadomościom, co obniża ich dostarczalność.
• Brakuje Ci wglądu w to, kto wysyła pocztę w Twoim imieniu.

Po włączeniu DMARC przejmujesz kontrolę. Każdego dnia będziesz otrzymywać raporty pokazujące, które serwery wysyłają wiadomości z Twojej domeny i czy przechodzą one uwierzytelnianie.

Aby uzyskać pełny przegląd i mapę drogową wdrażania DMARC, od konfiguracji do bieżącego monitorowania i nie tylko, zobacz nasz przewodnik monitorowania i zgodności DMARC.

Oto proste kroki do włączenia DMARC.

Uwaga: Aby to zrobić, będziesz potrzebował dostępu do swojego DNS. Jeśli go nie masz, porozmawiaj z programistami w swoich organizacjach, którzy go mają.

Krok 1: Sprawdź SPF i DKIM

Przed włączeniem DMARC, upewnij się, że SPF i DKIM są poprawnie skonfigurowane.

SPF

Opublikuj rekord SPF w DNS swojej domeny, który zawiera wszystkie usługi dozwolone do wysyłania wiadomości e-mail dla Twojej domeny. Przykład:

DKIM

Większość dostawców poczty e-mail umożliwia wygenerowanie klucza DKIM. Musisz dodać go do DNS jako rekord TXT pod nazwą selektora. Przykład:

Krok 2: Utwórz rekord DMARC

Rekord DMARC jest prostym wpisem TXT w DNS. Zacznij od konfiguracji tylko monitorującej (tj. polityki "brak"), abyś mógł zebrać dane przed podjęciem działań.

Przykład:

• v=DMARC1: Znacznik wersji.
• p=none: Typ polityki. "None" oznacza tylko monitor.
• rua: Miejsce wysyłania raportów zbiorczych.
• aspf/adkim: Tryby wyrównania. "r" oznacza "relaxed", "s" oznacza "strict".

Po dodaniu tego do DNS, domena zacznie wysyłać raporty DMARC.

Krok 3: Przejrzyj raporty

Dostawcy skrzynek pocztowych wysyłają pliki XML zwane raportami zbiorczymi na adres podany w rekordzie.

Raporty te obejmują:

• IP i domeny wysyłające w Twoim imieniu.
• Wyniki pozytywnego/negatywnego uwierzytelnienia.
• Liczby wiadomości według źródła.

Dane można odczytać za pomocą przeglądarki raportów DMARC lub zautomatyzowanego narzędzia. Celem jest zidentyfikowanie legalnych nadawców, którzy nie spełniają SPF lub DKIM, tak aby można było ich naprawić przed przejściem do egzekwowania.

Krok 4: Przejście do egzekwowania

Po dwóch lub trzech tygodniach monitorowania powinieneś mieć jasny obraz swoich źródeł wiadomości e-mail.

Po naprawieniu wszystkich legalnych nadawców, którzy nie przeszli uwierzytelnienia, nadszedł czas, aby przejśćz p=none do p=kwarantanny:

Spowoduje to wysłanie nieprzypisanych lub nieuwierzytelnionych wiadomości do spamu zamiast ich całkowitego odrzucenia. Jeśli raporty pozostaną czyste przez kilka tygodni, wykonaj ostatni krok do pełnej ochrony:

Krok 5: Utrzymanie i monitorowanie

DMARC nie jest czymś, co ustawia się raz i zapomina. Należy regularnie przeglądać raporty, aby wychwycić nowych nadawców lub zmiany w konfiguracji.

Dobrym pomysłem jest również

• Rotować klucze DKIM co 6-12 miesięcy.
• Przeglądać rekordy SPF co kwartał.
• Dodawać nowe platformy do SPF i DKIM, zanim zaczną wysyłać.

W miarę rozwoju firmy i dodawania narzędzi, które wysyłają wiadomości e-mail, utrzymywanie DMARC na bieżąco zapewnia ochronę i utrzymanie silnej reputacji nadawcy.

Typowe błędy w konfiguracji DMARC

Nawet niewielkie błędy w konfiguracji mogą powodować problemy z dostarczalnością. Uważaj na te:

1. Używanie niewłaściwej składni w DNS. Upewnij się, że nie ma dodatkowych spacji lub brakujących średników.
2. Nieprawidłowy adres e-mail w RUA. Jeśli adres raportu nie jest prawidłowy, nie będziesz otrzymywać raportów.
3. Pominięcie wyrównania SPF lub DKIM. Oba muszą być zgodne z domeną "From", aby DMARC działał.
4. Zbyt wczesne ustawianie p=reject. Zawsze najpierw należy sprawdzić, czy legalne strumienie poczty są uwierzytelniane.

Jak DMARCeye pomaga w monitorowaniu raportów DMARC

Po włączeniu DMARC, dostawcy skrzynek pocztowych zaczynają wysyłać codzienne raporty XML. Mogą one być trudne do odczytania ręcznie.

DMARCeye zbiera i organizuje te raporty w przejrzysty pulpit nawigacyjny. Możesz zobaczyć wszystkie źródła wysyłania, wyniki uwierzytelniania i trendy wyrównania na pierwszy rzut oka. To upraszcza:

• Monitorowanie wydajności DMARC.
• Identyfikację prób spoofingu.
• Śledzenie ulepszeń w miarę przechodzenia od monitorowania do egzekwowania.

DMARCeye pozwala skupić się na poprawie zaufania i dostarczalności domeny zamiast na zarządzaniu surowymi danymi.

Zarejestruj się na bezpłatną wersję próbną DMARCeye już dziś i zacznij chronić swoją domenę e-mail.