Odată cu creșterea infracționalității cibernetice și a atacurilor de phishing prin e-mail, a devenit din ce în ce mai important pentru organizații să implementeze măsuri de protecție a domeniilor de e-mail împotriva accesului neautorizat și a activităților frauduloase.
Una dintre aceste măsuri este DMARC (Domain-based Message Authentication, Reporting & Conformance). În acest ghid, vom explora DMARC în detaliu, inclusiv ce este, cum funcționează și cum să o implementăm pentru a vă proteja domeniul de e-mail de atacurile de phishing.
Ce este DMARC?
DMARC este un protocol de autentificare a e-mailurilor care permite proprietarilor de domenii de e-mail să precizeze ce mecanisme (SPF, DKIM) sunt autorizate să trimită e-mailuri în numele lor și ce măsuri trebuie luate pentru e-mailurile care nu reușesc să treacă verificările de autentificare. Protocolul DMARC oferă o modalitate prin care destinatarii de e-mailuri pot verifica dacă e-mailurile primite sunt legitime și nu sunt false sau tentative de phishing.
Cum funcționează DMARC?
DMARC funcționează prin utilizarea a două mecanisme existente de autentificare a e-mailurilor: Sender Policy Framework (SPF) și DomainKeys Identified Mail (DKIM). SPF este un mecanism de autentificare a e-mailurilor care permite proprietarilor de domenii să specifice ce adrese IP sunt autorizate să trimită e-mailuri în numele domeniului lor. DKIM este un mecanism de autentificare a e-mailurilor care permite proprietarilor de domenii să atașeze o semnătură digitală la e-mailurile lor de ieșire, care poate fi utilizată pentru a verifica autenticitatea e-mailurilor.
La primirea unui e-mail, serverul de poștă electronică destinatar efectuează o verificare a înregistrării SPF și o verificare DKIM pentru a verifica autenticitatea e-mailului. În cazul în care e-mailul nu trece niciuna dintre aceste verificări, este considerat suspect și poate fi respins sau marcat ca spam. Protocolul DMARC adaugă un nivel suplimentar de protecție, permițând proprietarului domeniului să precizeze ce măsuri trebuie luate pentru mesajele electronice care nu trec de verificarea SPF sau DKIM.
Cum se implementează DMARC?
Pentru a implementa DMARC, trebuie să creați o înregistrare DMARC și să o publicați în DNS (Domain Name System) pentru domeniul dumneavoastră. Înregistrarea DMARC specifică mecanismele de autentificare a e-mailurilor (SPF, DKIM) care sunt autorizate să trimită e-mailuri în numele domeniului dvs. și ce măsuri trebuie luate pentru e-mailurile care nu reușesc să treacă verificările de autentificare. Iată care sunt pașii pentru a implementa DMARC:
Pasul 1: Creați o înregistrare DMARC
Înregistrarea DMARC trebuie să fie creată într-un format specific și publicată în DNS pentru domeniul dumneavoastră. Iată un exemplu de înregistrare DMARC:
v=DMARC1; p=none; rua=mailto:reports@example.com; ruf=mailto:forensic@example.com; fo=1; adkim=s; aspf=s; pct=100;
Înregistrarea DMARC conține mai mulți parametri care specifică modul în care protocolul DMARC trebuie aplicat pentru domeniul dumneavoastră. Iată o scurtă prezentare generală a parametrilor:
- v: Indică versiunea protocolului DMARC care este utilizată. Versiunea curentă este DMARC1.
- p: Specifică politica DMARC pentru domeniul dumneavoastră. Politica poate fi setată la una dintre cele trei valori: niciunul, carantină sau respingere. Dacă politica este setată la niciuna, nu se va lua nicio măsură pentru mesajele de poștă electronică care nu reușesc verificările de autentificare. Dacă politica este setată la carantină, mesajele electronice suspecte vor fi marcate ca spam. Dacă politica este setată la reject, e-mailurile suspecte vor fi respinse în totalitate.
- rua: Specifică adresa de e-mail la care trebuie trimise rapoartele agregate. Rapoartele agregate conțin informații despre e-mailurile care au trecut sau nu verificările DMARC.
- ruf: Specifică adresa de e-mail la care trebuie trimise rapoartele de expertiză. Rapoartele criminalistice conțin informații detaliate despre e-mailurile care nu au trecut verificările DMARC.
- fo: Specifică formatul rapoartelor DMARC. Valoarea implicită este 0, ceea ce înseamnă că rapoartele trebuie trimise în format XML. Valoarea 1 indică faptul că rapoartele ar trebui să fie trimise într-un format lizibil pentru oameni.
- adkim: Specifică modul de aliniere pentru DKIM
- aspf: Specifică modul de aliniere pentru SPF. Modul de aliniere specifică dacă domeniul utilizat în adresa plicului SMTP (cunoscut și sub numele de „adresa de respingere”) trebuie să corespundă domeniului utilizat în câmpul de antet „De la” al e-mailului.
- pct: Specifică procentul de mesaje care ar trebui să fie supuse verificărilor DMARC. O valoare de 100 înseamnă că toate mesajele ar trebui să fie supuse verificărilor DMARC.
Pasul 2: Publicarea înregistrării DMARC în DNS
După ce ați creat înregistrarea DMARC, trebuie să o publicați în DNS pentru domeniul dumneavoastră. Acest lucru se face prin adăugarea unei înregistrări TXT în fișierul de zonă DNS pentru domeniul dvs. Iată un exemplu de publicare a unei înregistrări DMARC în DNS:
_dmarc.example.com. IN TXT „v=DMARC1; p=none; rua=mailto:reports@example.com; ruf=mailto:forensic@example.com; ruf=mailto:forensic@example.com; fo=1; adkim=s; aspf=s; pct=100;”
Exemplul de mai sus presupune că domeniul dvs. este „example.com” și că doriți să publicați înregistrarea DMARC pentru domeniul rădăcină. Dacă doriți să publicați înregistrarea DMARC pentru un subdomeniu, va trebui să modificați înregistrarea în mod corespunzător.
Pasul 3: Monitorizați și ajustați politica DMARC
Odată ce înregistrarea DMARC a fost publicată în DNS, trebuie să monitorizați rapoartele generate de serverele de poștă electronică receptoare. Aceste rapoarte vor furniza informații despre mesajele de poștă electronică care au trecut sau nu verificările DMARC și vă vor permite să vă ajustați politica DMARC. De exemplu, este posibil să constatați că e-mailurile legitime sunt marcate ca fiind spam și trebuie să vă ajustați politica DMARC în consecință.
Verificatoare DMARC
Pentru a vă asigura că implementarea DMARC funcționează corect, puteți utiliza verificatoarele DMARC pentru a testa înregistrarea DMARC. Verificatoarele DMARC sunt instrumente online care efectuează verificări DMARC pe domeniul dumneavoastră și oferă feedback cu privire la politica DMARC.
Concluzie
DMARC este un protocol eficient de autentificare a e-mailurilor care poate ajuta la protejarea domeniului dvs. de e-mail împotriva atacurilor de phishing. Prin implementarea DMARC, vă puteți asigura că numai expeditorii de e-mail autorizați pot trimite e-mailuri în numele domeniului dvs. și că e-mailurile suspecte sunt respinse sau marcate ca spam. Urmând pașii descriși în acest ghid, puteți implementa DMARC pentru domeniul dvs. și vă puteți asigura că comunicațiile dvs. prin e-mail sunt sigure și de încredere. Nu uitați să monitorizați în mod regulat rapoartele DMARC și să ajustați politica DMARC după cum este necesar pentru a asigura cea mai bună protecție posibilă împotriva atacurilor de phishing prin e-mail.
Sursa: bmmagazine.co.uk
