Lukáš Beran
Lukáš Beran

Vítejte na mém blogu! Pokud hledáte návody, rady nebo tipy k IT, jste tu správně. Najdete zde převážně články k produktům a technologiím společnosti Microsoft – operační systémy, servery, virtualizace, sítě, správa, ale i cloud. Občas přidám i nějaké jiné další zajímavosti.

Srpen 2017
PoÚtStČtSoNe
« Čvn  
 123456
78910111213
14151617181920
21222324252627
28293031 

Rubriky


DMARC ověřování v Office 365

Lukáš BeranLukáš Beran

DMARC je spolu s DKIM a SPF další úrovní ochrany pošty proti spoofingu, tedy podvodným e-mailům. Všechny tyto technologie kontrolují, jestli je odesílatel skutečně tím odesílatelem, za kterého se vydává. Tato kontrola probíhá ve všech případech pomocí záznamu v DNS dané domény, kde je specifikované, které poštovní servery jsou oprávněné k odesílání pošty z dané domény.

Rozdíl mezi SPF a DMARC

Rozdíl mezi SPF (Sender Policy Framework) a DMARC (Domain-based Messaging and Reporting Compliance) je v tom, že SPF je schopné odchytit podvody u adres MailFrom, přesněji řečeno 5321.MailFrom. DMARC je oproti tomu mnohem více sofistikovaný. Nejprve je ale vhodné zmínit, jaký je vlastně rozdíl u adres odesílatele.

Z výše uvedeného tedy plyne, že uživatel může obdržet e-mail, který úspěšně projde kontrolou SPF, ale přitom má podvrženou 5322.From adresu, tedy tu adresu, která se zobrazí v poštovním klientovi. Ukažme si to prakticky na příkladu:

V takovém případě by uživatel v poštovním klientovi viděl jako adresu odesílatele , což by mohla být skutečná e-mailová adresa jeho banky, ale přitom by se jednalo o podvodný e-mail, který by i přesto prošel kontrolou na SPF, protože SPF kontrola by ověřovala adresu , což by byla reálně existující adresa útočníka s nastaveným SPF záznamem, tedy by úspěšně prošla kontrolou a uživatel by nic nepoznal. V hlavičce e-mailu by pak bylo vidět následující:

V případě implementace DMARC na obou stranách (tedy nastavený DMARC záznam u majitele domény, tak i povolená kontrola DMARC na poštovním serveru příjemce) bude ale tato zpráva vyhodnocena jako podvodná právě DMARC technologií, která kontroluje jak DKIM, tak i SPF dohromady a hlavička e-mailu bude vypadat následovně:

Pojďme se tedy podívat na to, jak DMARC implementovat.

Implementace DMARC v Office 365

V Office 365 je DMARC kontrola příchozích e-mailů ve výchozím stavu povolená, takže vaši uživatelé jsou v bezpečí pro příchozí poštu a záleží jen na majitelích ostatních domén, jestli mají DMARC záznam u domény nebo ne, což už bohužel nejsme schopni ovlivnit. Doufejme a předpokládejme ale, že všechny důležité instituce (banky, pojišťovny, úřady, …) tento záznam implementovaný mají, takže proti phishingu v příchozí poště jsme chráněni by default.

Aby ale i naše doména byla zabezpečená, tedy aby i ostatní uživatelé mohli důvěřovat tomu, že e-maily odeslané z naší domény jsou vždy důvěryhodné, je nutné přidat jeden DNS záznam k naší doméně. Obecný tvar DMARC záznamu je

Kde v je verze, p je politika, sp je politika subdomény, pct je procento špatných e-mailů, na které se má politika uplatnit, a rua je adresa pro zasílání agregovaných reportů.

DMARC se nastavuje pomocí TXT záznamu u domény. Doporučuji použít následující konfiguraci, která říká poštovnímu serveru, aby při selhání DMARC kontroly zprávu odmítl ve 100 % případů jak u hlavní domény contoso.com, tak i u subdomén.

V mém případě u domény lukasberan.cz politika vypadá následovně:

A hlavička v e-mailu má následující podobu, jelikož mám u domény nastavené SPF, DKIM i DMARC.

Nadšenec do nových technologií se zájmem primárně o technologie a služby společnosti Microsoft. Občasný blogger a cestovatel.

Komentáře 0
Nejsou zde žádné komentáře.