BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dmarc

Jak bezpiecznie przejść z DMARC p=none na p=reject: etapowa mapa wdrożenia egzekwowania

Przejście DMARC z p=none na p=reject chroni Twoją domenę przed podszywaniem, ale pośpiech blokuje prawdziwą pocztę. Ta mapa daje Ci warunki wyjścia dla każdego etapu, realistyczny wielotygodniowy harmonogram, rampę pct, obsługę sp dla subdomen oraz listę kontrolną, którą sprawdzasz na własnych zbiorczych raportach DMARC, zanim zrobisz choćby jeden krok naprzód.

Zaktualizowano 5 lip 20268 min czytania

Przejście polityki DMARC z p=none na p=reject to sposób, w jaki zamieniasz pasywny rekord monitorujący w realną ochronę przed podszywaniem. Bezpiecznie robi się to krok po kroku, przechodząc przez kolejne bramki: pozostajesz w trybie monitorowania, dopóki raporty nie pokażą, że każdy legalny strumień nadawczy jest uwierzytelniony i zgodny, następnie zwiększasz do kwarantanny, a potem do odrzucania. Nigdy nie przechodź dalej tylko dlatego, że nadszedł określony dzień w kalendarzu. Przechodź dalej, ponieważ Twoje dane DMARC mówią, że kolejny krok nie zablokuje prawdziwej poczty.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Ryzyko nie tkwi w samej polityce reject. Ryzyko polega na egzekwowaniu, zanim będziesz w stanie zobaczyć cały swój ruch. Jeden zapomniany strumień (system fakturowania, helpdesk, platforma marketingowa, dostawca usług płacowych) zacznie zawodzić w chwili, gdy włączysz egzekwowanie, a te wiadomości trafią do kwarantanny lub zostaną odrzucone. Ten przewodnik daje Ci warunki wyjścia dla każdego etapu, dzięki czemu wiesz dokładnie, kiedy przejście dalej jest bezpieczne.

Cztery etapy i dlaczego bramki mają znaczenie

Egzekwowanie to nie przełącznik. To cztery stany, a każdy z nich ma swoje zadanie.

  1. Monitorowanie (p=none): zbierasz raporty zbiorcze i wykrywasz każde źródło wysyłające pocztę jako Twoja domena. Żadna poczta nie jest przy tym dotknięta.
  2. Rampa kwarantanny (p=quarantine z rosnącym pct): zawodząca poczta trafia do spamu dla coraz większej części ruchu. To Twój kontrolowany zasięg rażenia.
  3. Pełna kwarantanna (p=quarantine; pct=100): cała zawodząca poczta trafia do kwarantanny. Na tym etapie nic legalnego nie powinno już zawodzić.
  4. Odrzucanie (p=reject): zawodząca poczta jest odrzucana na poziomie SMTP i nigdy nie dociera ani do skrzynki odbiorczej, ani do folderu spam.

Bramka między każdym z etapów to ta sama zasada wyrażona na dwa sposoby: 100 procent Twojego ruchu nadawczego jest ujęte w raportach, a każdy legalny strumień przechodzi zgodność DMARC. Jeśli nie potrafisz udowodnić obu tych rzeczy, nie jesteś gotowy. Pomijanie bramki to sposób, w jaki zespoły w panice wyłączają DMARC po tym, jak odbije się wiadomość od członka zarządu.

Jeśli różnica między trzema wartościami polityki wciąż jest niejasna, przeczytaj najpierw Polityka DMARC: none, quarantine czy reject, a potem wróć do mapy wdrożenia.

Etap 1: Monitoruj i zinwentaryzuj każdy strumień

Opublikuj rekord monitorujący i skieruj raporty zbiorcze tam, gdzie możesz je czytać.

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; fo=1

Zostaw to działające przez co najmniej dwa do czterech tygodni. Potrzebujesz pełnego cyklu rozliczeniowego i pełnego cyklu marketingowego, aby nadawcy o niskiej częstotliwości (miesięczne faktury, kwartalne newslettery) pojawili się w danych. Jeśli nigdy nie otwierałeś raportu zbiorczego, nasz przewodnik jak czytać zbiorczy raport DMARC omawia XML pole po polu.

Twoim zadaniem na tym etapie jest zbudowanie listy każdego IP i dostawcy, który wysyła pocztę jako Twoja domena, oraz oznaczenie każdego z nich jako legalnego lub nie. Dla każdego legalnego źródła potwierdź, czy przechodzi zgodność SPF, zgodność DKIM, czy obie.

Warunki wyjścia dla etapu 1:

  • Każde źródło o dużym wolumenie w Twoich raportach jest zidentyfikowane i oznaczone jako legalne lub nieautoryzowane.
  • Każdy legalny strumień przechodzi DMARC na co najmniej jednym mechanizmie (zgodny z SPF lub zgodny z DKIM). DKIM ma największe znaczenie, ponieważ przetrwa przekazywanie dalej, więc napraw najpierw DKIM. Zajrzyj do napraw zgodność DKIM, jeśli strumień uwierzytelnia się, ale nie jest zgodny.
  • Udział całkowitego wolumenu wiadomości, który jest jednocześnie legalny i przechodzący, wynosi 100 procent lub bardzo blisko tej wartości.

Nie przechodź dalej, dopóki prawdziwy strumień wciąż zawodzi. Ta porażka stanie się awarią dostarczania w chwili, gdy włączysz egzekwowanie.

Etap 2: Kwarantanna z rampą pct

Teraz egzekwujesz na niewielkiej części. Tag pct mówi odbiorcom, do jakiego procentu zawodzącej poczty zastosować politykę. Reszta otrzymuje traktowanie o jeden stopień łagodniejsze, więc przy kwarantannie nieobjęta próbką część jest nadal dostarczana normalnie.

Zacznij nisko i wspinaj się w miarę, jak dane pozostają czyste:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@yourdomain.com; fo=1

Rozsądna rampa to 25, potem 50, potem 100, z utrzymaniem każdego kroku przez kilka dni do tygodnia. Po każdym zwiększeniu pobierz raporty i potwierdź, że zawodzący wolumen to wyłącznie źródła nieautoryzowane lub podszywające się, a nigdy Twoje własne systemy. Jeśli legalny strumień pojawi się w kolumnie zawodzących, zatrzymaj się, cofnij, napraw zgodność i dopiero wtedy kontynuuj. Pełną mechanikę tego tagu omawiamy w wyjaśnieniu tagu pct w DMARC.

Warunki wyjścia dla etapu 2:

  • pct=100 przy p=quarantine działało czysto przez co najmniej tydzień.
  • Raporty pokazują zero legalnej poczty w koszyku zawodzących przez pełny cykl nadawczy.
  • Każde nowe źródło, które pojawiło się podczas rampy, zostało zbadane i rozwiązane.

Etap 3: Obsłuż subdomeny za pomocą tagu sp

Zanim dotrzesz do reject, zdecyduj, co dzieje się z subdomenami. Tag sp ustawia politykę dla subdomen niezależnie od domeny organizacyjnej. Jeśli pominiesz sp, subdomeny dziedziczą wartość p.

Atakujący uwielbiają niestrzeżone subdomeny, ponieważ domena z p=reject, ale bez ochrony subdomen, wciąż pozwala, aby zachowanie p=none przeciekało na mail.yourdomain.com lub na wymyślone nazwy w rodzaju no-reply.yourdomain.com. Najczystsza postawa to egzekwowanie także na subdomenach:

v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:dmarc@yourdomain.com

Jeśli konkretna subdomena wysyła pocztę przez strumień, którego nie zweryfikowałeś w pełni, ustaw tymczasowo sp=quarantine, podczas gdy domena nadrzędna pozostaje w reject, a następnie zacieśnij to, gdy raporty tej subdomeny będą czyste. Nie wstrzymuj całej domeny organizacyjnej dlatego, że jedna subdomena jest opóźniona.

Etap 4: Przejdź na reject i utrzymaj linię

Gdy pełna kwarantanna działa czysto przez tydzień, a subdomeny są objęte ochroną, opublikuj politykę reject:

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@yourdomain.com; fo=1

W tym momencie podszywająca się poczta udająca Twoją domenę jest odrzucana, zanim gdziekolwiek wyląduje. To także polityka, która spełnia najbardziej rygorystyczne odczytanie wymagań nadawców Google i Yahoo dla nadawców masowych, i to właśnie ona realnie powstrzymuje bezpośrednie podszywanie się pod Twoją markę na poziomie domeny.

Egzekwowanie to nie meta. Nadal czytaj raporty zbiorcze, ponieważ dodawane są nowe narzędzia SaaS, dostawcy zmieniają wysyłające adresy IP, a strumień, który był zgodny w zeszłym kwartale, może po cichu przestać działać po migracji platformy. Jeśli legalne źródło zacznie zawodzić przy reject, jego poczta przepada, nie trafia do folderu spam, więc pętla zwrotna wciąż ma znaczenie.

Realistyczny harmonogram i lista kontrolna przed przejściem dalej

Typowe wdrożenie dla organizacji z kilkoma platformami nadawczymi:

  • Tygodnie 1 do 4: p=none, zinwentaryzuj każdy strumień, napraw zgodność SPF i DKIM na każdym z nich.
  • Tygodnie 5 do 7: p=quarantine z rampą pct 25, 50, 100.
  • Tydzień 8: pełna kwarantanna utrzymuje czystość; dodaj ochronę sp.
  • Tydzień 9 i dalej: p=reject, a następnie bieżący przegląd raportów.

Złożone środowiska z wieloma dostawcami zajmują więcej czasu i to jest w porządku. Harmonogram służy bramkom, a nie odwrotnie.

Przejdź tę listę kontrolną na własnych raportach, zanim przejdziesz do kolejnego etapu:

  • Czy widziałem pełny cykl rozliczeniowy i marketingowy danych przy obecnej polityce?
  • Czy 100 procent mojego legalnego wolumenu przechodzi DMARC na zgodności SPF lub DKIM?
  • Czy każde źródło w koszyku zawodzących zostało potwierdzone jako nieautoryzowane, a nie jeden z moich własnych systemów?
  • Czy uwzględniłem nadawców o niskiej częstotliwości (miesięcznych, kwartalnych)?
  • Czy subdomeny są objęte wartością sp, którą wybrałem świadomie?
  • Czy mam plan wycofania na wypadek, gdyby legalny strumień pojawił się po tym, jak przejdę dalej?

Jeśli każda odpowiedź brzmi tak, zrób kolejny krok. Jeśli którakolwiek odpowiedź brzmi nie, wstrzymaj się, napraw i przeczytaj raporty ponownie.

Najczęściej zadawane pytania

Jak długo powinienem pozostać przy p=none przed włączeniem egzekwowania?

Wystarczająco długo, aby zobaczyć każdy strumień nadawczy co najmniej raz, co zwykle oznacza dwa do czterech tygodni, tak aby nadawcy miesięczni i kwartalni pojawili się w Twoich raportach zbiorczych. Czas nie jest prawdziwą bramką. Bramką jest to, że Twoje raporty pokazują 100 procent legalnego ruchu przechodzącego zgodność DMARC. Jeśli osiągniesz to w trzy tygodnie, przechodź dalej. Jeśli strumień wciąż zawodzi po sześciu tygodniach, zostań.

Czy mogę pominąć kwarantannę i przejść od razu z none na reject?

Możesz, ale nie powinieneś, chyba że Twój ruch jest bardzo prosty i w pełni zgodny w danych raportowych. Kwarantanna z rampą pct to Twój zawór bezpieczeństwa: ogranicza, jak wiele poczty jest dotknięte, podczas gdy potwierdzasz, że nic legalnego nie ulega uszkodzeniu. Reject nie ma miękkiego lądowania, więc pominięty strumień staje się utraconą pocztą, a nie pocztą przeniesioną do folderu spam.

Co tag pct faktycznie robi podczas rampy?

pct ustawia procent zawodzących wiadomości, do których odbiorca stosuje Twoją politykę. Przy p=quarantine; pct=25 mniej więcej jedna czwarta zawodzącej poczty trafia do kwarantanny, a reszta jest dostarczana tak, jakby polityka była słabsza. Pozwala Ci to egzekwować na niewielkiej, rosnącej części, dzięki czemu możesz obserwować raporty pod kątem szkód ubocznych, zanim zobowiążesz się wobec całej populacji.

Czy potrzebuję tagu sp, jeśli ustawiłem już p=reject?

Jeśli pominiesz sp, subdomeny dziedziczą Twoją politykę p, więc samo p=reject faktycznie je obejmuje. Powodem, aby ustawić sp jawnie, jest kontrola: możesz chcieć, aby domena organizacyjna była w reject, podczas gdy subdomena wysyłająca przez jeszcze niezweryfikowaną platformę pozostaje w sp=quarantine. Świadome ustawienie tego zamyka też lukę, którą atakujący wykorzystują, podszywając się pod wymyślone subdomeny.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki