BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dmarc

DMARC alignment relaxed kontra strict (i który wybrać)

Alignment w DMARC decyduje o tym, czy domena w widocznym adresie From zgadza się z domeną uwierzytelnioną przez SPF lub DKIM. Tryb relaxed pozwala na zgodność subdomen tej samej domeny organizacyjnej i jest ustawieniem domyślnym. Tryb strict wymaga dokładnego dopasowania. Ten przewodnik pokazuje różnicę na przykładzie mail.brand.com, podaje dokładną składnię aspf i adkim oraz prowadzi przez przejście na strict dopiero po tym, jak raporty będą czyste.

Zaktualizowano 5 lip 20267 min czytania

Alignment w DMARC to kontrola, która wiąże domenę widoczną dla odbiorcy w polu From z domeną, która faktycznie przeszła SPF lub DKIM. Tryb relaxed (domyślny) pozwala, aby każda subdomena Twojej domeny organizacyjnej liczyła się jako zgodna, więc poczta wysłana z mail.brand.com nadal jest zgodna z adresem From w domenie brand.com. Tryb strict wymaga, aby obie domeny pasowały dokładnie, znak w znak. Niemal każda domena powinna zaczynać od trybu relaxed i przechodzić na strict dopiero wtedy, gdy raporty zbiorcze potwierdzą, że nic z legalnej poczty nie zostanie zablokowane.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Co tak naprawdę sprawdza alignment

Same SPF i DKIM nie patrzą na adres, który widzi Twój odbiorca. SPF uwierzytelnia return-path (ukryty adres MAIL FROM / nadawcę koperty), a DKIM uwierzytelnia domenę zawartą w tagu d= podpisu. Każde z nich może przejść, podczas gdy widoczny nagłówek From: pokazuje zupełnie inną domenę. Właśnie tę lukę wykorzystują oszuści.

DMARC domyka tę lukę, dodając jedną regułę ponad SPF i DKIM: uwierzytelniona domena musi być zgodna z domeną z nagłówka From:. DMARC przechodzi, gdy prawdziwy jest co najmniej jeden z poniższych warunków:

  • SPF przechodzi i domena return-path jest zgodna z domeną From, albo
  • DKIM przechodzi i podpisująca domena d= jest zgodna z domeną From.

Wystarczy, że tylko jedno z dwóch będzie zgodne. Dlatego wiadomość przekazana przez listę mailingową nadal może przejść DMARC dzięki DKIM, nawet gdy SPF się załamie. Tryb alignmentu to po prostu definicja tego, co znaczy "być zgodnym", której używa DMARC, a ustawiasz go osobno dla SPF i dla DKIM.

Relaxed kontra strict: różnica w subdomenach

Cała praktyczna różnica między tymi dwoma trybami sprowadza się do tego, jak traktują subdomeny.

Alignment relaxed

Tryb relaxed porównuje domenę organizacyjną obu stron. Domena organizacyjna to rejestrowalny rdzeń, z grubsza domena, którą kupiłeś, plus jej sufiks publiczny, na przykład brand.com. W trybie relaxed każda subdomena tego rdzenia jest zgodna zarówno z rdzeniem, jak i z każdą inną subdomeną.

Więc jeśli Twój adres From to news@brand.com, a Twoja platforma pocztowa podpisuje DKIM jako d=mail.brand.com, alignment DKIM w trybie relaxed przechodzi, ponieważ oba sprowadzają się do brand.com. Tak samo jest z SPF: return-path bounces.brand.com jest zgodny z adresem From w domenie brand.com.

Alignment strict

Tryb strict wymaga dokładnego dopasowania pełnej domeny. mail.brand.com nie jest zgodny z brand.com w trybie strict, ponieważ etykiety nie są identyczne. Tylko brand.com jest zgodny z brand.com.

Oto praktyczny przypadek, który sprawia ludziom kłopot. Wysyłasz z:

  • Nagłówek From: hello@brand.com
  • Podpis DKIM: d=mail.brand.com (bardzo częste u dostawców usług pocztowych)

W trybie relaxed dla DKIM to przechodzi. W trybie strict (adkim=s) to nie przechodzi, ponieważ mail.brand.com to nie jest dokładnie brand.com. Z punktu widzenia bezpieczeństwa nic nie jest źle skonfigurowane, ale tryb strict odrzuca podpis z subdomeny, który tryb relaxed by zaakceptował. To najczęstsza przyczyna tego, że domena, która przechodziła DMARC, nagle zaczyna go oblewać po tym, jak ktoś przełączy się na strict.

Dokładna składnia: tagi aspf i adkim

Tryb alignmentu mieści się w dwóch tagach wewnątrz Twojego rekordu DMARC: aspf dla alignmentu SPF i adkim dla alignmentu DKIM. Każdy przyjmuje jedną z dwóch wartości:

  • r = relaxed (wartość domyślna, jeśli pominiesz tag)
  • s = strict

Rekord DMARC używający trybu relaxed dla obu wygląda tak. Ponieważ r jest wartością domyślną, większość opublikowanych rekordów całkowicie pomija te tagi:

v=DMARC1; p=reject; rua=mailto:dmarc@brand.com; aspf=r; adkim=r

Aby wymusić alignment strict na obu mechanizmach, ustaw oba tagi na s:

v=DMARC1; p=reject; rua=mailto:dmarc@brand.com; aspf=s; adkim=s

Możesz je też łączyć. Zupełnie poprawne jest pozostawienie SPF w trybie relaxed przy jednoczesnym zaostrzeniu DKIM lub odwrotnie:

v=DMARC1; p=reject; rua=mailto:dmarc@brand.com; aspf=r; adkim=s

Kilka rzeczy, które warto wiedzieć o tych tagach:

  • Jeśli nic nie wpiszesz, otrzymasz tryb relaxed. Nie da się przypadkiem trafić na strict. Musisz sam wpisać s.
  • Tagi są niezależne od Twojej polityki (p=none, quarantine czy reject). Tryb alignmentu i polityka egzekwowania to osobne decyzje.
  • Tryb alignmentu nie mówi nic o tym, czy same SPF lub DKIM przechodzą. Wiadomość bez żadnego ważnego podpisu DKIM oblewa alignment DKIM niezależnie od adkim, ponieważ nie ma nic, co można by dopasować.

Który tryb wybrać

Zacznij od relaxed. Wdróż najpierw p=none z alignmentem relaxed, zbieraj raporty zbiorcze przez dwa do czterech tygodni i rozważaj strict dopiero wtedy, gdy zrozumiesz każde źródło wysyłające pocztę jako Twoja domena. Dla zdecydowanej większości domen relaxed jest właściwym ustawieniem na stałe, a nie tylko etapem nauki na kółkach bocznych.

Kiedy relaxed jest właściwym wyborem na dłużej

Relaxed jest właściwy zawsze wtedy, gdy jakakolwiek legalna poczta jest podpisywana lub odbijana z subdomeny Twojego rdzenia. Obejmuje to większość rzeczywistych wdrożeń:

  • Platformy marketingowe podpisujące DKIM jako d=mail.brand.com lub podobną subdomenę.
  • Nadawcy poczty transakcyjnej używający dedykowanej subdomeny na odbicia dla SPF.
  • Każda konfiguracja, w której oddelegowałeś subdomenę do dostawcy, ale adres From zostawiłeś na rdzeniu.

W trybie relaxed wszystkie te przypadki przechodzą bez problemu, a Ty nadal masz pełną korzyść ochrony przed podszywaniem się, ponieważ atakujący wysyłający z domeny, której nie kontroluje, nie osiągnie zgodności w żadnym z trybów.

Kiedy strict jest wart zachodu

Alignment strict jest przydatny w wąskim zakresie, gdy chcesz zagwarantować, że przejść może wyłącznie poczta uwierzytelniona przez dokładnie tę domenę From, i celowo tak ułożyłeś wysyłkę, aby każdy strumień był podpisywany i odbijany z tej dokładnej domeny. Do wartościowych przypadków należą zamknięta domena marki używana tylko do konkretnego przepływu albo postawa bezpieczeństwa, która traktuje ponowne wykorzystanie subdomen jako ryzyko. Jeśli zestaw phishingowy kiedykolwiek zdoła uzyskać ważny podpis DKIM na subdomenie, której również używasz, tryb strict zapobiegnie temu, aby ten podpis z subdomeny był zgodny z Twoim adresem From na rdzeniu. To realne, ale rzadkie zagrożenie, i pomaga tylko wtedy, gdy Twoja legalna poczta już spełnia próg dokładnego dopasowania.

Bezpieczne przejście z relaxed na strict

Nie przełączaj aspf ani adkim na s na działającej domenie w nadziei, że się uda. Skorzystaj z raportów.

  1. Opublikuj tryb relaxed przy p=none z adresem rua=, aby otrzymywać raporty zbiorcze. Zostaw alignment na wartości domyślnej. Zobacz jak skonfigurować DMARC, aby poznać pełny rekord.
  2. Czytaj raporty zbiorcze przez dwa do czterech tygodni. Dla każdego przechodzącego źródła zanotuj domenę DKIM d= oraz domenę return-path z SPF. Nasz przewodnik po czytaniu zbiorczego raportu DMARC pokazuje dokładnie, gdzie się one pojawiają.
  3. Sprawdź, czy jakiekolwiek legalne źródło opiera swoją zgodność na subdomenie. Jeśli prawdziwy nadawca jest zgodny tylko dlatego, że obie domeny sprowadzają się do tego samego rdzenia, tryb strict go zablokuje. To źródło jest Twoją przeszkodą.
  4. Napraw albo zaakceptuj. Albo przekonfiguruj tego dostawcę tak, aby podpisywał i odbijał z dokładnej domeny From, albo zdecyduj, że relaxed jest w porządku, i zatrzymaj się tutaj. Większość zespołów zatrzymuje się tutaj.
  5. Dopiero wtedy ustaw adkim=s lub aspf=s. Zmieniaj po jednym mechanizmie naraz, nadal obserwuj raporty i potwierdź, że wskaźnik przechodzenia się utrzymuje, zanim zaostrzysz drugi.

Niepowodzenia alignmentu często wynikają z niepasującej domeny podpisującej DKIM, a nie z problemu z polityką, więc jeśli strict coś zepsuje, zacznij od naprawy alignmentu DKIM. I pamiętaj, że przekazywanie poczty może całkowicie zerwać alignment SPF, co jest kolejnym powodem, dla którego w praktyce alignment DKIM dźwiga większość ciężaru. Nasz przewodnik o tym, dlaczego przekazywanie poczty psuje SPF, omawia ten scenariusz awarii.

Najczęściej zadawane pytania

Jaki jest domyślny tryb alignmentu DMARC?

Relaxed, zarówno dla SPF, jak i DKIM. Jeśli pominiesz tagi aspf i adkim, DMARC traktuje je jak r. Nigdy nie trafisz na strict przez przypadek. Musisz jawnie wpisać aspf=s lub adkim=s.

Czy alignment strict czyni moją domenę bezpieczniejszą niż relaxed?

Tylko nieznacznie i tylko w konkretny sposób. Oba tryby blokują atakującego, który wysyła z domeny, której nie kontroluje, ponieważ taka poczta nie osiągnie zgodności w żadnym z ustawień. Strict dodaje jedną dodatkową gwarancję: ważny podpis z subdomeny Twojego własnego rdzenia nie będzie zgodny z Twoim adresem From na rdzeniu. To pomaga, jeśli uważasz ponowne wykorzystanie subdomen za ryzyko, ale nie robi nic przeciwko zwykłemu zewnętrznemu podszywaniu się, które relaxed już zatrzymuje.

Czy mogę używać strict dla DKIM, ale relaxed dla SPF?

Tak. Oba tagi są niezależne. Rekord taki jak aspf=r; adkim=s jest poprawny i częsty, gdy Twoja domena podpisująca DKIM dokładnie zgadza się z domeną From, ale adres odbić mieszka na subdomenie. Ustaw każdy tag na podstawie tego, jak skonfigurowany jest dany mechanizm dla Twojej poczty.

Dlaczego moja poczta zaczęła oblewać DMARC po przejściu na strict?

Niemal zawsze dlatego, że legalny nadawca podpisuje DKIM lub odbija SPF z subdomeny takiej jak mail.brand.com, podczas gdy Twój adres From jest na rdzeniu brand.com. Relaxed to akceptował, strict już nie. Sprawdź w raportach zbiorczych dokładne domeny d= i return-path, a następnie albo przenieś tego nadawcę na Twoją dokładną domenę From, albo wróć do relaxed.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki