Geolokalizacja nadawcy w DMARC: czy poczta z innego kraju to podszywanie się?

Widok poczty z Twojej domeny rzekomo wysłanej z krajów, w których nigdy nie prowadziłeś działalności, to jeden z najczęstszych powodów obaw przed podszywaniem się. W niemal każdym przypadku jest to fałszywy alarm. Te adresy IP zwykle należą do infrastruktury wysyłkowej dostawców Twojej poczty, która działa w centrach danych na całym świecie, a nie do atakującego. Prawdziwym sygnałem podszywania się nie jest sama zagraniczna lokalizacja, lecz nierozpoznane źródło, które wysyła pocztę noszącą Twoją domenę i nie przechodzi weryfikacji DMARC, często z miejsca, w którym nie masz żadnej obecności.

Co Znajdziesz w Tym Przewodniku

• Skąd Wiesz, z Jakiego Miejsca Wysyłana Jest Twoja Poczta?
• Dlaczego Twoje Raporty DMARC Pokazują Adresy IP Przypisane do Tak Wielu Różnych Krajów?
• Co Mierzy Geolokalizacja Nadawcy
• Czy Poczta z Innego Kraju Oznacza, że Ktoś Się Pod Ciebie Podszywa?
• Jaki Jest Prawdziwy Sygnał Podszywania Się w Twoich Raportach?
• Jak Ocenić Nieznaną Lokalizację Wysyłki?
• Jak DMARCeye Mapuje Twoje Lokalizacje Wysyłki

Skąd Wiesz, z Jakiego Miejsca Wysyłana Jest Twoja Poczta?

Krótka odpowiedź: dzięki raportowaniu DMARC. Gdy opublikujesz rekord DMARC z adresem raportowania, dostawcy skrzynek pocztowych tacy jak Google, Microsoft i Yahoo wysyłają Ci codzienne raporty zbiorcze. Każdy raport wymienia każde źródło, które użyło Twojej domeny, adres IP, z którego wysłano pocztę, oraz to, czy przeszła ona uwierzytelnianie.

Te raporty wymieniają adresy IP, a nie miejsca. Możesz wkleić dowolny pojedynczy adres IP do narzędzia do wyszukiwania geolokalizacji i zobaczyć kraj, w którym jest on zarejestrowany. Tak właśnie zaczyna się wiele obaw przed podszywaniem się: ktoś wyciąga jeden adres z raportu, sprawdza go i znajduje go w kraju, w którym nie ma żadnej obecności. Robienie tego ręcznie dla każdego wysyłającego adresu IP jest niepraktyczne, dlatego najlepszym sposobem jest skorzystanie z platformy do monitorowania DMARC (takiej jak DMARCeye), która geolokalizuje je wszystkie i nanosi na mapę.

Dlaczego Twoje Raporty DMARC Pokazują Adresy IP Przypisane do Tak Wielu Różnych Krajów?

Niemal żadna firma nie wysyła już własnej poczty bezpośrednio. Twoja poczta wychodzi przez dostawców: platformę marketingową, system CRM, dział obsługi, Google Workspace lub Microsoft 365, operatora płatności. Każdy dostawca prowadzi serwery w centrach danych na całym świecie, a lokalizacja, którą widzisz, należy do tego serwera, który obsłużył Twoją wiadomość.

Raporty zbiorcze DMARC wymieniają każde źródło, które wysłało pocztę przy użyciu Twojej domeny, wraz z adresem IP użytym przez każde z nich. Gdy usługa taka jak DMARCeye nanosi te adresy IP na mapę, pojedyncza wysyłka newslettera może pojawić się jednocześnie z trzech lub czterech krajów. Taki rozrzut to obraz nowoczesnej poczty, w której garstka usług wysyła pocztę w Twoim imieniu z infrastruktury rozsianej po kontynentach.

Z platformy DMARCeye.

Co Mierzy Geolokalizacja Nadawcy

Geolokalizacja zamienia adres IP w miejsce, sprawdzając, która sieć jest jego właścicielem. Regionalne rejestry internetowe przydzielają bloki adresów IP dostawcom internetu, firmom hostingowym i platformom chmurowym, a bazy danych geolokalizacji rejestrują, gdzie każdy blok jest zarejestrowany i używany. Lokalizacja przypisana do wysyłającego adresu IP opisuje więc infrastrukturę, która jest jego właścicielem, a nie osobę piszącą na klawiaturze.

Takie wyszukiwanie jest szacunkiem, a jego dokładność szybko spada poniżej poziomu kraju. Kraj jest wiarygodny, region lub województwo znacznie mniej, a miasto często bywa błędne. Dostawca chmury, sieć VPN lub sieć dostarczania treści może umieścić adres IP setki kilometrów od kogokolwiek rzeczywistego. MaxMind, który dostarcza dużą część branżowych danych geolokalizacyjnych, mówi wprost o tych ograniczeniach we własnych wskazówkach dotyczących dokładności. Traktuj lokalizację wysyłki jako przybliżony sygnał, a nie fakt.

Czy Poczta z Innego Kraju Oznacza, że Ktoś Się Pod Ciebie Podszywa?

Sam zagraniczny adres IP nie oznacza, że ktoś się pod Ciebie podszywa. To najczęstszy powód, dla którego ludzie zakładają, że ich domena została przejęta, a jednak sam w sobie niczego nie dowodzi w żadną stronę. Jeśli dostawca usług pocztowych wysyła pocztę z centrum danych w Niemczech lub Wirginii, Twoja poczta geolokalizuje się do Niemiec lub Wirginii i nic złego się nie dzieje.

To inne zagadnienie niż to, jak adopcja DMARC różni się w poszczególnych regionach, co jest wzorcem w szerszych danych, a nie sygnałem dotyczącym Twojej własnej domeny. Jeśli interesuje Cię to spojrzenie z lotu ptaka, omówiliśmy je w artykułach o regionalnych różnicach w zgodności z DMARC oraz o polityce DMARC według krajowych domen TLD. Przy ocenie Twoich własnych raportów lokalizacja ma znaczenie dopiero wtedy, gdy odczytujesz ją razem z wynikiem uwierzytelniania, a nie wcześniej.

Jaki Jest Prawdziwy Sygnał Podszywania Się w Twoich Raportach?

Prawdziwym sygnałem jest źródło, które robi dwie rzeczy naraz: wysyła pocztę noszącą Twoją domenę i ta poczta nie przechodzi weryfikacji DMARC. DMARC sprawdza, czy wiadomość przechodzi SPF lub DKIM i czy wynik jest zgodny z domeną w widocznym adresie od (From). Skonfigurowani przez Ciebie nadawcy przechodzą tę kontrolę. Atakujący fałszujący Twoją domenę z własnego serwera zwykle nie potrafi tego zrobić, ponieważ nie kontroluje Twojego rekordu SPF ani Twoich kluczy DKIM.

Lokalizacja staje się przydatna, gdy zaczynasz od wyniku uwierzytelniania. Źródło, które nie przechodzi weryfikacji, w kraju, w którym nie masz żadnych dostawców ani działalności, jest mocniejszym tropem niż źródło z nieudaną weryfikacją tuż za rogiem. Najpierw przychodzi nieudana weryfikacja, a mapa ją zaostrza.

Jak Ocenić Nieznaną Lokalizację Wysyłki?

Zacznij od uwierzytelniania, a nie od geografii. Gdy nieznana lokalizacja przyciągnie Twoją uwagę, przeanalizuj ją po kolei:

1. Sprawdź, czy to źródło przechodzi, czy nie przechodzi weryfikacji DMARC. Przejście oznacza, że niemal na pewno jest to jeden z Twoich dostawców i możesz na tym poprzestać.
2. Jeśli nie przechodzi weryfikacji, zidentyfikuj usługę wysyłkową. Wiele źródeł z nieudaną weryfikacją to Twoje własne narzędzia, które nie są jeszcze w pełni uwierzytelnione, a nie atakujący.
3. Dopasuj lokalizację do miejsc, w których prowadzisz działalność, oraz do tego, przez kogo wysyłasz pocztę. Źródło z nieudaną weryfikacją w regionie, z którym nie masz żadnego związku, zasługuje na bliższe przyjrzenie się.
4. Obserwuj wolumen i tendencję. Nagły wzrost poczty z nieudaną weryfikacją z nierozpoznanego źródła jest wyraźniejszym ostrzeżeniem niż garstka wiadomości.

Jak DMARCeye Mapuje Twoje Lokalizacje Wysyłki

DMARCeye nanosi każdy wysyłający adres IP danego źródła na zgrupowaną mapę (pokazaną powyżej), dzięki czemu duży nadawca pozostaje czytelny, i pozwala otworzyć dowolny pojedynczy adres IP, aby zobaczyć jego lokalizację obok wyniku uwierzytelniania. Wartość tkwi w tym zestawieniu: lokalizacja umieszczona obok informacji o tym, czy dane źródło przechodzi, czy nie przechodzi weryfikacji DMARC, dzięki czemu możesz odróżnić normalną globalną infrastrukturę od źródła, które zasługuje na ponowne przyjrzenie się.

Z platformy DMARCeye. Pokazane adresy IP są przykładami, a nie rzeczywistymi adresami.

Ponieważ wynik uwierzytelniania i lokalizacja są w jednym widoku, mniej czasu poświęcasz na zgadywanie, a więcej na jednym czy dwóch źródłach, które zasługują na uwagę.

Geolokalizacja nadawcy jest kontekstem, który zaostrza wynik uwierzytelniania, a nie samodzielnym werdyktem. Poczta z wielu krajów jest normalna, ponieważ Twoi dostawcy wysyłają ją w Twoim imieniu z infrastruktury na całym świecie. Tym, co oddziela szum od prawdziwego zagrożenia, jest połączenie: nieznane źródło wysyłające pocztę jako Twoja domena i nieprzechodzące weryfikacji DMARC, z lokalizacji, w której nie masz żadnej obecności. To właśnie zobaczenie lokalizacji i wyniku uwierzytelniania w jednym widoku sprawia, że takie połączenie się wyróżnia, i o to chodzi w mapowaniu Twoich lokalizacji wysyłki. DMARCeye umieszcza obie te informacje obok siebie, dzięki czemu prawdziwą próbę podszycia się łatwo dostrzec.