DMARC چیست؟
گزارش و انطباق احراز هویت پیام مبتنی بر دامنه (DMARC) یک پروتکل امنیتی ایمیل است. DMARC فرستنده های ایمیل را با ایجاد پروتکل های سیستم نام دامنه (DNS)، ایمیل شناسایی شده با کلیدهای دامنه (DKIM) و چارچوب خط مشی فرستنده (SPF) تأیید می کند.
استاندارد DMARC برای جلوگیری از تهدید جعل دامنه ایجاد شده ، جعل دامنه یا Domain Spoofing شامل استفاده مهاجمان از دامنه یک سازمان برای جعل هویت کارکنان آن است. همچنین DMARC پروتکل انتقال ایمیل ساده (SMTP) را تکمیل می کند. SMTP پروتکل اولیه ای است که برای ارسال پیام های ایمیل استفاده می شود، اما مکانیسم های تعریف یا اجرای احراز هویت ایمیل را شامل نمی شود.
DMARC چگونه کار می کند؟
در شرایطی که مشحص نیست ایمیل هایی که از SPF و یا DKIM گذشته اند کاملا ایمن هستند و یا واقعا کلاهبرداری بوده اند یا خیر. راه حل DMARC یا Domain-based Message Authentication, Reporting & Conformance یک پروتکل ایجاد تعامل و همکاری بین ارسال کنندگان ایمیل و دریافت کنندگان پیام است که مشخص میکند در هنگام مواجهه با ایمیل های عبور کرده از DKIM و SPF چه باید بکنند.
DMARCرا می توان مجموعه قوانینی تعریف کرد که برای گیرندگان و فرستندگان شرایطی را فراهم میکند تا بطور هماهنگ شده با ایمیل های جعلی مقابله کنند و آن را شناسایی کنند. در این راه گیرندگان ایمیل ریپورت هایی را برای فرستندگان ارسال میکنند که حاوی اطلاعاتی از تعداد و چگونگی ایمیل های تقلبی و کلاهبرداری رد شده است . همچنین فرستندگان ایمیل قوانین مورد انتظار خود را که تمایل دارند گیرندگان رعایت کنند توضیع می کنند .
بعد از دریافت ایمیل از سوی گیرنده، با استفاده از DMARC، آزمون های DKIM و SPF بر روی ایمیل رسیده اعمال خواهد شد و بعد از تایید و شناسایی فرستنده، سیاست های لازم مختص به دامنه ارسال کننده، اجرا می شوند. در هنگام بررسی قوانین این آیتم ها مورد سنجش قرار میگیرد: چه آدرس و یا آدرس هایی ایمیل معتبر ارسال میکنند، امضا الکترونیک بر روی آن چگونه است، در صورت عدم انطباق پیام دریافتی با قوانین، مورد را باید به چه کسی گزارش کرد و او نیز چه باید انجام دهد.
DMARC به DKIM یا SPF نیاز دارد که در دامنه ایمیل و یک رکورد DMARC در DNS منتشر شود. فرآیند خطمشی DMARC، همچنین بهعنوان همترازی DMARC و همترازی شناسه نیز شناخته میشود، سیاست دامنه ایمیل را قادر میسازد تا پس از بررسی وضعیت DKIM و SPF به اشتراک گذاشته و احراز هویت شود.
یک رکورد SPF DKIM DMARC از سرورهای ایمیل درخواست میکند تا گزارشهای زبان نشانهگذاری توسعهپذیر (XML) را به آدرس ایمیل مرتبط با رکورد ارسال کنند. یک گزارش بررسی کننده DMARC اطلاعاتی در مورد نحوه حرکت ایمیل در یک سیستم ارائه می دهد و به کاربران امکان می دهد تمام ترافیکی را که از دامنه ایمیل آنها استفاده می کند شناسایی کنند.
چرا از DMARC برای ایمیل استفاده کنیم؟
یک رکورد DMARC به صاحبان دامنه امکان می دهد از دامنه های خود در برابر دسترسی و استفاده غیرمجاز محافظت کنند. این امر بسیار مهم است زیرا ایمیل به طور فزاینده ای در برابر حملات سایبری آسیب پذیر است، مانند فیشینگ ، جعل ، والینگ ، کلاهبرداری از مدیران ارشد اجرایی (CEO) و به خطر انداختن ایمیل های تجاری (BEC).
با وجود اینکه ایمیل همچنان یکی از پرکاربردترین راههای ارتباطی آنلاین می باشد. اما ، حملات مبتنی بر ایمیل منجر به از دست دادن اعتماد مردم به این پلتفرم ارتباطی شده است. از DKIM و SPF برای شناسایی و اعتبارسنجی فرستندهها برای سالها استفاده میشود، اما مشکل اینجاست که در صورت نامعتبر بودن فرستنده، چه اتفاقی میافتد. این امر مانع از آن شد که صاحبان دامنه کنترل کامل برند خود را در دست بگیرند، بنابراین نیاز به امنیت ایمیل DMARC وجود دارد.
مزایای DMARC چیست؟
گزارش های DMARC به صاحبان دامنه کمک می کند تا از جعل دامنه جلوگیری کنند. که امری ضروری برای همه سازمانهای دولتی می باشد.
مزایای DMARC عبارتند از:
شهرت و اعتبار برند :
هنگامی که یک مالک دامنه یک رکورد DMARC منتشر می کند، با جلوگیری از ارسال ایمیل توسط کاربران غیرمجاز یا اشخاص ثالث از دامنه خود و به عبارتی دیگر از نام تجاری خود محافظت می کند. فرآیند انتشار یک رکورد DMARC در برخی موارد میتواند به یک سازمان اعتباری سریع ببخشد .
امنیت :
DMARC یک خط مشی ثابت برای صاحبان دامنه ایمیل ارائه می دهد تا پیام هایی را که تأیید یا احراز هویت نشده اند مدیریت کنند. در نتیجه، کل اکوسیستم ایمیل با به کارگیری DMARC امن تر و قابل اعتمادتر است.
قابل مشاهده بودن :
گزارش DMARC دید برنامه های ایمیل صاحبان دامنه را افزایش می دهد. گزارش ها به مدیران این دانش را می دهد که چه کسانی از دامنه آنها پیام های ایمیل ارسال می کند.
رکورد DMARC چیست؟
رکورد DMARC ، یک رکورد DNS از نوع TXT است پروتکلی است که در کنار دیگر رکوردهای موجود مانند SPF و DKIM، به منظور احراز هویت و جلوگیری از جعل ایمیل استفاده میشود. رکورد DMARC برای یک دامنه در سرور تعریف می شود که این رکورد شامل اطلاعات کاملی از سرور و دامنه ی شما می باشد و به عنوان یک امضا برای دامنه عمل میکند و مشخص میکند چه اتفاقی بیوفتد. در زمانی که ایمیلی از سمت دامنه ارسال شود که دارای این امضا ( رکورد ) نباشد . به عبارتی دیگر یعنی سرور گیرنده ی ایمیل نمی تواند تأیید کند که فرستنده ایمیل واقعا کسی هست که از طریق همون سرور که دامنه شما روی آن میزبانی می شود اقدام به ارسال ایمیل کرده است یا خیر.
یک رکورد DMARC در پایگاه داده DNS یک سازمان یا صاحب دامنه گنجانده شده است و نسخه خاصی از رکوردهای متنی DNS (سوابق TXT) است.
رکورد کامل DMARC شبیه به این است:
“v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”.
بخش های مختلف در رکورد DMARC به شرح زیر است:
v = DMARC1 : نسخه (version) DMARC مشخص شده است.
p=none : خطمشی DMARC مالک دامنه یا رفتار ترجیحی با هر پیام ایمیل.
rua=mailto:dmarc-aggregate@mydomain.com: آدرس ایمیلی که گزارشهای انبوه باید به آن ارسال شوند.
ruf=mailto:dmarc-affr@mydomain.com: آدرس ایمیلی که گزارش های forensic باید به آن ارسال شود.
pct=100: درصد ایمیلی که باید تحت مشخصات خط مشی DMARC قرار گیرد. در این صورت، 100% پیام های ایمیلی که در تست DMARC رد می شوند توسط سرور رد می شوند.
تراز دامنه DMARC چیست؟
تراز دامنه یک مفهوم DMARC است که دامنه یک ایمیل را در برابر SPF و DKIM مطابقت می دهد. یک رکورد DMARC میتواند سختگیری متفاوتی در تراز DKIM داشته باشد، که بر اینکه آیا پیامها اجازه عبور از فرآیند DKIM را خواهند داشت، تأثیر میگذارد. همترازی میتواند آرام باشد، که با دامنههای پایه مطابقت دارد، اما به زیر دامنههای مختلف اجازه میدهد، که دقیقاً با کل دامنه مطابقت دارد.
DMARC p=policies چیست؟
خطمشی که یک مالک دامنه در سابقه DMARC خود استفاده میکند و به سرور ایمیل دریافتکننده میگوید که با ایمیلهایی که DKIM و SPF بررسی نمیشوند ، چه کاری باید انجام دهد. سه خط مشی وجود دارد که با “p= Policy” مشخص می شوند:
هیچ (None) :
با علامت “p=none” به سرور دریافت کننده توصیه می شود هنگام دریافت ایمیل غیرمجاز هیچ اقدامی انجام ندهد. با این حال، سرور گزارش های ایمیل را به آدرس ایمیل در رکورد DMARC ارسال می کند.
قرنطینه (Quarantine) :
با علامت «p=قرنطینه»، به سرور دریافت کننده توصیه میشود که هر ایمیل غیرمجاز را قرنطینه کند. در نتیجه، ایمیلها معمولاً به پوشههای اسپم گیرندگان میرسند.
رد کردن (reject) :
با علامت ‘p=reject’، به گیرنده توصیه میشود که پیامهای ایمیل غیرمجاز را رد کند. این تضمین می کند که فقط پیام های ایمیلی که 100٪ تأیید شده اند که از یک دامنه هستند به صندوق ورودی می رسند. هر ایمیلی که بررسی نشود، رد خواهد شد.
گزارش DMARC چیست؟
در فرآیند اعتبارسنجی DMARC، سرورهای ایمیل ورودی گزارشهای DMARC تولید میکنند. گزارش ها معمولا در دو قالب هستند که هر دو در سوابق DMARC گنجانده شده اند و قبل از یک آدرس ایمیل که گزارش باید به آن ارسال شود قرار دارد.
گزارش های انبوه :
گزارشهای انبوه اسناد XML هستند که دادههای آماری درباره پیامهای ایمیلی که ادعا میکنند از یک دامنه ایمیل هستند، ارائه میکنند. آنها شامل داده هایی مانند نتایج احراز هویت و وضعیت پیام هستند و فقط توسط ماشین قابل خواندن هستند. گزارشهای انبوه با «rua=mailto» در رکورد دامنه مشخص میشوند و میتوانند به هر آدرس ایمیل ارسال شوند.
گزارش های Forensic :
گزارشهای Forensic قانونی کپیهایی از پیامهای ایمیلی هستند که احراز هویت ناموفق هستند. آنها به عیب یابی مشکلات احراز هویت دامنه و شناسایی وب سایت ها و دامنه های مخرب کمک می کنند. گزارشهای پزشکی قانونی با «ruf=mailto» در رکورد دامنه مشخص میشوند و فقط میتوانند به دامنه ایمیلی که رکورد DMARC برای آن ایجاد شده است ارسال شود.
