BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dmarc

Czy DMARC chroni przed phishingiem? Co blokuje, a czego nie

DMARC z polityką p=reject zatrzymuje atakujących, którzy podszywają się dokładnie pod Twoją domenę, w tym większość oszustw typu CEO-fraud fałszujących Twój adres. Nie zrobi jednak nic z domenami łudząco podobnymi, sztuczkami z nazwą wyświetlaną ani z przejętą skrzynką, z której ktoś loguje się w pełni legalnie. Ten przewodnik daje uczciwą macierz tak/nie, do każdej luki dopasowuje mechanizm, który ją naprawdę zamyka, i pokazuje, gdzie DMARC pasuje w warstwowej obronie, byś przestał traktować

Zaktualizowano 5 lip 20267 min czytania

DMARC zatrzymuje jedną konkretną i groźną klasę phishingu: pocztę, która fałszuje dokładnie Twoją domenę w polu nadawcy (From). Gdy opublikujesz p=reject, wiadomość podająca się za billing@yourdomain.com, która nie została wysłana przez Twoją autoryzowaną infrastrukturę, zostaje odrzucona na serwerze odbiorczym, zanim trafi do skrzynki. To zamyka drzwi przed klasycznym podszywaniem się pod domenę i przed dużą częścią oszustw typu CEO-fraud. DMARC sprawdza jednak wyłącznie domenę w widocznym nagłówku From, więc nie robi nic z domenami łudząco podobnymi, z fałszowaniem nazwy wyświetlanej ani z phishingiem wysyłanym ze skrzynki, do której atakujący już się włamał.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Uczciwa odpowiedź brzmi tak: DMARC jest niezbędny i potężny, ale to jedna warstwa. Poniżej znajdziesz dokładnie to, co blokuje, co przepuszcza oraz uzupełniający mechanizm dla każdej luki, byś mógł zbudować realne pokrycie zamiast fałszywego poczucia bezpieczeństwa.

Co DMARC faktycznie blokuje

DMARC wiąże ze sobą trzy rzeczy: SPF, DKIM oraz politykę, która mówi odbiorcom, co zrobić, gdy wiadomość zawiedzie w obu i nie jest zgodna z Twoją domeną From. Kluczowym pojęciem jest zgodność (alignment). Wiadomość przechodzi DMARC tylko wtedy, gdy domena, która przeszła SPF lub DKIM, pasuje do domeny w nagłówku From widzianej przez odbiorcę. Tego dopasowania fałszerze nie są w stanie podrobić bez dostępu do Twojego DNS lub Twojego klucza prywatnego DKIM.

Podszywanie się pod dokładną domenę

To atak, dla którego stworzono DMARC. Ktoś wysyła pocztę z From: ceo@yourdomain.com z losowego serwera, który kontroluje. Bez DMARC wielu odbiorców ją dostarcza, bo sam SPF sprawdza ukrytego nadawcę koperty, a nie widoczne From. Przy p=reject odbiorca nie widzi zgodnego przejścia i odrzuca wiadomość. To pojedyncza największa korzyść i powód, dla którego jak zatrzymać podszywanie się pod Twoją domenę w poczcie zaczyna się od DMARC.

Oszustwo CEO-fraud fałszujące Twój adres

Wiele przypadków przejęcia korespondencji firmowej (BEC) opiera się na tym, by pole From wyglądało jak Twój prawdziwy członek zarządu w Twojej prawdziwej domenie. Gdy sfałszowany adres jest dokładnym dopasowaniem do Twojej domeny, DMARC w trybie egzekwowania go blokuje. To znaczący fragment prób oszustw finansowych, a jego zablokowanie nic nie kosztuje.

Kampanie z malware i wyłudzaniem danych logowania wykorzystujące domenę Twojej marki

Masowe kampanie phishingowe, które rozsyłają wiadomości podszywające się pod Twoją domenę do Twoich klientów lub partnerów, zostają odfiltrowane na dużą skalę, gdy tylko włączysz egzekwowanie. To chroni jednocześnie Twoich odbiorców i Twoją reputację nadawcy.

Czego DMARC nie zatrzymuje

Tu zespoły się parzą. DMARC sprawdza domenę From i nic więcej. Każdy atak, który unika fałszowania dokładnie Twojej domeny, przechodzi obok niego bez przeszkód.

Domeny łudząco podobne i domeny-kuzyni

Atakujący rejestruje yourd0main.com, yourdomain-support.com lub yourdornain.com (gdzie rn zastępuje m) i z niej wysyła. DMARC na yourdomain.com nawet nie ocenia tej poczty, bo wiadomość naprawdę pochodzi z innej domeny, którą atakujący kontroluje i może uwierzytelnić. Dla Twojego rekordu DMARC ta domena po prostu nie jest Twoja.

Uzupełniającym mechanizmem jest defensywna rejestracja najbliższych wariantów z literówkami, monitoring marki wypatrujący nowo zarejestrowanych domen podobnych oraz filtrowanie po stronie odbiorcy, które punktuje nieznane domeny. BIMI i zweryfikowane logo też tu pośrednio pomagają: gdy odbiorcy nauczą się oczekiwać Twojego logo przy uwierzytelnionej poczcie, podobna domena bez logo wygląda podejrzanie.

Fałszowanie nazwy wyświetlanej

Nagłówek From ma dwie części: nazwę wyświetlaną i faktyczny adres. Atakujący wysyła From: "Your CEO" <attacker@gmail.com>. Adres to prawdziwe konto Gmail, które przechodzi DMARC dla gmail.com, więc nic nie zawodzi. Ofiara w większości programów pocztowych widzi tylko "Your CEO". DMARC nie ma żadnego zdania o nazwach wyświetlanych.

Uzupełniający mechanizm działa na poziomie dostawcy skrzynki i bramy: reguły wykrywające podszywanie się pod nazwę wyświetlaną, które oznaczają nazwiska wewnętrznych menedżerów przychodzące z zewnętrznych domen, plus szkolenie użytkowników, by sprawdzali faktyczny adres.

Phishing z przejętego konta

Jeśli atakujący sphishuje jednego z Twoich pracowników, wykradnie hasło i zaloguje się do prawdziwej skrzynki, jego poczta wychodząca przechodzi SPF, DKIM i DMARC bezbłędnie, bo naprawdę jest wysyłana przez Twój autoryzowany system. DMARC uwierzytelnia domenę, a nie intencję. To najtrudniejsza luka i powód, dla którego przejęcie konta jest dla atakujących tak cenne.

Uzupełniające mechanizmy to uwierzytelnianie wieloskładnikowe, wykrywanie niemożliwych podróży i anomalii oraz odporne na phishing logowanie do samych kont. DMARC nie widzi wnętrza uwierzytelnionej sesji.

Phishing przychodzący, który sam otrzymujesz

DMARC na Twojej domenie chroni innych ludzi przed pocztą sfałszowaną jako Twoja. Nie chroni Twoich pracowników przed phishingiem, który trafia do ich skrzynek z innych domen. To zadanie Twojej bramy przychodzącej, przepisywania linków, piaskownicy (sandbox) i skanowania załączników.

Macierz tak / nie

AtakCzy DMARC (p=reject) go zatrzymuje?Mechanizm zamykający lukę
Podszywanie się pod dokładną domenę w polu FromTakSam DMARC
CEO-fraud fałszujący Twoją domenęTakSam DMARC
Masowy phishing podszywający się pod Twoją domenęTakSam DMARC
Domena łudząco podobna / domena-kuzynNieDefensywna rejestracja, monitoring marki, BIMI
Fałszowanie nazwy wyświetlanejNieReguły antypodszywaniowe na bramie, szkolenie użytkowników
Wysyłka z przejętego kontaNieMFA, wykrywanie anomalii, uwierzytelnianie odporne na phishing
Phishing przychodzący z innych domenNieFiltrowanie na bramie przychodzącej, piaskownica

Wzorzec jest jasny. DMARC w pełni panuje nad kolumną "ktoś sfałszował dokładnie naszą domenę", a nad żadną z pozostałych. Oba fakty mają znaczenie.

Doprowadzenie DMARC do stanu, w którym cokolwiek zatrzymuje

DMARC blokuje tylko przy p=reject lub, częściowo, przy p=quarantine. Rekord p=none służy wyłącznie monitorowaniu i zatrzymuje zero phishingu; jedynie zbiera raporty. Wiele domen publikuje p=none i nigdy nie idzie dalej, co oznacza, że mają widoczność, ale żadnej ochrony. Pełną ścieżkę opisuje polityka DMARC: none vs quarantine vs reject.

Działający rekord egzekwowania wygląda tak:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com; adkim=s; aspf=s; fo=1

Zanim ustawisz p=reject, upewnij się, że każde legalne źródło wysyłki przechodzi ze zgodnością, bo inaczej zablokujesz własną pocztę. Oznacza to poprawny SPF i DKIM, a następnie etapowe wdrożenie opisane w jak skonfigurować DMARC. Pośpieszne przejście na reject, zanim Twoje źródła będą zgodne, to najczęstszy sposób, w jaki zespoły psują faktury, newslettery i odpowiedzi helpdesku.

Zgodność to to, co czyni ochronę realną

Wiadomość może przejść surowy SPF i mimo to zawieść DMARC, jeśli domena SPF nie jest zgodna z domeną From. Ścisła zgodność (adkim=s; aspf=s) to najszczelniejsza postawa i zapobiega sztuczkom z subdomenami, ale luźna zgodność jest w porządku dla większości nadawców. Rzecz w tym, że samo przejście SPF nie jest przejściem DMARC i dopiero zgodność DMARC daje Ci gwarancję ochrony przed podszywaniem.

Gdzie DMARC pasuje w warstwowej obronie

Pomyśl o tym jak o trzech koncentrycznych pierścieniach. DMARC zabezpiecza najbardziej zewnętrzny pierścień: powstrzymuje świat przed podszywaniem się pod dokładnie Twoją domenę. Monitoring domen i defensywna rejestracja obsługują kolejny pierścień domen podobnych. Bezpieczeństwo kont, filtrowanie na bramie i świadomość użytkowników obsługują wewnętrzny pierścień, w którym atakujący nie musi już wcale się pod Ciebie podszywać.

Wdróż DMARC najpierw, bo jest darmowy, ma duży wpływ i jest wymagany przez zasady dla masowych nadawców Google i Yahoo. Potem dołóż resztę warstw. Domena na p=reject z MFA na każdej skrzynce i bramą, która oznacza podszywanie się pod nazwę wyświetlaną, pokrywa zdecydowaną większość realnego phishingu wymierzonego w Twoją organizację lub ją nadużywającego. Pominięcie któregokolwiek pierścienia zostawia oczywistą dziurę.

Najczęściej zadawane pytania

Czy DMARC zatrzymuje cały phishing?

Nie. Zatrzymuje phishing, który fałszuje dokładnie Twoją domenę w polu From, gdy ustawisz p=reject. Nie zatrzymuje domen łudząco podobnych, fałszowania nazwy wyświetlanej ani phishingu z przejętego konta, bo te używają albo innej domeny, albo domeny naprawdę uwierzytelnionej.

Czy p=none wystarczy, by chronić przed podszywaniem?

Nie. p=none służy wyłącznie monitorowaniu. Mówi odbiorcom, by nie podejmowali żadnego działania, i po prostu przysyła Ci raporty. Atakujący, którzy fałszują Twoją domenę, wciąż docierają do skrzynek. Ochronę uzyskujesz dopiero przy p=quarantine lub p=reject.

Czy atakujący nadal mogą podszywać się pod moją markę przy DMARC na reject?

Tak, nie fałszując dokładnie Twojej domeny. Rejestrują łudząco podobną domenę albo wstawiają Twoją nazwę w pole wyświetlane, wysyłając z własnego adresu. DMARC nigdy tego nie ocenia, więc potrzebujesz monitoringu domen i reguł antypodszywaniowych na bramie, by je pokryć.

Czy DMARC chroni moich pracowników przed przychodzącym phishingiem?

Nie bezpośrednio. DMARC na Twojej domenie chroni innych ludzi przed pocztą sfałszowaną jako Twoja. Ochrona przychodząca dla Twojego personelu pochodzi z Twojej bramy pocztowej, skanowania linków i załączników oraz MFA, a nie z Twojej własnej polityki DMARC.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki