Raporty DMARC: jak je czytać i wykorzystywać

Ten artykuł wyjaśnia, jak interpretować codzienne raporty DMARC wysyłane przez serwery pocztowe odbiorców.

Wprowadzenie:

DMARC, czyli Domain-based Message Authentication, Reporting and Conformance, to protokół uwierzytelniania poczty e-mail. Dodaje dodatkową warstwę bezpieczeństwa, opierając się na istniejących mechanizmach (SPF i DKIM), aby skutecznie zapobiegać podszywaniu się pod tożsamość i próbom phishingu. DMARC pozwala również właścicielom domen otrzymywać raporty o e-mailach wysyłanych w ich imieniu, aby lepiej kontrolować użycie ich domeny.

Standard ten pomaga chronić Twoją domenę przed oszukańczym użyciem przez spamerów, którzy mogą fałszować adres nadawcy („From”), aby sprawiać wrażenie, że e-mail pochodzi od prawdziwego użytkownika Twojej domeny. DMARC zapobiega tego typu fałszerstwom, zapewniając, że e-maile są upoważnione do wysyłania w imieniu Twojej domeny.

DMARC opiera się na innych standardowych protokołach uwierzytelniania, takich jak SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail), aby pomóc administratorom identyfikować fałszywe e-maile wysyłane przez cyberprzestępców. Poprzez połączenie tych mechanizmów, DMARC zwiększa zdolność wykrywania prób podszywania się i chroni reputację domeny.

Uwaga: Po uwierzytelnieniu domeny na systeme.io rekordy SPF i DKIM są automatycznie dodawane do Twojej domeny.

Protokół DMARC pozwala nadawcom określić politykę, która wskazuje, jak serwery odbiorcze powinny traktować e-maile nieprzechodzące kontroli SPF lub DKIM. Zgodnie z tą polityką, wiadomości niezgodne mogą być oznaczane jako spam lub całkowicie odrzucane.

Czym są DKIM i SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM to metoda uwierzytelniania e-maili, która używa cyfrowego podpisu, aby pozwolić odbiorcom zweryfikować, że wiadomość została wysłana przez uprawnionego nadawcę i nie została zmieniona w trakcie przesyłu.

Gdy e-mail jest wysyłany, jest podpisywany przy użyciu klucza prywatnego powiązanego z domeną nadawcy. Po otrzymaniu, serwer pocztowy odbiorcy (np. Gmail, Outlook itp.) używa klucza publicznego opublikowanego w DNS domeny, aby zweryfikować podpis. To zapewnia, że treść e-maila nie została zmodyfikowana podczas przesyłu.

Innymi słowy, DKIM uniemożliwia stronie trzeciej przechwycenie e-maila, modyfikację jego treści i wysłanie go z potencjalnie fałszywymi informacjami.

Kolejną ważną zaletą DKIM jest to, że pomaga budować reputację domeny wysyłającej. Dostawcy usług internetowych (ISP) analizują jakość wysyłek (wskaźniki spamu, wskaźniki odbić, zaangażowanie odbiorców itd.), aby ocenić wiarygodność domeny. Stosowanie tych najlepszych praktyk bezpośrednio poprawia dostarczalność Twoich e-maili.

2. SPF (Sender Policy Framework)

SPF to protokół uwierzytelniania e-maili, który pozwala ISP, takim jak Gmail, zweryfikować, czy serwer pocztowy jest uprawniony do wysyłania wiadomości w imieniu danej domeny. W zasadzie jest to lista dozwolonych zadeklarowana w DNS domeny, która określa, które usługi lub adresy IP mają prawo wysyłać e-maile w Twoim imieniu.

Gdy wiadomość jest otrzymywana, serwer docelowy sprawdza, czy nadawca znajduje się na liście dozwolonych zdefiniowanej w rekordzie SPF. Jeśli nie, wiadomość może zostać oznaczona jako podejrzana lub odrzucona.

Jakie są korzyści z DMARC?

Chroń reputację swojej domeny

DMARC chroni Twoją markę i domenę przed próbami podszywania się. Zapobiega wysyłaniu e-maili przez nieautoryzowanych nadawców w Twoim imieniu. W niektórych przypadkach już samo opublikowanie rekordu DMARC może poprawić reputację Twojej domeny w oczach dostawców poczty.

Lepsza widoczność wykorzystania domeny

Raporty DMARC dostarczają jasnego wglądu w to, jak używana jest Twoja domena, czy to w sposób legalny, czy nie. Możesz zobaczyć, kto wysyła e-maile w Twoim imieniu i szybko zidentyfikować podejrzane działania.

Popraw dostarczalność e-maili

DMARC weryfikuje, czy Twoje e-maile są poprawnie uwierzytelnione za pomocą SPF i DKIM. Poprzez wykrywanie i korygowanie problemów z uwierzytelnianiem zwiększasz szanse na dotarcie e-maili do skrzynek odbiorczych odbiorców, jednocześnie zmniejszając ryzyko oznaczenia ich jako spam.

Zmniejsz liczbę spamu i skarg

Uniemożliwiając dostarczanie sfałszowanych e-maili do użytkowników końcowych, DMARC pomaga zmniejszyć liczbę skarg na spam i chronić reputację Twojej domeny w oczach ISP.

Raporty DMARC pozwalają analizować wyniki uwierzytelniania e-maili i podejmować działania w celu ochrony reputacji Twojej domeny lub firmy.

Raport DMARC zazwyczaj zawiera następujące informacje:

  • Nazwa podmiotu (organizacja lub dostawca) generującego raport
  • Okres raportowania (daty rozpoczęcia i zakończenia)
  • Status uwierzytelniania: zaliczone lub niezaliczone dla SPF i DKIM
  • Wyrównanie SPF/DKIM: czy rekordy prawidłowo zgadzają się z domeną nadawcy
  • Adres IP nadawcy analizowanej wiadomości
  • Podjęta akcja przez serwer odbiorczy (zaakceptowano, poddano kwarantannie lub odrzucono)

Te raporty dostarczają cennego wglądu w przepływ e-maili używających Twojej domeny i pomagają wykrywać próby podszywania się.

Korzyści z monitorowania raportów DMARC

Regularne monitorowanie raportów DMARC oferuje kilka kluczowych korzyści dla administratorów domen:

  • Zidentyfikuj i napraw problemy z uwierzytelnianiem

    Raporty ujawniają błędy SPF i DKIM, które mogą powodować trafianie Twoich e-maili do spamu. Naprawa tych błędów poprawia zarówno reputację domeny, jak i dostarczalność e-maili

  • Lepsza kontrola nad źródłami wysyłki

    Dzięki danym z raportów możesz upewnić się, że wszystkie e-maile wysyłane z Twojej domeny pochodzą z legalnych źródeł, szybko wykrywając próby podszywania się lub nieautoryzowane wysyłki

  • Zgodność z wymaganiami regulacyjnymi

    Wraz ze wzrostem ilości komunikacji e-mailowej wiele organów, w tym dostawcy poczty tacy jak Google, wymaga wdrożenia protokołów uwierzytelniania, takich jak DMARC. Na przykład od lutego 2024 Google wymaga od niektórych nadawców przestrzegania tych standardów w celu utrzymania bezpieczeństwa platformy

  • Dowód zgodności

    Zarchiwizowane kopie Twoich raportów DMARC mogą służyć jako namacalny dowód zgodności ze standardami bezpieczeństwa i przepisami dotyczącymi komunikacji e-mailowej

Przykład raportu DMARC

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Jak czytać raport DMARC:

Masz dwie opcje: analiza ręczna lub użycie pomocy AI.

A) Ręcznie rozłóż i zinterpretuj raport DMARC

Analiza opiera się na powyższym przykładzie:

  1. Twój ISP, nazwa dostawcy usług e-mail:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
  1. Numer identyfikacyjny raportu:
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
  1. Zakres dat (początek i koniec w sekundach):
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
  1. Specyfikacje rekordu DMARC opublikowane w DNS Twojej domeny:
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
  1. Adres IP źródła wysyłki:
<source_ip>XXX.XXX.XXX.XXX</source_ip>
  1. Podsumowanie wyników uwierzytelniania (SPF/DKIM zaliczone/niezaliczone):
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
  1. Pole From: domena:
<header_from> yourdomain.com</header_from>
  1. Wyniki uwierzytelniania SPF:
<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>
  1. Wyniki uwierzytelniania DKIM:
<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Użyj AI, takiego jak ChatGPT, aby przeanalizować raport DMARC

Możesz użyć narzędzi AI, takich jak ChatGPT, aby przeanalizować i zinterpretować raport DMARC. Ta sekcja pokazuje instrukcje krok po kroku.

  1. Zlokalizuj raport DMARC

Otwórz e-mail zawierający załącznik XML (zwykle wysyłany automatycznie przez serwery pocztowe odbiorców).

  1. Otwórz plik XML

Po pobraniu otwórz go w prostym edytorze tekstu, takim jak Notepad (Windows) lub TextEdit (Mac).

  1. Skopiuj zawartość

Wybierz całą zawartość XML i skopiuj ją.

  1. Wklej ją do ChatGPT

Przejdź do ChatGPT i wklej zawartość XML do okna czatu. Możesz zapytać na przykład:

„Czy możesz przeanalizować ten raport DMARC i powiedzieć mi, czy jakieś e-maile nie przeszły kontroli SPF lub DKIM?”

  1. Zinterpretuj wyniki

ChatGPT przeanalizuje tagi raportu i dostarczy jasne, uporządkowane wyjaśnienie danych: nadawca, wyniki SPF/DKIM, użyty adres IP, podjęta akcja (zaakceptowano, poddano kwarantannie, odrzucono) itd.

Nasze zalecenia na kolejne kroki

Teraz, gdy rozumiesz, jak wdrożyć DMARC, jego korzyści i jak interpretować raporty, wykonałeś krytyczny pierwszy krok w ochronie reputacji swojej domeny.

Jednak jako właściciel domeny Twoja odpowiedzialność nie kończy się na tym: jest to proces ciągły, który wymaga regularnego monitorowania i dostosowań.

Oto kilka najlepszych praktyk na przyszłość:

  • Regularnie monitoruj swoje raporty DMARC

    Sprawdzaj raporty często, aby wykrywać nieautoryzowane próby wysyłki.

  • Analizuj dane i podejmuj działania korygujące

    Szybko naprawiaj wszelkie problemy z uwierzytelnianiem (SPF/DKIM) i dostosowuj swoją politykę w razie potrzeby, aby wzmocnić bezpieczeństwo wysyłek.

  • Używaj swojej domeny odpowiedzialnie

    Stosuj dobre praktyki wysyłkowe (kwalifikowane listy kontaktów, niskie wskaźniki spamu, relewantne treści), aby utrzymać reputację domeny i dostarczalność e-maili

Czy to odpowiedziało na Twoje pytanie? Dziękujemy za opinię Wystąpił problem podczas przesyłania opinii. Spróbuj ponownie później.