Nadpisanie polityki (Policy Override, DMARC)
Nadpisanie polityki w DMARC to sytuacja, gdy odbiorca stosuje inne rozporządzenie niż polityka nadawcy. Poznaj jego rodzaje i przyczyny.
Czym jest nadpisanie polityki (Policy Override) w DMARC?
Nadpisanie polityki w DMARC ma miejsce, gdy serwer odbiorcy stosuje ostateczne rozporządzenie (takie jak dostarczenie, kwarantanna lub odrzucenie), które różni się od opublikowanej polityki DMARC nadawcy. Dzieje się tak, gdy inne czynniki, takie jak lokalne reguły filtrowania, zachowanie przekazywania lub listy zaufanych nadawców, biorą pierwszeństwo przed zaleceniem DMARC. Nadpisania polityki są odnotowywane w raportach zbiorczych DMARC, aby właściciele domen rozumieli, kiedy i dlaczego obsługa poczty odbiega od zadeklarowanej polityki.
Innymi słowy, nawet jeśli rekord DMARC domeny określa, że nieuwierzytelniona poczta powinna być odrzucana, serwer odbiorcy może mimo to zdecydować się ją przyjąć w pewnych okolicznościach. Pole „Policy Override” w raportach DMARC dokumentuje takie przypadki, pomagając nadawcom dostrzec, kiedy egzekwowanie nie zostało zastosowane zgodnie z oczekiwaniami.
Jak działają nadpisania polityki
Gdy e-mail nie przejdzie wyrównania SPF i wyrównania DKIM, DMARC instruuje odbiorcę, jak postąpić z wiadomością, zwykle za pomocą znacznika p= w rekordzie DMARC (none, quarantine lub reject). Odbiorca może jednak nadpisać tę instrukcję na podstawie własnych reguł, preferencji użytkowników lub polityk systemowych. Powody tych decyzji są zawarte w elemencie „policy_override” raportów zbiorczych DMARC.
Przykładowy fragment raportu DMARC pokazujący nadpisanie polityki:
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
<reason>
<type>local_policy</type>
</reason>
</policy_evaluated>W tym przykładzie wiadomość nie przeszła zarówno SPF, jak i DKIM, ale odbiorca i tak zdecydował się ją dostarczyć (rozporządzenie „none”) z powodu lokalnego nadpisania polityki.
Najczęstsze rodzaje nadpisań polityki DMARC
W raportowaniu DMARC rozpoznaje się kilka rodzajów nadpisań. Wartości te pomagają właścicielom domen zrozumieć, jak różne systemy pocztowe obsługują ich wiadomości:
forwarded– wiadomość została przekazana dalej, a uwierzytelnianie nie powiodło się z powodu zmian w nagłówkach lub treści.sampled_out– wiadomość była objęta polityką próbkowania PCT (procent) i została zwolniona z pełnego egzekwowania. To nadpisanie jest już przestarzałe, ponieważ DMARCbis usunął znacznikpct.trusted_forwarder– odbiorca ufa podmiotowi przekazującemu (np. pośredniczącemu przekaźnikowi poczty lub znanej usłudze) i dostarczył wiadomość mimo niepowodzenia uwierzytelniania.local_policy– odbiorca zastosował wewnętrzną politykę, która nadpisuje instrukcję DMARC, taką jak lista dozwolonych lub decyzja antyspamowa.arc– wiadomość zawierała prawidłowy nagłówek ARC (Authenticated Received Chain), który zachował uwierzytelnianie mimo przekazania.other– powód nadpisania nie mieści się w standardowych kategoriach.
Każdy z tych warunków nadpisania pomaga wyjaśnić, dlaczego nieuwierzytelniona poczta może mimo wszystko dotrzeć do skrzynki odbiorczej, nawet przy ścisłym egzekwowaniu DMARC. Informacja ta jest kluczowa dla diagnozowania luk w przepływie poczty, zwłaszcza w przypadku wiadomości przekazywanych lub pośrednich.
Dlaczego dochodzi do nadpisań polityki
Nadpisania polityki zwykle odzwierciedlają elastyczność systemów pocztowych odbiorców, a nie błędną konfigurację nadawcy. Częste scenariusze to:
- Przekazywanie przez listy mailingowe lub systemy automatyczne, które modyfikują wiadomości
- Zaufani pośrednicy, którzy pomijają kontrole DMARC
- Lokalne filtry antyspamowe lub antyphishingowe biorące pierwszeństwo przed polityką DMARC
- Częściowe egzekwowanie DMARC przy użyciu
pct<100, przestarzałej konfiguracji, którą odbiorcy zgodni z DMARCbis traktują jakopct=100 - Preferencje odbiorcy dopuszczające dostarczanie od znanych nadawców mimo niepowodzeń
Nadpisania nie muszą oznaczać, że konfiguracja DMARC jest wadliwa, ale ich częste występowanie może wskazywać na problemy z wyrównaniem, przekazywaniem lub niespójne podpisy DKIM.
Nadpisania polityki a DMARCeye
DMARCeye wizualizuje dane o nadpisaniach polityki bezpośrednio z raportów zbiorczych DMARC, pomagając organizacjom rozpoznawać wzorce i rozumieć, dlaczego wyniki egzekwowania różnią się u poszczególnych odbiorców. Platforma kategoryzuje nadpisania według typu, takiego jak forwarded, arc czy local_policy, i koreluje je ze źródłami wysyłkowymi, aby wskazać, gdzie uwierzytelnianie zawodzi.
Uwypuklając częstotliwość i wpływ nadpisań, DMARCeye umożliwia właścicielom domen dostosowanie konfiguracji uwierzytelniania, optymalizację propagacji kluczy DKIM oraz zadbanie o to, by prawdziwe wiadomości nie były błędnie odrzucane lub poddawane kwarantannie. Ta przejrzystość daje administratorom pewność, że ich egzekwowanie DMARC odpowiada rzeczywistemu zachowaniu w dostarczaniu poczty.
Nie wiesz, jak zabezpieczona jest Twoja domena? Uruchom bezpłatną kontrolę DMARC:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.