Jak powstrzymać ataki typu spoofing i phishing za pomocą DMARC?

Poczta e-mail jest jednym z najważniejszych narzędzi komunikacji biznesowej, ale jest też jednym z najłatwiejszych do wykorzystania. Atakujący wykorzystują spoofing i kampanie phishingowe do podszywania się pod zaufanych nadawców, kradzieży danych uwierzytelniających i dystrybucji złośliwego oprogramowania.

Podrobione wiadomości e-mail mogą wydawać się nie do odróżnienia od prawdziwych, prowadząc do strat finansowych i utraty reputacji. Dobra wiadomość? Możesz powstrzymać te ataki u źródła dzięki DMARC.

Co to jest Email Spoofing?

Email spoofing to działanie polegające na fałszowaniu adresu "From" wiadomości e-mail, aby wyglądała ona tak, jakby została wysłana od kogoś innego, często od legalnej firmy lub współpracownika. Spoofing może przydarzyć się firmom z każdej branży.

Atakujący robią to, aby:

• nakłonić użytkowników do udostępnienia poufnych danych (poświadczeń, informacji o płatnościach itp.)
• Dostarczyć złośliwe załączniki lub linki
• Przeprowadzać oszustwa związane z naruszeniem bezpieczeństwa poczty elektronicznej (BEC)

Bez odpowiedniego uwierzytelnienia serwery poczty e-mail nie mają możliwości sprawdzenia, czy adres "Od" jest prawdziwy, czy sfałszowany.

Czym jest DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) to otwarty standard, który zapobiega używaniu domeny przez nieautoryzowanych nadawców.

Opiera się on na dwóch istniejących metodach uwierzytelniania:

• SPF (Sender Policy Framework) - weryfikuje, czy adres IP nadawcy może wysyłać wiadomości w imieniu domeny.
• DKIM (DomainKeys Identified Mail) - wykorzystuje podpisy kryptograficzne do potwierdzenia integralności i autentyczności wiadomości.

DMARC działa jakowarstwa polityki na szczycie tych mechanizmów. Mówi serwerom odbierającym, co mają zrobić, jeśli wiadomość e-mailnie przejdzie kontroli SPF lub DKIM, i dostarcza raporty, dzięki którym można zobaczyć, kto wysyła pocztę przy użyciu domeny.

Jak działa DMARC (krok po kroku)

1. Walidacja SPF i DKIM
   Gdy przychodzi wiadomość e-mail, serwer pocztowy odbiorcy sprawdza, czy adres IP nadawcy jest wymieniony w rekordzie SPF domeny i czy podpis DKIM pasuje do ważnego klucza opublikowanego w DNS.
   
   
2. Kontrola wyrównania
   DMARC weryfikuje "wyrównanie", co oznacza, że domena w nagłówku From: wiadomości e-mail jest zgodna (lub wyrównana) z domeną uwierzytelnioną przez SPF lub DKIM. To właśnie powstrzymuje atakujących przed przekazywaniem SPF lub DKIM przy użyciu niepowiązanych domen.
   
   
3. Zastosowanie polityki
   W oparciu opolitykę DMARC(p=none, p=quarantine lub p=reject), serwer odbierający decyduje, czy dostarczyć, umieścić w folderze spamu, czy odrzucić wiadomość e-mail.
   
   
4. Raportowanie i widoczność
   DMARC zapewnia dwa rodzaje raportów:

• 1. RUA (raporty zbiorcze): Podsumowane raporty dzienne pokazujące, które IP wysyłają pocztę dla Twojej domeny.
  2. RUF (raporty kryminalistyczne): Szczegółowe kopie poszczególnych nieudanych wiadomości do głębszego zbadania.

Raporty te są wysyłane na adresy określone w rekordzie DMARC i mogą być analizowane za pomocą narzędzi wizualizacyjnych.

Dlaczego SPF i DKIM nie wystarczą

SPF i DKIM są niezbędne, ale same w sobie nie chronią przed bezpośrednim spoofingiem domen.

Na przykład:

• SPF sprawdza tylko nadawcę koperty (Return-Path:), a nie widoczny nagłówek From:.
• DKIM może uwierzytelnić treść wiadomości, ale atakujący mogą nadal używać innej domeny w polu "Od".

DMARC wypełnia tę lukę, wymuszającwyrównanie domeny , zapewniając, że domena, którą widzą klienci, jest tą samą, która została uwierzytelniona przez SPF lub DKIM.

Jak wdrożyć DMARC (przewodnik krok po kroku)

Wdrożenie DMARC nie wymaga nowego sprzętu ani oprogramowania, a jedynie dostępu do DNS, planowania i kilku tygodni obserwacji. Poniżej znajduje się konkretna, niezawodna mapa drogowa.

Krok 1: Zinwentaryzuj wszystkie legalne źródła poczty elektronicznej

Przed opublikowaniem czegokolwiek, sporządź pełną listę wszystkich usług, które wysyłają pocztę przy użyciu Twojej domeny. Zazwyczaj obejmuje to:

• podstawowy serwer pocztowy (np. Microsoft 365, Google Workspace)
• Nadawcy transakcyjni (np. SendGrid, Amazon SES)
• Platformy marketingowe (np. HubSpot, Mailchimp)
• Systemy helpdesk/ticketing (np. Zendesk)
• Narzędzia rozliczeniowe lub ERP wysyłające faktury

Wskazówka: Przeszukaj logi lub raporty DMARC pod kątem adresów "From" w swojej domenie, aby wyłapać ukryte lub zapomniane źródła.

Krok 2: Skonfiguruj SPF i DKIM dla każdego nadawcy

DMARC opiera się na prawidłowo skonfigurowanych SPF i DKIM.

Dla SPF:

• Google Workspace: include:_spf.google.com
  
• Microsoft 365: include:spf.protection.outlook.com
  
• Mailchimp: include:servers.mcsv.net

Połącz je w jeden rekord SPF (jeśli to możliwe):

v=spf1 include:_spf.google.com include:servers.mcsv.net -all

Dla DKIM:

Opublikujklucz publiczny DKIM w DNS - zazwyczaj w subdomenie, np:

google._domainkey.yourdomain.com

Krok 3: Opublikuj podstawowy rekord DMARC

Gdy SPF i DKIM działają, dodaj swój początkowy rekord DMARC:

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com; fo=1

Ten rekord:

• Aktywuje DMARC w trybie "monitor" (jeszcze bez egzekwowania)
• Wysyła raporty zbiorcze (RUA) i kryminalistyczne (RUF) na wymienione adresy
• Używa fo=1 do żądania raportów kryminalistycznych dla każdej awarii

Publikuje to jakorekord TXTpod adresem:
_dmarc.yourdomain.com

Krok 4: Monitorowanie i analizowanie raportów

W ciągu najbliższych kilku tygodni zaczniesz otrzymywać raporty DMARC oparte na XML z serwerów pocztowych na całym świecie.

Obejmują one:

• źródłowe adresy IP
• Domeny wysyłające
• Wyniki pozytywne/negatywne dla SPF i DKIM
• Liczba wiadomości na nadawcę

Raporty te można przetwarzać ręcznie lub (bardziej realistycznie) za pomocą narzędzia do raportowania DMARC, które wizualizuje nadawców, wolumeny i wyniki uwierzytelniania.

Cel: Identyfikacjawszystkich legalnych źródeł, poprawienie wszelkich błędnych konfiguracji i oflagowanie nieznanych nadawców (prawdopodobnie spooferów lub źle skonfigurowanych dostawców).

Krok 5: Stopniowe zaostrzanie zasad

Po upewnieniu się, że wszystkie legalne przepływy wiadomości e-mail są uwierzytelnione i dostosowane, zacznij stopniowo egzekwować swoją politykę:

Przejście do kwarantanny

v=DMARC1; p=kwarantanna; pct=25; rua=mailto:dmarc-reports@yourdomain.com

• Poddaje kwarantannie 25% nieudanych wiadomości (wysłanych do spamu).
• Pozwala bezpiecznie monitorować wpływ
• Stopniowe zwiększanie pct do 100% po ustabilizowaniu się.

Przejście do odrzucania

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com

• W pełni blokuje nieuwierzytelnione wiadomości e-mail
• Zapewnia maksymalną ochronę przed spoofingiem

Krok 6: Utrzymanie i rozbudowa

DMARC nie jest "ustaw i zapomnij". Musisz:

• Regularnie przeglądać raporty w celu wykrycia nowych nieautoryzowanych źródeł.
• Dodawać nowych dostawców do SPF/DKIM w miarę rozwoju infrastruktury.
• Zastosować DMARC do subdomen, jeśli one również wysyłają pocztę (admissions.yourdomain.com, news.yourdomain.com, itp.).
• Rozważ dodanie rekordu BIMI, aby wyświetlać logo marki w skrzynkach odbiorczych - dostępne tylko z wymuszonym DMARC.

Oto przykładowa oś czasu wdrożenia DMARC

Wskazówki dotyczące rozwiązywania problemów

• Problem: Legalne wiadomości e-mail trafiające do spamu po wymuszeniu
  → Sprawdź wyrównanie DKIM i SPF dla tego nadawcy.
• Problem: Zbyt długi rekord SPF (>255 znaków)
  → Użyj subdomen lub narzędzi spłaszczających innych firm.
• Problem: Brakujące raporty DMARC
  → Sprawdź,czy skrzynka pocztowa rua może odbierać załączniki XML.

DMARC chroni przed phishingiem

Phishing opiera się na zaufaniu. Atakujący podszywają się pod znane marki lub współpracowników, aby nakłonić ofiary do kliknięcia złośliwych linków lub udostępnienia informacji.

DMARC podważa ten oparty na zaufaniu atak, uniemożliwiając nieuwierzytelnionym wiadomościom e-mail dotarcie do skrzynki odbiorczej. Jeśli cyberprzestępca próbuje wysłać wiadomość z adresu "support@yourdomain.com", ale nie jest autoryzowany, wiadomość ta jest odrzucana, zanim zostanie zauważona.

Dla klientów, partnerów i pracowników tworzy to widoczną granicę między legalną komunikacją a oszustwem.

Poza DMARC: Wzmocnienie zabezpieczeń poczty e-mail

DMARC jest ważnym krokiem, ale nie kompletnym rozwiązaniem. Aby zbudować kompleksową ochronę:

• Użyj BIMI (Brand Indicators for Message Identification), aby wyświetlać zweryfikowane logo marki w skrzynkach odbiorczych.
• Połącz DMARC z DNSSEC w celu zapewnienia odpornego na manipulacje uwierzytelniania DNS.
• Edukacja pracowników w zakresie inżynierii społecznej i świadomości phishingu.

Razem tworzy to warstwową obronę, która łączy techniczne i ludzkie mechanizmy kontroli bezpieczeństwa.

Jak DMARCeye upraszcza wdrażanie i monitorowanie DMARC

Ręczne wdrożenie DMARC jest możliwe, ale interpretacja danych, utrzymywanie zgodności rekordów w wielu usługach i utrzymywanie egzekwowania w miarę rozwoju infrastruktury może szybko stać się skomplikowane.

DMARCeye to oparta na sztucznej inteligencji platforma widoczności i raportowania, zaprojektowana tak, aby zarządzanie DMARC było proste, przejrzyste i wykonalne. Przekształca surowe raporty XML w przejrzyste, czytelne dla człowieka pulpity nawigacyjne, dzięki czemu można:

• natychmiast zobaczyć, którzy nadawcy są autoryzowani, a którzy nie
• śledzić statusy SPF, DKIM i DMARC we wszystkich domenach
• Identyfikować i blokować próby spoofingu w czasie rzeczywistym
• Pewne przejście od monitorowania do pełnego egzekwowania
• Utrzymanie dostarczalności przy jednoczesnym zabezpieczeniu reputacji marki

Dzięki konfiguracji z przewodnikiem, automatycznej analizie i ciągłemu monitorowaniu, DMARCeye daje organizacjom każdej wielkości kontrolę i przejrzystość potrzebną do ochrony ich domeny przed spoofingiem e-maili i zagrożeniami phishingowymi, bez głębokiej wiedzy specjalistycznej z zakresu DNS.

Zarejestruj się na bezpłatną wersję próbną DMARCeye już dziś i zacznij chronić swoją domenę e-mail.