DMARC správy: Ako ich čítať a používať

Tento článok vysvetľuje, ako interpretovať denné DMARC správy zasielané prijímajúcimi mailovými servermi.

Úvod:

DMARC, čo je skratka pre Domain-based Message Authentication, Reporting and Conformance, je protokol overovania e-mailov. Pridáva ďalšiu úroveň zabezpečenia tým, že nadväzuje na existujúce mechanizmy (SPF a DKIM) a účinne zabraňuje falšovaniu identity a phishingovým útokom. DMARC tiež umožňuje vlastníkom domén prijímať správy o e-mailoch odoslaných v ich mene, aby lepšie kontrolovali používanie svojej domény.

Tento štandard pomáha chrániť vašu doménu pred podvodným použitím spamermi, ktorí môžu sfalšovať adresu odosielateľa („From“), aby to vyzeralo, že e-mail pochádza od legitímneho používateľa vašej domény. DMARC zabraňuje tomuto typu falšovania tým, že zabezpečí, že e-maily sú autorizované na odosielanie v mene vašej domény.

DMARC sa spolieha na iné štandardné autentifikačné protokoly, ako sú SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail), aby pomohol administrátorom identifikovať podvodné e-maily posielané kybernetickými útočníkmi. Kombináciou týchto mechanizmov DMARC zvyšuje schopnosť odhaľovať pokusy o spoofing a chrániť reputáciu domény.

Protokol DMARC umožňuje odosielateľom definovať politiku, ktorá určuje, ako by mali prijímajúce servery zaobchádzať s e-mailmi, ktoré neprejdú kontrolami SPF alebo DKIM. Podľa tejto politiky môžu byť nevyhovujúce správy označené ako spam alebo úplne odmietnuté.

Čo sú DKIM a SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM je metóda overovania e-mailov, ktorá používa digitálny podpis, aby prijímatelia mohli overiť, že správu odoslal autorizovaný odosielateľ a že nebola počas prenosu zmenená.

Keď sa e-mail odošle, je podpísaný pomocou súkromného kľúča priradeného k doméne odosielateľa. Po prijatí používa e-mailový server príjemcu (napríklad Gmail, Outlook atď.) verejný kľúč publikovaný v DNS domény na overenie podpisu. To zaručuje, že obsah e-mailu nebol počas prenosu pozmenený.

Inými slovami, DKIM bráni tretej strane zachytiť e-mail, zmeniť jeho obsah a odoslať ho s potenciálne podvodnými informáciami.

Ďalšou významnou výhodou DKIM je, že pomáha budovať reputáciu vašej odosielajúcej domény. Poskytovatelia internetových služieb (ISP) analyzujú kvalitu odosielania (miera spamu, miera nedoručených správ, angažovanosť príjemcov atď.), aby vyhodnotili dôveryhodnosť domény. Dodržiavanie týchto najlepších postupov priamo zlepšuje doručiteľnosť vašich e-mailov.

2. SPF (Sender Policy Framework)

SPF je protokol overovania e-mailov, ktorý umožňuje ISP, ako je Gmail, overiť, či je mailový server autorizovaný na odosielanie správ v mene domény. V podstate ide o povolený zoznam deklarovaný v DNS domény, ktorý špecifikuje, ktoré služby alebo IP adresy sú oprávnené odosielať e-maily v mene vašej domény.

Keď sa správa prijme, cieľový server skontroluje, či je odosielateľ na zozname povolených v zázname SPF. Ak nie je, správa môže byť označená za podozrivú alebo odmietnutá.

Aké sú výhody DMARC?

Chráňte reputáciu svojej domény

DMARC chráni vašu značku a doménu pred pokusmi o spoofing. Zabraňuje neoprávneným odosielateľom v odosielaní e-mailov v vašom mene. V niektorých prípadoch môže už samotné zverejnenie DMARC záznamu zlepšiť reputáciu vašej domény u poskytovateľov e-mailových služieb.

Lepší prehľad o používaní domény

DMARC správy poskytujú jasný prehľad o tom, ako sa vaša doména používa, či už legitímne alebo nie. Môžete vidieť, kto posiela e-maily vo vašom mene, a rýchlo identifikovať akúkoľvek podozrivú aktivitu.

Zlepšenie doručiteľnosti e-mailov

DMARC overuje, že vaše e-maily sú správne autentifikované cez SPF a DKIM. Odhaľovaním a opravou problémov s autentifikáciou zvyšujete šancu, že vaše e-maily dorazia do schránok príjemcov, a znižujete riziko označenia ako spam.

Zníženie spamu a sťažností

Prevencia doručenia sfalšovaných e-mailov koncovým používateľom pomáha DMARC znížiť počet sťažností na spam a chrániť reputáciu vašej domény u ISP.

DMARC správy vám umožňujú analyzovať výsledky autentifikácie e-mailov a prijať opatrenia na ochranu reputácie vašej domény alebo firmy.

DMARC správa zvyčajne obsahuje nasledujúce informácie:

• Názov subjektu (organizácia alebo poskytovateľ) vytvárajúceho správu
• Obdobie hlásenia (dátum začiatku a konca)
• Stav autentifikácie: úspešné alebo neúspešné pre SPF a DKIM
• Zarovnanie SPF/DKIM: či záznamy správne zodpovedajú odosielajúcej doméne
• IP adresa odosielateľa analyzovanej správy
• Podniknuté opatrenie prijímajúcim serverom (prijaté, karanténované alebo odmietnuté)

Tieto správy poskytujú cenný prehľad o toku e-mailov využívajúcich vašu doménu a pomáhajú odhaliť prípadné pokusy o spoofing.

Výhody sledovania DMARC správ

Pravidelné sledovanie DMARC správ prináša niekoľko kľúčových výhod pre administrátorov domén:

• Identifikovať a opraviť problémy s autentifikáciou

  Správy odhalia zlyhania SPF a DKIM, ktoré by mohli spôsobiť, že vaše e-maily skončia v spame. Oprava týchto chýb zlepší ako reputáciu domény, tak aj doručiteľnosť e-mailov

• Lepšia kontrola zdrojov odosielania

  Pomocou údajov zo správ môžete zabezpečiť, že všetky e-maily odosielané z vašej domény pochádzajú z legitímnych zdrojov a rýchlo odhaliť pokusy o spoofing alebo neoprávnené odosielanie

• Súlad s regulačnými požiadavkami

  S rastúcim objemom e-mailovej komunikácie mnoho orgánov vrátane poskytovateľov e-mailových služieb ako Google, požaduje implementáciu autentifikačných protokolov, ako je DMARC. Napríklad od februára 2024 vyžaduje Google, aby sa niektorí odosielatelia riadili týmito štandardmi na zabezpečenie platformy

• Dôkaz o súlade

  Archivované kópie vašich DMARC správ môžu slúžiť ako hmatateľný dôkaz o dodržiavaní bezpečnostných štandardov a predpisov o e-mailovej komunikácii

Príklad DMARC správy

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Ako čítať DMARC správu:

Máte dve možnosti: manuálna analýza alebo využitie pomoci AI.

A) Manuálne rozobrať a interpretovať DMARC správu

Rozpis je založený na vyššie uvedenom príklade:

1. Váš ISP, názov vášho poskytovateľa e-mailových služieb:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>

2. Identifikačné číslo správy:

<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>

3. Rozsah dátumu (začiatok a koniec v sekundách):

<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>

4. Špecifikácie DMARC záznamu publikované v DNS vašej domény:

<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>

5. IP adresa zdroja odosielania:

<source_ip>XXX.XXX.XXX.XXX</source_ip>

6. Zhrnutie výsledkov autentifikácie (SPF/DKIM úspešné/neúspešné):

<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>

7. From: doména:

<header_from> yourdomain.com</header_from>

8. Výsledky autentifikácie SPF:

<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>

9. Výsledky autentifikácie DKIM:

<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Použite AI, napríklad ChatGPT, na analýzu DMARC správy

Pomocou nástrojov AI, ako je ChatGPT, môžete analyzovať a interpretovať DMARC správu. Táto sekcia ukazuje pokyny krok za krokom.

1. Nájdite DMARC správu

Otvorte e-mail obsahujúci XML prílohu (zvyčajne sú tieto správy zasielané automaticky prijímajúcimi mailovými servermi).

2. Otvorte XML súbor

Po stiahnutí ho otvorte v jednoduchom textovom editore, ako je Notepad (Windows) alebo TextEdit (Mac).

3. Skopírujte obsah

Vyberte celý obsah XML a skopírujte ho.

4. Vložte ho do ChatGPT

Prejdite do ChatGPT a vložte obsah XML do chatovacieho okna. Môžete sa opýtať napríklad:

„Môžete analyzovať túto DMARC správu a povedať mi, či niektoré e-maily neprešli kontrolou SPF alebo DKIM?“

5. Interpretujte výsledky

ChatGPT analyzuje tagy správy a poskytne jasné, štruktúrované vysvetlenie údajov: odosielateľ, výsledky SPF/DKIM, použitá IP adresa, prijaté opatrenie (prijaté, karanténované, odmietnuté) atď.

Naše odporúčania na ďalší postup

Teraz, keď rozumiete implementácii DMARC, jeho výhodám a tomu, ako interpretovať správy, ste urobili kritický prvý krok pri ochrane reputácie vašej domény.

Avšak ako vlastník domény vaša zodpovednosť tým nekončí: ide o prebiehajúci proces, ktorý vyžaduje pravidelné monitorovanie a úpravy.

Tu sú niektoré priebežné najlepšie postupy:

• Pravidelne sledujte svoje DMARC správy

  Často kontrolujte správy, aby ste zachytili akékoľvek neoprávnené pokusy o odosielanie.

• Analyzujte údaje a prijímajte nápravné opatrenia

  Rýchlo opravte akékoľvek problémy s autentifikáciou (SPF/DKIM) a podľa potreby upravte svoju politiku na posilnenie bezpečnosti odosielania.

• Používajte svoju doménu zodpovedne

  Dodržiavajte dobré praktiky odosielania (kvalifikované kontaktné zoznamy, nízke miery spamu, relevantný obsah), aby ste si udržali reputáciu domény a doručiteľnosť e-mailov