DMARC Beállítása és tesztelése

0

Mi a DMARC?

A DMARC ( angolul : Domain-based Message Authentication, Reporting and Conformance) egy olyan email autentikációs módszer, amely az SPF és DKIM rendszerekre épülve az Email Spoofing észlelését és visszaszorítását hivatott elvégezni.
Célja az olyan adathalászat és e-mail spam során alkalmazott technikák elleni küzdelem, mint például a hamisított feladó címekről származó e-mailek, amelyek úgy tűnhetnek, hogy a jogos szervezetektől származnak.
Lehetővé teszi a domain adminisztrátora számára, hogy közzé tegyen egy olyan irányelvet a DMARC konfigurációban, amelyre a kiválasztott mechanizmus (DKIMSPF vagy mindkettő) alkalmazható, amikor e-mailt küld a tartományból, és hogy a fogadónak hogyan kell kezelni az esetleges hibákat.
Ezenkívül biztosítja az irányelvekben meghatározott rendelkezésekre vonatkozó tevékenységek jelentési mechanizmusait.
Ezáltal összehangolja a DKIM és SPF eredményeit és meghatározza, mely körülmények között kell a From: fejlécet legitimnek tekinteni.

A DMARC minden tárhely előfizetésünknél beállítható.

Hogyan tudom hozzáadni a DMARC rekordot?

Először is ellenőrizni kell, hogy az érintett Domain DNS konfigurációja tartalmaz-e már DMARC bejegyzést. Ha nem, akkor az alábbiak szerint tudjuk hozzáadni:

  1. Lépjünk be a DirectAdmin felületre
  2. Navigáljunk a DNS menedzsment menü pontra
  3. A TXT sor bal oldalához adjuk hozzá ezt az értéket:_dmarc
  4. A TXT sor jobb oldalához adjuk hozzá ezt az értéket, ahol is a spam-report@domain.com helyére cseréljük ki az általunk használni kívánt email címre:_”v=DMARC1; p=none; sp=none; rua=mailto:spam-reports@domain.com
  5. A TXT sor végén található Hozzáad gombra kattintva mentsük el a mezők tartalmát a DNS konfigurációs fájlba.

DMARC beállításai:

  1. Alapértelmezett Monitorozó mód:”v=DMARC1; p=none; sp=none; rua=mailto:spam-reports@domain.com”
  2. P (policy) irányelv használata:
    1. p=none;Ez az irányelv azt jelenti, hogy a Domain Tulajdonos nem kéri a fogadó felet, hogy tegyen további lépéseket, ha a DMARC ellenőrzése valamiért sikertelen.  Ez az irányelv lehetővé teszi a Domain tulajdonos számára, hogy a Domainje használatával kapcsolatos üzeneteket kapjon, még akkor is, ha nem telepítették az SPF / DKIM-et.
    2. p=quarantineA levelezési forgalom karanténba kerül.
    3. p=rejtectA levelezési forgalom elutasításra kerül.
  3. PCT használata
    Ha “p = none”-tól eltérő irányelvet ad meg, úgy a PCT használatát is bele kell venni a teljes DMARC irányelv listába.  A PCT százalékos értéket jelöl és korlátozó jelleggel bír. Például:
    Ha a “p = reject” és a “pct = 60” irányelvet együttesen alkalmazza, úgy a forgalom 60% -a elutasításra, 40% -a karanténba kerül, ha nem sikerül a DMARC ellenőrzés.
  4. Karanténba zárja az összes üzenetet, amely nem ment át a szűrőn: v=DMARC1; p=quarantine; pct=100;
  5. Hibaüzenetek fogadása (RUF):
    A hibajelentések nagyon hasznosak az elemzéshez, hogy segítsenek azonosítani a saját levelezőprogramjainak hibáit és valamilyen adathalászati vagy más támadást, viszont hibajelentést küldenek minden alkalommal, amikor a fogadó elutasít egy üzenetet DMARC irányelvei miatt. Ezáltal jelentősen megnövelhet a fiókhoz tartozó email forgalom! Így javasoljuk, ne használja ezt az opciót folytatólagosan. „v=DMARC1; p=none; sp=none; rua=mailto:spam-reports@domain.com ruf=mailto:dmarc-ruf@example.com”

DMARC tesztelése:

  1. Windows esetén:
    1. Gépeljük be a parancssorba, hogy nslookup
    2. A megjelenő prompt után ( > ) írjuk be az alábbi sorokat, ahol is az example.com helyére a tesztelni kívánt Domain nevet helyettesítsük be:set type=txt _dmarc.example.com
    3. Amennyiben helyesen gépelted be az adatokat és a DKIM is jól lett konfigurálva, az alábbi választ kell kapnod:_dmarc.fiberhost.hu text = „v=DMARC1; p=none; sp=none; rua=mailto:info@fiberhost.hu”
  2. Linux esetén:
    1. dig +short TXT _dmarc.example.com

DMARC Rekord Részletesen

Rekord Kötelező? Leírás és Érték
v Kötelező DMARC verziója. Jelenleg DMARC1-nek kell lennie
p Kötelező Utasítja a fogadó levelezőszervert, hogy mit tegyen azokkal az üzenetekkel, amelyek nem mennek át a hitelesítésen.

none – ne végezzen műveletet az üzenettel, és kézbesítse azt a címzett részére. Az üzeneteket naplózza egy jelentésbe, majd a rekordban a rua opcióval megadott e-mail címre küldje el azokat.
quarantine – az üzenetek megjelölése levélszemétként, és a címzett levélszemét mappájába helyezze át.
reject – az üzenet elutasítása. Ezzel a lehetőséggel a fogadó szerver általában visszapattanó üzenetet küld a küldő szervernek.

BIMI megjegyzés: Ha domainje BIMI-t használ, a DMARC p beállítást karanténra vagy elutasításra kell állítani. A BIMI nem támogatja a DMARC-házirendeket, ha a p beállítás none értéket tartalmaz!
pct Opcionális Meghatározza a nem hitelesített üzenetek százalékos arányát, amelyekre a DMARC-házirend vonatkozik. A DMARC fokozatos üzembe helyezésekor lehet alacsony százalékos értékkel kezdeni. Ahogy a Domainéről egyre több üzenet megy át a fogadó szerverek hitelesítésén, frissítse rekordját magasabb százalékkal, amíg el nem éri a 100%-ot

Egész számnak kell lennie 1 és 100 között. Ha nem használja ezt a lehetőséget a rekordban, a DMARC-házirend a Domainéről küldött üzenetek 100%-ára fog vonatkozik.

BIMI megjegyzés: Ha Domaine BIMI-t használ, a DMARC-házirend pct-értékének 100-nak kell lennie. A BIMI nem támogatja a DMARC-házirendeket, ha a pct-érték 100-nál kisebb.
rua Opcionális Az email jelentések kézbesítésére kijelölt email cím, ahova az Ön Domain nevén végzett DMARC-tevékenységekről fog összesített jelentéseket kapni. A jelentéseket XML formátumban kapja meg, melyeket minden nap megküldenek alapértelmezetten. Az értesítési típus nem valós idejű.

Az e-mail címnek tartalmaznia kell a mailto: hivatkozást. Például: mailto:dmarc-reports@fiberhost.hu

Ha egynél több e-mail címre szeretné elküldeni a jelentést, válassza el az e-maileket vesszővel. Például: mailto:dmarc-reports@fiberhost.hu,mailto:dmarc-reports2@fiberhost.hu

Ez a lehetőség nagy mennyiségű jelentést tartalmazó e-mailt generálhat, ezért nem javasoljuk a saját e-mail címének használatát. Ehelyett fontolja meg egy dedikált email postafiók, egy csoport vagy egy harmadik féltől származó szolgáltatás használatát, amely a DMARC-jelentésekre szakosodott.
ruf Opcionális Ezt a jelentési típust szakértői jelentésnek is szokták hívni a bővebb és szenzitívebb adatok köre miatt. Az adatokat egyszerű szövegként küldik el szinte azonnal, ahogy valamilyen probléma lépett fel.

A RUF egy teljesebb jelentés, mert további adatokat tartalmaz az e-mailekről, például tárgyat, fejlécet, valamint információkat a mellékletekről és URL-ekről, IP információkat, időpontokat, SPF, DKIM és DMARC eredményeket, stb. A szakértői jelentés akár egy e-mail teljes másolata is lehet.
sp Opcionális Beállítja az elsődleges domain aldomainjeiről érkező üzenetekre vonatkozó házirendet. Használja ezt a lehetőséget, ha más DMARC-házirendet szeretne használni az aldomainekhez.

none – ne végezzen műveletet az üzenettel, és kézbesítse azt a címzett részére. Az üzeneteket naplózza egy jelentésbe, majd a rekordban a rua opcióval megadott e-mail címre küldje el azokat.
quarantine – az üzenetek megjelölése levélszemétként, és a címzett levélszemét mappájába helyezze át.
reject – az üzenet elutasítása. Ezzel a lehetőséggel a fogadó szerver általában visszapattanó üzenetet küld a küldő szervernek.

Ha nem használja ezt a beállítást a rekordban, az aldomainek öröklik a szülőtartományhoz beállított DMARC-házirendet.
adkim Opcionális Beállítja a DKIM igazítási házirendet, amely meghatározza, hogy az üzenet információinak mennyire kell egyeznie a DKIM aláírásokkal. A DMARC az üzenetet az alapján fogadja el vagy utasítja el, hogy az üzenet From: fejléce mennyire felel meg az SPF vagy DKIM által meghatározott küldő tartománynak. Ezt hívják igazításnak.

A következő esetekben javasoljuk, hogy fontolja meg a szigorú igazításra való átállást a hamisítás elleni fokozott védelem érdekében:
– Az Ön Domainjéhez tartozó leveleket egy olyan aldomainről küldik, amelyet Ön nem tud felügyelni
– Vannak olyan aldomainjei, amelyeket egy másik entitás kezel

s – Szigorú igazítás. A feladó domain nevének pontosan meg kell egyeznie a megfelelő d=domainname jellel a DKIM-levélfejlécekben.
r – Laza igazítás (alapértelmezett). Részleges egyezéseket tesz lehetővé. A DKIM levélfejléceiben a d=domain bármely érvényes aldomainje elfogadható.
aspf Opcionális Beállítja az SPF igazítási házirendet, amely meghatározza, hogy az üzenetinformációknak milyen szigorúan kell egyezniük az SPF-aláírásokkal.

s – Szigorú igazítás. Az üzenet From fejlécének pontosan meg kell egyeznie az SMTP MAIL FROM parancsban szereplő tartománynévvel.
r – Laza igazítás (alapértelmezett). Engedélyezi a részleges egyezéseket. A tartománynév bármely érvényes altartománya elfogadható.