DMARC چیست؟

گزارش و انطباق احراز هویت پیام مبتنی بر دامنه (DMARC) یک پروتکل امنیتی ایمیل است. DMARC فرستنده های ایمیل را با ایجاد پروتکل های سیستم نام دامنه (DNS)، ایمیل شناسایی شده با کلیدهای دامنه (DKIM) و چارچوب خط مشی فرستنده (SPF) تأیید می کند.

استاندارد DMARC برای جلوگیری از تهدید جعل دامنه ایجاد شده ، جعل دامنه یا Domain Spoofing شامل استفاده مهاجمان از دامنه یک سازمان برای جعل هویت کارکنان آن است. همچنین DMARC پروتکل انتقال ایمیل ساده (SMTP) را تکمیل می کند. SMTP پروتکل اولیه ای است که برای ارسال پیام های ایمیل استفاده می شود، اما مکانیسم های تعریف یا اجرای احراز هویت ایمیل را شامل نمی شود.

DMARC چگونه کار می کند؟

 در شرایطی که مشحص نیست ایمیل هایی که از SPF و یا DKIM گذشته اند کاملا ایمن هستند و یا واقعا کلاهبرداری بوده اند یا خیر.  راه حل DMARC یا Domain-based Message Authentication, Reporting & Conformance یک پروتکل ایجاد تعامل و همکاری بین ارسال کنندگان ایمیل و دریافت کنندگان پیام است که مشخص میکند در هنگام مواجهه با ایمیل های عبور کرده از DKIM و SPF چه باید بکنند.

DMARCرا می توان مجموعه قوانینی تعریف کرد که برای گیرندگان و فرستندگان شرایطی را فراهم میکند تا بطور هماهنگ شده با ایمیل های جعلی مقابله کنند و آن را شناسایی کنند. در این راه گیرندگان ایمیل ریپورت هایی را برای فرستندگان ارسال میکنند که حاوی اطلاعاتی از تعداد و چگونگی ایمیل های تقلبی و کلاهبرداری رد شده است . همچنین فرستندگان ایمیل قوانین مورد انتظار خود را که تمایل دارند گیرندگان رعایت کنند توضیع می کنند .

بعد از دریافت ایمیل از سوی گیرنده، با استفاده از DMARC، آزمون های DKIM و SPF بر روی ایمیل رسیده اعمال خواهد شد و بعد از تایید و شناسایی فرستنده، سیاست های لازم مختص به دامنه ارسال کننده، اجرا می شوند. در هنگام بررسی قوانین این آیتم ها مورد سنجش قرار میگیرد: چه آدرس و یا آدرس هایی ایمیل معتبر ارسال میکنند، امضا الکترونیک بر روی آن چگونه است، در صورت عدم انطباق پیام دریافتی با قوانین، مورد را باید به چه کسی گزارش کرد و او نیز چه باید انجام دهد.

DMARC به DKIM یا SPF نیاز دارد که در دامنه ایمیل و یک رکورد DMARC در DNS منتشر شود. فرآیند خط‌مشی DMARC، همچنین به‌عنوان هم‌ترازی DMARC و هم‌ترازی شناسه نیز شناخته می‌شود، سیاست دامنه ایمیل را قادر می‌سازد تا پس از بررسی وضعیت DKIM و SPF به اشتراک گذاشته و احراز هویت شود.

یک رکورد SPF DKIM DMARC از سرورهای ایمیل درخواست می‌کند تا گزارش‌های زبان نشانه‌گذاری توسعه‌پذیر (XML) را به آدرس ایمیل مرتبط با رکورد ارسال کنند. یک گزارش بررسی کننده DMARC اطلاعاتی در مورد نحوه حرکت ایمیل در یک سیستم ارائه می دهد و به کاربران امکان می دهد تمام ترافیکی را که از دامنه ایمیل آنها استفاده می کند شناسایی کنند.

چرا از DMARC برای ایمیل استفاده کنیم؟

یک رکورد DMARC به صاحبان دامنه امکان می دهد از دامنه های خود در برابر دسترسی و استفاده غیرمجاز محافظت کنند. این امر بسیار مهم است زیرا ایمیل به طور فزاینده ای در برابر حملات سایبری آسیب پذیر است، مانند فیشینگ ، جعل ، والینگ ، کلاهبرداری از مدیران ارشد اجرایی (CEO) و به خطر انداختن ایمیل های تجاری (BEC).

با وجود اینکه ایمیل همچنان یکی از پرکاربردترین راههای ارتباطی آنلاین می باشد. اما ، حملات مبتنی بر ایمیل منجر به از دست دادن اعتماد مردم به این پلتفرم ارتباطی شده است،. از DKIM و SPF برای شناسایی و اعتبارسنجی فرستنده‌ها برای سال‌ها استفاده می‌شود، اما مشکل اینجاست که در صورت نامعتبر بودن فرستنده، چه اتفاقی می‌افتد. این امر مانع از آن شد که صاحبان دامنه کنترل کامل برند خود را در دست بگیرند، بنابراین نیاز به امنیت ایمیل DMARC وجود دارد.



مزایای DMARC چیست؟

گزارش های DMARC به صاحبان دامنه کمک می کند تا از جعل دامنه جلوگیری کنند. که امری ضروری برای همه سازمان‌های دولتی می باشد.

مزایای DMARC عبارتند از:

شهرت و اعتبار برند :

هنگامی که یک مالک دامنه یک رکورد DMARC منتشر می کند، با جلوگیری از ارسال ایمیل توسط کاربران غیرمجاز یا اشخاص ثالث از دامنه خود و به عبارتی دیگر از نام تجاری خود محافظت می کند. فرآیند انتشار یک رکورد DMARC در برخی موارد می‌تواند به یک سازمان اعتباری سریع ببخشد .

امنیت :

DMARC یک خط مشی ثابت برای صاحبان دامنه ایمیل ارائه می دهد تا پیام هایی را که تأیید یا احراز هویت نشده اند مدیریت کنند. در نتیجه، کل اکوسیستم ایمیل با به کارگیری DMARC امن تر و قابل اعتمادتر است.

قابل مشاهده بودن :

گزارش DMARC دید برنامه های ایمیل صاحبان دامنه را افزایش می دهد. گزارش ها به مدیران این دانش را می دهد که چه کسانی  از دامنه آنها پیام های ایمیل ارسال می کند.

رکورد DMARC چیست؟

رکورد DMARC ، یک رکورد DNS از نوع TXT است پروتکلی است که در کنار دیگر رکوردهای موجود مانند SPF و DKIM، به منظور احراز هویت و جلوگیری از جعل ایمیل استفاده می‌شود. رکورد DMARC برای یک دامنه در سرور تعریف می شود که این رکورد شامل اطلاعات کاملی از سرور و دامنه ی شما می باشد و به عنوان یک امضا برای دامنه عمل میکند و مشخص میکند چه اتفاقی بیوفتد. در زمانی که ایمیلی از سمت دامنه ارسال شود که دارای این امضا ( رکورد ) نباشد . به عبارتی دیگر یعنی سرور گیرنده ی ایمیل نمی تواند تأیید کند که فرستنده ایمیل واقعا کسی هست که از طریق همون سرور که دامنه شما روی آن میزبانی می شود اقدام به ارسال ایمیل کرده است یا خیر.

یک رکورد DMARC در پایگاه داده DNS یک سازمان یا صاحب دامنه گنجانده شده است و نسخه خاصی از رکوردهای متنی DNS (سوابق TXT) است.

رکورد کامل DMARC شبیه به این است:

“v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”.

بخش های مختلف در رکورد DMARC به شرح زیر است:

v = DMARC1 : نسخه (version) DMARC مشخص شده است.
p=none : خط‌مشی DMARC مالک دامنه یا رفتار ترجیحی با هر پیام ایمیل.
rua=mailto:dmarc-aggregate@mydomain.com: آدرس ایمیلی که گزارش‌های انبوه باید به آن ارسال شوند.
ruf=mailto:dmarc-affr@mydomain.com: آدرس ایمیلی که گزارش های forensic باید به آن ارسال شود.
pct=100: درصد ایمیلی که باید تحت مشخصات خط مشی DMARC قرار گیرد. در این صورت، 100% پیام های ایمیلی که در تست DMARC رد می شوند توسط سرور رد می شوند.

تراز دامنه DMARC چیست؟

تراز دامنه یک مفهوم DMARC است که دامنه یک ایمیل را در برابر SPF و DKIM مطابقت می دهد. یک رکورد DMARC می‌تواند سخت‌گیری متفاوتی در تراز DKIM داشته باشد، که بر اینکه آیا پیام‌ها اجازه عبور از فرآیند DKIM را خواهند داشت، تأثیر می‌گذارد. هم‌ترازی می‌تواند آرام باشد، که با دامنه‌های پایه مطابقت دارد، اما به زیر دامنه‌های مختلف اجازه می‌دهد،  که دقیقاً با کل دامنه مطابقت دارد.

DMARC p=policies چیست؟

خط‌مشی که یک مالک دامنه در سابقه DMARC خود استفاده می‌کند و به سرور ایمیل دریافت‌کننده می‌گوید که با ایمیل‌هایی که DKIM و SPF بررسی نمی‌شوند ، چه کاری باید انجام دهد. سه خط مشی وجود دارد که با “p= Policy” مشخص می شوند:

هیچ (None) :

با علامت “p=none” به سرور دریافت کننده توصیه می شود هنگام دریافت ایمیل غیرمجاز هیچ اقدامی انجام ندهد. با این حال، سرور گزارش های ایمیل را به آدرس ایمیل در رکورد DMARC ارسال می کند.

قرنطینه (Quarantine) :

با علامت «p=قرنطینه»، به سرور دریافت کننده توصیه می‌شود که هر ایمیل غیرمجاز را قرنطینه کند. در نتیجه، ایمیل‌ها معمولاً به پوشه‌های اسپم گیرندگان می‌رسند.

رد کردن (reject) :

با علامت ‘p=reject’، به گیرنده توصیه می‌شود که پیام‌های ایمیل غیرمجاز را رد کند. این تضمین می کند که فقط پیام های ایمیلی که 100٪ تأیید شده اند که از یک دامنه هستند به صندوق ورودی می رسند. هر ایمیلی که بررسی نشود، رد خواهد شد.

گزارش DMARC چیست؟

در فرآیند اعتبارسنجی DMARC، سرورهای ایمیل ورودی گزارش‌های DMARC تولید می‌کنند. گزارش ها معمولا در دو قالب هستند که هر دو در سوابق DMARC گنجانده شده اند و قبل از یک آدرس ایمیل که گزارش باید به آن ارسال شود قرار دارد.

گزارش های انبوه :

گزارش‌های انبوه اسناد XML هستند که داده‌های آماری درباره پیام‌های ایمیلی که ادعا می‌کنند از یک دامنه ایمیل هستند، ارائه می‌کنند. آنها شامل داده هایی مانند نتایج احراز هویت و وضعیت پیام هستند و فقط توسط ماشین قابل خواندن هستند. گزارش‌های انبوه با «rua=mailto» در رکورد دامنه مشخص می‌شوند و می‌توانند به هر آدرس ایمیل ارسال شوند.

گزارش های Forensic :

گزارش‌های Forensic قانونی کپی‌هایی از پیام‌های ایمیلی هستند که احراز هویت ناموفق هستند. آنها به عیب یابی مشکلات احراز هویت دامنه و شناسایی وب سایت ها و دامنه های مخرب کمک می کنند. گزارش‌های پزشکی قانونی با «ruf=mailto» در رکورد دامنه مشخص می‌شوند و فقط می‌توانند به دامنه ایمیلی که رکورد DMARC برای آن ایجاد شده است ارسال شود.