layered email authSPFwhich IPs may sendDKIMcryptographic signatureDMARCpolicy + reporting + alignmentall three needed for full impersonation defense

SPF, DKIM a DMARC

11 min přečtenovytváření sítí

E-mail byl navržen v roce 1982 bez ověřování – kdokoli mohl tvrdit, že je kýmkoli jiným, zadáním do pole Od. O čtyřicet let později tři vrstvené standardy – SPF, DKIM a DMARC – umožnily doménám deklarovat, kdo smí posílat poštu jejich jménem, ​​a nechat příjemce ověřit nároky. Dramaticky ztížili hromadné předstírání identity.

Celé tělo článku je uvedeno níže v angličtině.

Email authentication je sada mechanismů založených na DNS, které umožňují vlastníkovi domény určit, jak je jeho e-mail podepsán a které servery jsou oprávněny je odesílat. Tři pilíře – SPF, DKIM, DMARC – společně zabraňují druhu hromadného předstírání identity, který po desetiletí poháněl phishing. Přijetí je nyní dostatečně široké, aby zásady poštovních serverů běžně odmítaly neověřenou poštu.

SPF: které servery mohou odesílat

SPF (Sender Policy Framework) je záznam DNS TXT se seznamem IP adres oprávněných odesílat e-maily pro doménu. Přijímač zkontroluje doménu odesílatele obálky, vyhledá SPF této domény a ověří, zda je v seznamu IP připojujícího se serveru. Pokud ne, zpráva je podezřelá.

example.com. TXT "v=spf1 ip4:198.51.100.0/24 include:_spf.google.com -all"

To říká: mail for example.com může pocházet z rozsahu 198.51.100.0/24, plus servery, které Google publikuje a nic jiného nepublikuje přes Workspace.google (-all = odmítnout cokoliv jiného).

DKIM: kryptografické podepisování

DKIM (DomainKeys Identified Mail) přidá kryptografický podpis ke každé odchozí zprávě. Poštovní server odesílatele hashuje hlavičky a tělo zprávy, podepisuje hash svým soukromým klíčem a vkládá podpis do hlavičky DKIM-Signature. Přijímač načte veřejný klíč odesílatele z DNS, ověří podpis.

DKIM dokazuje dvě věci: zpráva nebyla při přenosu změněna (podpis by selhal) a podepisující doména řídí odpovídající soukromý klíč. Authentication, Reporting and Conformance) je vrstva zásad, která říká: „Pokud zpráva prohlašující, že je z mé domény selže SPF a/nebo DKIM, zde je to, co by příjemci měli udělat, a prosím nahlaste, co vidíte.“

Typický záznam DMARC:

XPLZ32_exampleZ.com.3 TXT "v=DMARC1; p=odmítnout; rua=mailto:[email protected]; pct=100"

To deklaruje: zprávy, které selžou v zarovnání SPF i DKIM, by měly být odmítnuty (p=odmítnout), souhrnné zprávy by měly být odeslány na adresu dmarc (zásady dmarc@00% of a com). (pct=100).

DMARC postup od monitorování k prosazování:

  • p=none — monitorovat a podávat zprávy; nic neodmítat
  • p=karanténa — neúspěšné zprávy se přesunou do složek se spamem
  • p=odmítnout — chybné zprávy jsou zahozeny v přijímači
  • XPLZne53X

    chybí data odesílaných (chybí data odesílaných od odesílatelů)=DMA p=karanténa do p=odmítnout.

    Co znamená "zarovnání"

    SPF ověřuje odesílatele obálky (návratovou cestu), kterou uživatel nikdy nevidí. DKIM ověřuje podepisovací doménu, která se také potenciálně liší od viditelné domény From. Příspěvek DMARC vyžaduje zarovnání mezi viditelnou hlavičkou From a ověřenou doménou – vnímání uživatele se musí shodovat s ověřenou identitou.

    Bez zarovnání by útočník mohl odeslat poštu se skutečně vypadající hlavičkou From z domény, kterou neovládají, a projít tak kontroly SPF/DKIM na jiné doméně v obálce. DMARC zaplňuje tuto mezeru tím, že vyžaduje, aby byla ověřena samotná doména From.

    Souhrnné zprávy

    Jedním z nejužitečnějších vedlejších účinků DMARC je každodenní zasílání souhrnných zpráv, které příjemci zasílají zpět. Zobrazují každou IP adresu, která tvrdila, že posílá poštu pro vaši doménu – legitimní, odesílatele třetích stran, na které jste zapomněli, a přímé pokusy o předstírání identity. Mnoho správců domén objevuje celý svůj povrch pro odesílání pošty prostřednictvím zpráv DMARC.

    Služby jako Postmark, Dmarcian, EasyDMARC a Valimail analyzují zprávy XML do použitelných řídicích panelů. Identifikace) umožňuje doménám se silným DMARC (typicky p=karanténa nebo přísnější) zobrazovat své logo vedle zpráv v podpůrných poštovních klientech. Gmail, Yahoo a další to ctí. Poskytuje viditelnou značku ověřených zpráv a pomáhá uživatelům odlišit poštu skutečné značky od zosobnění.

    Běžné chyby při nasazení

    • Příliš přísné SPF bez zohlednění všech odesílatelů. Mail chybí, protože marketingová platforma, CRM a helpdesk nebyly zahrnuty.
    • DKIM klíče s krátkou rotací, ale bez rotace klíčů ve skutečnosti nakonfigurované. Poštovní server stále používá starý server pošty; nic neověřuje, protože DNS to nemá.
    • DMARC skočí přímo na p=odmítnout. Legitimní pošta se okamžitě přeruší. Vždy postupujte od p=none přes karanténu k odmítnutí.
    • Zapomenutí subdomén. SPF a DMARC musí také pokrýt poštu ze subdomény (nebo je explicitně vynulovat).
    • SPF SPF „+vše“ nebo „?všechny“.XPL Použijte -all (odmítnout) nebo ~all (měkké selhání).

    Co to znamená pro uživatele

    Pro odesílatele: nasaďte SPF, DKIM a DMARC na každou doménu, ze které odesíláte, a na každou doménu, kterou vlastníte a ze které neposíláte (abyste zabránili předstírání identity). Pro příjemce: většina hlavních poskytovatelů (Gmail, Outlook, Yahoo, Apple, ProtonMail) kontroluje všechny tři a jedná podle zásad. Pokud provozujete svůj vlastní poštovní server, nakonfigurujte své filtry tak, aby respektovaly zásady DMARC odesílatelů.

    Pro běžné uživatele: to vše se děje pod uživatelským rozhraním. Viditelným efektem je, že hromadné vydávání se za dobře chráněné domény je výrazně těžší, než bývalo. Sofistikovaní útočníci se přesunuli k podobným doménám a převzetí účtů, protože přímé zosobnění domény nyní většinou selhává.

Často kladené otázky

Potřebuji všechny tři?
Ano pro jakoukoli doménu, která odesílá poštu. Samotný SPF zmešká přeposlanou poštu; Samotný DKIM nevynucuje zarovnání; DMARC závisí na dalších dvou a přidává zásady a hlášení. Tyto tři dohromady představují reálné minimum pro doménu, která chce být spolehlivě doručena.
Jaký je rozdíl mezi SPF a DKIM v praxi?
SPF ověřuje, které servery mohou odesílat. DKIM ověřuje integritu zprávy a signatáře. SPF se může přerušit při přeposílání zpráv (nový server není v SPF původní domény). DKIM přežije přeposílání, pokud se tělo zprávy nezmění. Pokrývají různé způsoby selhání.
Jak zjistím, zda má moje doména nastaven DMARC?
Vyhledejte záznamy TXT _dmarc.example.com. <code>dig TXT _dmarc.example.com</code> nebo použijte online analyzátory DMARC (MXToolbox, EasyDMARC, bezplatná kontrola Dmarciana). Odpověď zobrazuje vaše zásady a adresy pro podávání zpráv.
Co je BIMI a vyplatí se jej nasadit?
Indikátory značky pro identifikaci zprávy – zobrazuje vaše logo vedle vaší pošty v podpůrných klientech. Vyžaduje DMARC v karanténě nebo odmítnutí a navíc certifikát Verified Mark (přibližně 1500 $/rok za certifikát). Stojí to za to pro značky, které dostávají mnoho pokusů o napodobení identity; nadbytečné pro malé organizace.
Může DMARC úplně zastavit phishing?
Zabraňuje přímému vydávání se za dobře chráněné domény. Phishing se přesunul na podobné domény (paypa1.com místo paypal.com), kompromitované účty a převzetí účtu. DMARC uzavírá jednu důležitou třídu útoku; nezastaví veškerý phishing.
Vysvětlení SPF, DKIM a DMARC: Jak ověřování e-mailů zastavuje spoofing