DMARC-rapporter: Hvordan lese og bruke dem

Denne artikkelen forklarer hvordan du tolker de daglige DMARC-rapportene som sendes av mottakende e-postservere.

Introduksjon:

DMARC, som står for Domain-based Message Authentication, Reporting and Conformance, er en e-postautentiseringsprotokoll. Den legger til et ekstra sikkerhetslag ved å bygge videre på eksisterende mekanismer (SPF og DKIM) for effektivt å forhindre identitetsspoofing og phishingforsøk. DMARC gjør det også mulig for domeneeiere å motta rapporter om e-poster som sendes i deres navn, for bedre å kontrollere bruken av domenet sitt.

Denne standarden hjelper til med å beskytte domenet ditt mot svindel fra spammere, som kan forfalske avsenderadressen (“From”) for å få det til å se ut som om e-posten kommer fra en legitim bruker av domenet ditt. DMARC forhindrer denne typen forfalskning ved å sørge for at e-poster er autorisert til å sendes på vegne av domenet ditt.

DMARC er avhengig av andre standard autentiseringsprotokoller, slik som SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail), for å hjelpe administratorer med å identifisere falske e-poster sendt av nettkriminelle. Ved å kombinere disse mekanismene forbedrer DMARC muligheten til å oppdage spoofingforsøk og beskytte domenets omdømme.

DMARC-protokollen tillater avsendere å definere en policy som angir hvordan mottakende servere skal håndtere e-poster som feiler SPF- eller DKIM-sjekker. I henhold til denne policyen kan ikke-kompatible meldinger merkes som søppelpost eller bli avvist.

Hva er DKIM og SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM er en e-postautentiseringsmetode som bruker en digital signatur for å la mottakere verifisere at en melding ble sendt av en autorisert avsender og ikke ble endret under overføring.

Når en e-post sendes, blir den signert med en privat nøkkel knyttet til avsenderens domene. Ved mottak bruker mottakerens e-postserver (som Gmail, Outlook osv.) en offentlig nøkkel publisert i domenets DNS for å validere signaturen. Dette sikrer at e-postinnholdet ikke har blitt manipulert underveis.

Med andre ord forhindrer DKIM at en tredjepart avskjærer en e-post, endrer innholdet og sender den videre med potensielt bedragersk informasjon.

En annen stor fordel med DKIM er at det hjelper med å bygge opp omdømmet til ditt sendeområde. Internettleverandører (ISPer) analyserer sende-kvalitet (spam-rater, avvisningsrater, mottakerengasjement osv.) for å vurdere domenets pålitelighet. Å følge disse beste praksisene forbedrer direkte din e-postleveringsrate.

2. SPF (Sender Policy Framework)

SPF er en e-postautentiseringsprotokoll som lar ISPer, som Gmail, verifisere om en e-postserver er autorisert til å sende meldinger på vegne av et domene. I bunn og grunn er det en tillatelsesliste erklært i domenets DNS som spesifiserer hvilke tjenester eller IP-adresser som har lov til å sende e-poster på dine vegne.

Når en melding mottas, sjekker destinasjonsserveren om avsenderen står på den tillatte listen definert i SPF-posten. Hvis ikke, kan meldingen bli markert som mistenkelig eller avvist.

Hva er fordelene med DMARC?

Beskytt domenets omdømme

DMARC beskytter merkevaren og domenet ditt mot spoofingforsøk. Det hindrer uautoriserte avsendere i å sende e-poster på dine vegne. I noen tilfeller kan det å bare publisere en DMARC-post forbedre domenets omdømme hos e-postleverandører.

Bedre oversikt over domenebruk

DMARC-rapporter gir klar innsikt i hvordan domenet ditt blir brukt, enten legitimt eller på annen måte. Du kan se hvem som sender e-poster i ditt navn og raskt identifisere mistenkelig aktivitet.

Forbedre e-postlevering

DMARC verifiserer at e-postene dine er korrekt autentisert via SPF og DKIM. Ved å oppdage og rette autentiseringsproblemer øker du sjansen for at e-postene dine havner i mottakernes innbokser samtidig som risikoen for å bli flagget som spam reduseres.

Reduser spam og klager

Ved å forhindre at forfalskede e-poster når sluttbrukere, hjelper DMARC med å redusere spam-klager og beskytte domenets omdømme hos ISP-er.

DMARC-rapporter lar deg analysere resultater fra e-postautentisering og ta tiltak for å beskytte ditt domene eller virksomhetens omdømme.

En DMARC-rapport inneholder vanligvis følgende informasjon:

• Enhetsnavn (organisasjon eller leverandør) som genererer rapporten
• Rapporteringsperiode (start- og sluttdatoer)
• Autentiseringsstatus: pass eller fail for SPF og DKIM
• SPF/DKIM-justering: om postene er riktig justert med sendeområdet
• Avsenderens IP-adresse for den analyserte meldingen
• Handling utført av mottakende server (godkjent, karantene eller avvist)

Disse rapportene gir verdifull innsikt i e-postflyt som bruker domenet ditt og hjelper med å oppdage spoofingforsøk.

Fordeler ved å overvåke DMARC-rapporter

Regelmessig overvåking av DMARC-rapporter gir flere viktige fordeler for domenadministratorer:

• Identifisere og rette autentiseringsproblemer

  Rapporter avslører SPF- og DKIM-feil som kan føre til at e-postene dine havner i søppelpost. Å rette disse feilene forbedrer både ditt domenes omdømme og e-postens leverbarhet.

• Forbedret kontroll over sende-kilder

  Ved å bruke data fra rapportene kan du sikre at alle e-poster sendt fra domenet ditt kommer fra legitime kilder, og raskt oppdage spoofing eller uautoriserte sende-forsøk.

• Overholdelse av regelverk

  Med det økende volumet av e-postkommunikasjon krever mange myndigheter, inkludert e-postleverandører som Google, implementering av autentiseringsprotokoller som DMARC. For eksempel krever Google fra og med februar 2024 at visse avsendere overholder disse standardene for å opprettholde plattformsikkerheten.

• Bevis på etterlevelse

  Arkiverte kopier av DMARC-rapportene dine kan fungere som håndfast bevis på etterlevelse av sikkerhetsstandarder og regler for e-postkommunikasjon.

Eksempel på en DMARC-rapport

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Hvordan lese en DMARC-rapport:

Du har to alternativer: manuell analyse eller bruk av AI-hjelp.

A) Manuelt bryt ned og tolk en DMARC-rapport

Nedbrytningen er basert på eksemplet ovenfor:

1. Din ISP, navnet på din e-postleverandør:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>

2. Rapports identifikasjonsnummer:

<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>

3. Datoperiode (start og slutt i sekunder):

<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>

4. DMARC-policiespesifikasjoner slik de er publisert i domenets DNS:

<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>

5. IP-adresse for sende-kilde:

<source_ip>XXX.XXX.XXX.XXX</source_ip>

6. Oppsummering av autentiseringsresultater (SPF/DKIM pass/fail):

<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>

7. Fra: domenet:

<header_from> yourdomain.com</header_from>

8. SPF-autentiseringsresultater:

<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>

9. DKIM-autentiseringsresultater:

<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Bruk AI som ChatGPT for å analysere en DMARC-rapport

Du kan bruke AI-verktøy, som ChatGPT, for å analysere og tolke en DMARC-rapport. Denne seksjonen viser trinnvise instrukser.

1. Finn DMARC-rapporten

Åpne e-posten som inneholder XML-vedlegget (disse sendes vanligvis automatisk av mottakende e-postservere).

2. Åpne XML-filen

Etter nedlasting åpner du den med en enkel teksteditor som Notepad (Windows) eller TextEdit (Mac).

3. Kopier innholdet

Velg hele XML-innholdet og kopier det.

4. Lim det inn i ChatGPT

Gå til ChatGPT og lim inn XML-innholdet i chattevinduet. Du kan for eksempel spørre:

“Kan du analysere denne DMARC-rapporten og fortelle meg om noen e-poster feilet SPF- eller DKIM-sjekker?”

5. Tolk resultatene

ChatGPT vil analysere rapportens tagger og gi en klar, strukturert forklaring av dataene: avsender, SPF/DKIM-resultater, hvilken IP-adresse som ble brukt, handling tatt (godkjent, karantene, avvist), osv.

Våre anbefalinger for videre arbeid

Nå som du forstår hvordan du implementerer DMARC, fordelene og hvordan du tolker rapporter, har du fullført et kritisk første steg for å beskytte domenets omdømme.

Som domeneeier stopper imidlertid ikke ansvaret der: dette er en løpende prosess som krever regelmessig overvåking og justeringer.

Her er noen løpende beste praksiser:

• Overvåk DMARC-rapportene dine regelmessig

  Sjekk rapporter ofte for å oppdage eventuelle uautoriserte sende-forsøk.

• Analyser dataene og ta korrigerende tiltak

  Rett opp eventuelle autentiseringsproblemer (SPF/DKIM) raskt og juster policyen etter behov for å styrke sende-sikkerheten.

• Bruk domenet ditt ansvarlig

  Følg gode sende-praksiser (kvalifiserte kontaktlister, lave spam-rater, relevant innhold) for å opprettholde ditt domenes omdømme og e-postleverbarhet