DMARC vs. DKIM vs. SPF: Jaka jest różnica?

Jeśli kiedykolwiek zajmowałeś się ochroną swojej domeny przed spoofingiem lub phishingiem,prawdopodobnie spotkałeś się z trzema akronimami, które wydają się pojawiać wszędzie: SPF, DKIM i DMARC.

Na pierwszy rzut oka brzmią one podobnie (wszystkie są standardami uwierzytelniania poczty e-mail opartymi na DNS), ale każdy z nich rozwiązuje inny problem. Zrozumienie, czym się różnią i jak ze sobą współpracują, jest niezbędne do ochrony domeny i poprawy dostarczalności wiadomości e-mail.

Rozpakujmy je jeden po drugim, a następnie zobaczmy, jak łączą się, tworząc kompletny mur obronny przed fałszywymi wiadomościami e-mail.

Podstawy uwierzytelniania poczty e-mail

Poczta e-mail została zaprojektowana kilkadziesiąt lat temu, na długo zanim cyberprzestępczość lub phishing stały się codziennością. Domyślnie nic nie powstrzymuje kogoś przed wysłaniem wiadomości e-mail podającej się za pochodzącą z Twojej domeny.

Standardy uwierzytelniania zostały wprowadzone w celu zapewnienia serwerom pocztowym sposobu weryfikacji legalności nadawcy. SPF, DKIM i DMARC są najważniejszymi z nich.

Pomyśl o nich jak o kontroli tożsamości na różnych etapach:

• SPF sprawdza, skąd pochodzi wiadomość.
• DKIM sprawdza, czy wiadomość nie została zmodyfikowana.
• DMARC sprawdza, czy wiadomość jest zgodna z Twoją domeną i egzekwuje Twoją politykę.

SPF: Sender Policy Framework

Jak działa SPF

SPF (Sender Policy Framework) pozwala opublikować listę serwerów, które mogą wysyłać wiadomości e-mail dla Twojej domeny. Gdy ktoś wysyła wiadomość przy użyciu Twojej domeny, serwer pocztowy odbiorcy porównuje adres IP wysyłającego z tą listą.

Jeśli adres IP znajduje się na liście, wiadomość przechodzi SPF. Jeśli nie, nie powiedzie się.

Oto jak wygląda typowy rekord SPF:

• Upoważniasz Google Workspace i Mailchimp do wysyłania wiadomości e-mail dla Twojej domeny.
• Klauzula -all na końcu informuje serwery pocztowe, aby odrzucały wszelkie inne źródła.

Mocne strony i ograniczenia

SPF jest łatwy do wdrożenia i zapewnia silną pierwszą warstwę obrony. Ma jednak dwie główne słabości:

1. Uwierzytelnia tylko nadawcę koperty (techniczną "ścieżkę zwrotną"), a nie widoczny adres From, który widzą użytkownicy.
2. SPF zawodzi, gdy wiadomości e-mail są przekazywane dalej, ponieważ adres IP osoby przekazującej może nie być wymieniony w rekordzie.

Innymi słowy, SPF potwierdza, skąd pochodzi wiadomość e-mail - ale niekoniecznie od kogo pochodzi.

DKIM: Poczta identyfikowana przez klucze domeny

Jak działa DKIM

DKIM (DomainKeys Identified Mail) wykorzystuje podpisy kryptograficzne, aby potwierdzić, że wiadomość e-mail nie została zmieniona podczas przesyłania i że rzeczywiście pochodzi z Twojej domeny.

Oto jak to działa:

• Twój serwer pocztowy podpisuje każdą wychodzącą wiadomość kluczem prywatnym.
• Serwer odbierający pobiera klucz publiczny z rekordu DNS i weryfikuje podpis.

Jeśli podpis się zgadza, wiadomość e-mail jest uznawana za autentyczną.

Typowy rekord DKIM wygląda następująco:

Mocne strony i ograniczenia

DKIM daje pewność, że wiadomość nie została zmodyfikowana, co jest ogromnym plusem dla integralności. Jednak sam DKIM nie mówi, co powinno się stać z wiadomościami e-mail, które nie przejdą weryfikacji, ani nie uniemożliwia atakującym wysyłania wiadomości przy użyciu domeny bez ważnego podpisu.

Jest to brakująca warstwa polityki, którą zapewnia DMARC.

DMARC: Uwierzytelnianie, raportowanie i zgodność wiadomości w oparciu o domenę

Jak działa DMARC

DMARC opiera się na SPF i DKIM, aby dać właścicielom domen prawdziwą kontrolę. Robi trzy rzeczy:

1. Wyrównanie - sprawdza, czy domena w widocznym nagłówku "From" jest zgodna z domeną uwierzytelnioną przez SPF lub DKIM.

2. Polityka - mówi serwerom pocztowym, co mają robić z nieuwierzytelnionymi wiadomościami (nic nie robić, wysyłać do spamu lub odrzucać).

3. Raportowanie - Daje ci informacje zwrotne o tym, jak twoja domena jest używana poprzez raporty XML (RUA i RUF).

Oto przykładowy rekord DMARC:

Mówi to odbiorcom, aby poddawali kwarantannie wszystkie wiadomości e-mail, które nie przejdą kontroli DMARC, wysyłali zbiorcze raporty na podany adres i stosowali regułę do 100% wiadomości.

Co wyróżnia DMARC

SPF i DKIM zapewniają weryfikację, ale nie egzekwowanie. DMARC dodaje brakującą warstwę odpowiedzialności poprzez powiązanie wyników uwierzytelniania z widoczną tożsamością domeny oraz poprzez określenie działań, które należy podjąć, gdy coś nie pasuje.

W praktyce DMARC jest tym, co uniemożliwia atakującym podszywanie się pod Twoją domenę i wysyłanie przekonujących wiadomości phishingowych "od" Ciebie. Jest to również to, co pomaga dokładnie zobaczyć, kto wysyła pocztę w Twoim imieniu.

Jak SPF, DKIM i DMARC działają razem

Możesz myśleć o SPF, DKIM i DMARC jako o trzyczęściowym systemie bezpieczeństwa, w którym każdy element pokrywa to, czego nie mogą zrobić pozostałe.

• SPF zapewnia, że poczta pochodzi z autoryzowanego serwera.
• DKIM zapewnia, że treść wiadomości jest autentyczna i niezmieniona.
• DMARC zapewnia, że obie kontrole są zgodne z widoczną domeną i egzekwuje politykę, jeśli tak nie jest.

Jeśli wiadomość nie przejdzie SPF, ale przejdzie DKIM, może być nadal dostarczona, o ile DMARC potwierdzi, że podpis DKIM jest zgodny z tą samą domeną w adresie "Od".

Jeśli oba te elementy zawiodą, DMARC stosuje wybraną politykę: monitorowanie, kwarantannę lub odrzucenie.

Ten mechanizm dopasowywania sprawia, że DMARC jest tak potężny. Łączy on kropki między techniczną tożsamością nadawcy a tożsamością marki widoczną dla odbiorców.

Powszechne nieporozumienia

Nawet wśród doświadczonych administratorów, protokoły te są czasami mylone. Wyjaśnijmy kilka uporczywych mitów:

• SPF sam zatrzymuje spoofing.
  Nieprawda. SPF nie weryfikuje widocznej domeny nadawcy. Tylko serwer, który wysłał wiadomość. Atakujący nadal mogą sfałszować pole From.

• DKIM jest opcjonalny, jeśli SPF działa.
  Nie do końca. DKIM jest niezbędny do zapewnienia integralności i pomaga wiadomościom przetrwać przekazywanie, gdzie SPF często zawodzi.

• DMARC jest tylko dla dużych organizacji.
  Również nieprawda. DMARC jest darmowym, otwartym standardem. Każdy właściciel domeny, od małej firmy po globalną markę, może opublikować rekord i uzyskać natychmiastową widoczność.

• Wdrożenie wszystkich trzech jest skomplikowane.
  Może wydawać się zniechęcające, ale po skonfigurowaniu SPF i DKIM, DMARC jest tylko jeszcze jednym rekordem TXT. Prawdziwym wyzwaniem jest monitorowanie raportów i utrzymywanie zgodności w czasie (co obecnie znacznie ułatwiają narzędzia do automatyzacji).

Pierwsze kroki z uwierzytelnianiem

Jeśli jeszcze ich nie wdrożyłeś, oto praktyczna ścieżka, którą podąża większość organizacji:

1. Opublikuj rekord SPF. Zidentyfikuj każdą usługę, która wysyła pocztę dla Twojej domeny i wymień je w rekordzie SPF. Przykład:

   v=spf1 include:_spf.google.com include:sendgrid.net -all


2. Włącz podpisywanie DKIM.
   Większość usług pocztowych (takich jak Google Workspace, Microsoft 365 lub SendGrid) oferuje kreatory konfiguracji DKIM, które generują klucz publiczny dla DNS.

3. Dodaj rekord DMARC.
   Uruchom w trybie monitorowania, aby bezpiecznie zbierać dane:

   v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com


    

4. Monitoruj i dostosuj.
   Przejrzyj swoje raporty przez kilka tygodni, upewnij się, że wszystkie legalne źródła są uwierzytelnione, a następnie zaostrz swoją politykę, aby poddać je kwarantannie i ostatecznie odrzucić.

Proces ten nie musi być zakończony z dnia na dzień. Stopniowe wdrażanie minimalizuje ryzyko, jednocześnie stale poprawiając ochronę.

Nowe wymagania Google i Yahoo dotyczące DMARC

Na początku 2024 r. Google i Yahoo ogłosiły nowe wymagania dotyczące nadawców, mające na celu ograniczenie spamu i phishingu na ich platformach. Zasady te dotyczą każdej domeny, która wysyła duże ilości wiadomości e-mail, w szczególności wiadomości marketingowych, transakcyjnych lub newsletterów.

Zasadniczo, te nowe zasadysprawiają, że egzekwowanie DMARC jest obowiązkowe dla nadawców masowych.

Oto podsumowanie tego, czego wymagają teraz obaj dostawcy:

1. Opublikowanie ważnego rekordu SPF i DKIM. Każda domena używana do wysyłania wiadomości e-mail musi posiadać oba mechanizmy uwierzytelniania; nie tylko jeden.

2. Wdrożenie DMARC z polityką co najmniej "brak". Google i Yahoo wymagają od wszystkich nadawców masowych (zazwyczaj definiowanych jako ponad 5 000 wiadomości dziennie) opublikowania rekordu DMARC na poziomie domeny. Przykład:

   • v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com

   Nawet polityka "tylko monitorowanie"(p=none) spełnia podstawowe wymagania - ale obaj dostawcy zalecają przejście do kwarantanny lub odrzucenia dla pełnej ochrony.

3. Wyrównaj domeny "Od" i uwierzytelnione. Wiadomości muszą używać domeny w nagłówku "From", która pasuje (lub jest zgodna) z domeną uwierzytelnioną przez SPF lub DKIM. Niedopasowane domeny są częściej odrzucane.

4. Zapewnij łatwe opcje rezygnacji z subskrypcji. Google i Yahoo nakazują również umieszczenie linku do rezygnacji z subskrypcji jednym kliknięciem w wiadomościach komercyjnych i wymagają, aby prośby o anulowanie subskrypcji były honorowane w ciągu dwóch dni.

5. Utrzymywanie niskiego wskaźnika spamu. Nadawcy muszą utrzymywać wskaźnik skarg na spam poniżej 0,3%, zgodnie z danymi Google Postmaster Tools.

Nawet jeśli nie jesteś "nadawcą masowym", jeśli Twoje wiadomości trafiają do Gmaila lub Yahoo Mail, wdrożenie tych standardów nie jest już opcjonalne; to stawka stołowa.

Po dostosowaniu się do tych zasad istnieje znacznie większe prawdopodobieństwo, że wiadomości będą konsekwentnie docierać do skrzynek odbiorczych.

Szybkie podsumowanie

SPF, DKIM i DMARC nie są konkurencyjnymi technologiami; są one uzupełniającymi się częściami jednego systemu.

• SPF weryfikuje infrastrukturę wysyłania.
• DKIM sprawdza integralność wiadomości.
• DMARC sprawdza zgodność i egzekwuje politykę.

W połączeniu, przekształcają one pocztę elektroniczną z podatnego na ataki, łatwego do sfałszowania kanału w jedną z najbardziej godnych zaufania dostępnych form komunikacji cyfrowej.

I choć każdy rekord jest dość prosty do opublikowania, utrzymanie widoczności i nadanie sensu wynikowym danym może szybko stać się skomplikowane, zwłaszcza gdy zaangażowanych jest wielu dostawców, subdomen i usług zewnętrznych.

To właśnie tutaj automatyzacja i analityka robią różnicę.

Jak DMARCeye upraszcza wdrażanie i monitorowanie DMARC

Prawidłowe skonfigurowanie SPF, DKIM i DMARC to dopiero początek. Prawdziwe wyzwanie pojawia się później - interpretacja raportów DMARC, wykrywanie nieautoryzowanych źródeł i utrzymanie zgodności w miarę rozwoju infrastruktury poczty elektronicznej.

DMARCeye został zaprojektowany tak, aby uczynić ten proces bezwysiłkowym. Przekłada surowe raporty XML na intuicyjne pulpity nawigacyjne, które pokazują na pierwszy rzut oka, kto wysyła pocztę w Twoim imieniu i czy przechodzi uwierzytelnianie.

Dzięki DMARCeye możesz:

• monitorować wyniki SPF, DKIM i DMARC we wszystkich domenach
• Natychmiast identyfikować i blokować próby spoofingu
• Wyraźnie oddzielić legalnych i nieautoryzowanych nadawców
• Śledzić postępy od "monitorowania" do "egzekwowania" z pewnością siebie
• Ochrona reputacji marki przy jednoczesnym zachowaniu dostarczalności

Niezależnie od tego, czy zarządzasz jedną domeną, czy setkami, DMARCeye zapewnia Ci widoczność i kontrolę potrzebną do utrzymania bezpieczeństwa poczty elektronicznej Twojej organizacji, bez zagłębiania się w skomplikowane surowe dane.