إزالة الغموض عن سجل DMARC

نشرت: 2021-08-18

يعد معيار DMARC (مصادقة الرسائل المستندة إلى المجال والإبلاغ عنها ومطابقتها) أفضل أداة تمتلكها العلامات التجارية لمكافحة هجمات التصيد الاحتيالي التي تستهدف العملاء من خلال انتحال نطاقاتهم المملوكة. لكن تنفيذ DMARC يمكن أن يكون مربكًا بسرعة كبيرة.

في هذا المنشور ، سنزيل الغموض عن سجل DMARC من خلال تحديد علامات DMARC التي يتكون منها. سنغطي العلامات المطلوبة والاختيارية ، بالإضافة إلى مناقشة بعض الاستراتيجيات وحالات الاستخدام حيث يمكن لعلامات DMARC الأقل شهرة أن توفر لمؤسستك مستوى أعلى من أمان البريد الإلكتروني.

ما هي علامات DMARC؟
علامات DMARC هي لغة معيار DMARC. يخبرون مستلم البريد الإلكتروني بـ (1) التحقق من DMARC و (2) ما يجب فعله مع الرسائل التي تفشل في مصادقة DMARC.

علامات DMARC المطلوبة
هناك علامتا DMARC مطلوبتان فقط : "v:" و "p:"

الخامس: الإصدار . تُستخدم هذه العلامة لتحديد سجل TXT كسجل DMARC ، لذلك يمكن لمستلمي البريد الإلكتروني تمييزه عن سجلات TXT الأخرى. يجب أن تحتوي العلامة v: على قيمة "DMARC1" ويجب إدراجها كأول علامة في سجل DMARC بأكمله. إذا لم تتطابق القيمة تمامًا مع "DMARC1" أو لم يتم إدراج العلامة v: أولاً ، فسيتم تجاهل سجل DMARC بالكامل بواسطة جهاز الاستقبال.

مثال: v = DMARC1

ع: نهج استقبال البريد المطلوب. تشير هذه العلامة إلى السياسة التي سيطبقها المستلم للرسائل التي تخفق في التحقق من مصادقة DMARC والمحاذاة ، على النحو الذي حدده مالك النطاق. ستنطبق هذه السياسة على المجال المطلوب البحث عنه وعلى جميع النطاقات الفرعية ما لم يتم وصف سياسة نطاق فرعي منفصلة صراحة (سنغطي هذا لاحقًا في المنشور). هناك ثلاث قيم محتملة لـ p: tag

  1. p = none: يطلب مالك النطاق عدم اتخاذ أي إجراء محدد بشأن البريد الذي يفشل في مصادقة ومحاذاة DMARC.
  2. p = quarantine: يرغب مالك النطاق في معاملة البريد الذي يفشل في مصادقة DMARC وعمليات التحقق من المحاذاة على أنه مريب من قبل مستلمي البريد. قد يعني هذا أن المستلمين يضعون البريد الإلكتروني في مجلد البريد العشوائي / البريد غير الهام ، ويضعون علامة على أنه مريب أو يفحصون هذا البريد بكثافة إضافية.
  3. p = رفض: يطلب مالك النطاق من مستلمي البريد رفض البريد الإلكتروني الذي فشل في مصادقة DMARC وعمليات التحقق من المحاذاة. يجب أن يحدث الرفض أثناء معاملة SMTP. هذه هي السياسة الأكثر صرامة وتوفر أعلى مستوى من الحماية.

بالنظر إلى المعلومات الواردة أعلاه ، يمكن أن يكون المثال الأساسي لسجل DMARC هو: v = DMARC1؛ ع = لا شيء.

علامات DMARC الاختيارية
 تسمح علامات DMARC الاختيارية أدناه لمرسلي البريد الإلكتروني بتقديم إرشادات أكثر تحديدًا حول ما يجب فعله مع البريد الذي لا يقوم بالمصادقة ، وإزالة التخمين للمستلمين.

  • rua: يشير إلى المكان الذي يجب إرسال تقارير DMARC الإجمالية إليه. يعيّن المرسلون عنوان الوجهة بالتنسيق التالي: rua = mailto: [email protected]
  • ruf: يشير إلى المكان الذي يجب إرسال تقارير الطب الشرعي DMARC إليه. يحدد المرسلون عنوان الوجهة بالتنسيق التالي: ruf = mailto: [البريد الإلكتروني محمي]

العلامات الاختيارية التالية لها قيمة افتراضية سيتم افتراضها في حالة استبعاد العلامة. قائمة العلامات ذات القيمة الافتراضية المفترضة هي:

  • adkim: يشير إلى محاذاة معرّف DKIM صارمة أو مخففة. الافتراضي هو الاسترخاء.
  • aspf: يشير إلى محاذاة معرّف SPF صارم أو مخفف . الافتراضي هو الاسترخاء.
  • rf: تنسيق تقارير فشل الرسائل. الإعداد الافتراضي هو تنسيق تقرير فشل المصادقة ، أو "AFRF".
  • ri: عدد الثواني المنقضية بين إرسال التقارير الإجمالية إلى المرسل. القيمة الافتراضية هي 86400 ثانية أو يوم.
  • pct: النسبة المئوية للرسائل التي سيتم تطبيق سياسة DMARC عليها. توفر هذه المعلمة طريقة لتنفيذ واختبار تأثير السياسة تدريجيًا.
  • fo : تحدد نوع المصادقة و / أو ثغرات المحاذاة التي يتم الإبلاغ عنها إلى مالك المجال.
  • هناك أربع قيم للأخير fo: tag:
  • 0: إنشاء تقرير فشل DMARC إذا فشلت جميع آليات المصادقة الأساسية في تقديم نتيجة "مرور" تمت محاذاتها. (تقصير)
  • 1: أنشئ تقرير فشل DMARC إذا أنتجت أي آلية مصادقة أساسية شيئًا بخلاف نتيجة "المرور" المحاذاة.
  • د: أنشئ تقرير فشل DKIM إذا كانت الرسالة تحتوي على توقيع فشل في التقييم ، بغض النظر عن محاذاتها.
  • s: قم بإنشاء تقرير فشل نظام التعرف على هوية المرسل (SPF) إذا فشلت الرسالة في تقييم نظام التعرف على هوية المرسل (SPF) ، بغض النظر عن محاذاته.

بينما الافتراضي هو "fo = 0" ، ينصح Return Path العملاء باستخدام fo: 1 لإنشاء تقارير الفشل الأكثر شمولاً ، مما يوفر رؤية أكثر دقة لقناة البريد الإلكتروني.

يوجد أدناه مثال لسجل DMARC. بناءً على ما تعلمته حتى الآن ، حاول فك تشفير كل علامة:

ت = DMARC1 ؛ ع = رفض ؛ فو = 1 ؛ rua = mailto: [البريد الإلكتروني محمي] ؛ ruf = mailto: [البريد الإلكتروني محمي] ؛ rf = afrf ؛ نسبة مئوية = 100

ماذا عن المجالات الفرعية؟
علامة DMARC النهائية التي سنناقشها اليوم هي علامة sp: ، والتي تُستخدم للإشارة إلى السياسة المطلوبة لجميع النطاقات الفرعية حيث يفشل البريد في عمليات التحقق من المصادقة والمحاذاة DMARC. هذه العلامة قابلة للتطبيق فقط على نطاقات المستوى الأعلى (نطاقات المستوى التنظيمي). يكون أكثر فاعلية عندما يريد مالك المجال تحديد سياسة مختلفة لنطاق المستوى الأعلى وجميع المجالات الفرعية.

بالنسبة للسيناريوهات التالية ، سنستخدم نطاق المستوى الأعلى "domain.com" والمجال الفرعي "mail.domain.com" لتوضيح حالات الاستخدام.

  1. يريد مالك المجال فرض سياسة رفض لـ "domain.com" ، ولكن سياسة عزل لـ "mail.domain.com" (وجميع النطاقات الفرعية الأخرى). سيتضمن سجل DMARC لـ "domain.com" بعد ذلك "v = DMARC1؛ ع = رفض ؛ س = الحجر الصحي. " تُعد هذه إستراتيجية فعالة إذا احتاجت المؤسسة إلى الاحتفاظ بسياسة DMARC منفصلة لنطاق المستوى الأعلى وجميع النطاقات الفرعية.
  2. يريد مالك المجال فرض سياسة رفض لـ "mail.domain.com" (وجميع النطاقات الفرعية الأخرى) ولكنه لا يفرض سياسة رفض لـ "domain.com". سيتضمن سجل DMARC لـ "domain.com" بعد ذلك "v = DMARC1؛ ع = لا شيء ؛ س = رفض. " ستكون هذه إستراتيجية فعالة لمكافحة هجمات القاموس في حالة عدم استعداد نطاق المستوى الأعلى لفرض السياسة ، لكن المحتالين ينتحلون نطاقات فرعية مثل mail.domain.com و abc.domain.com و 123.domain. com ، xyz.domain.com ، وما إلى ذلك. سيؤدي تعيين علامة sp: للرفض إلى حماية المؤسسة من هجمات القاموس التي تستهدف النطاقات الفرعية دون التأثير على أي بريد مُرسَل من نطاق المستوى الأعلى ، "domain.com"

الآن بعد أن فهمت الحمض النووي لسجل DMARC ، تعرف على المزيد حول أنواع الهجمات التي يحظرها وأنواع الهجمات غير الموجودة في تقرير استخبارات تهديدات البريد الإلكتروني .