Zabezpieczenie poczty od strony DNS – DKIM, SPF oraz DMARC

Zagrożenia jakie czekają nasz własny serwer pocztowy, to nie tylko zalewający nas spam, ale także możliwość podszycia się pod adresata poczty w celu rozsyłania wirusów, wyłudzenia danych osobowych lub coraz częściej wyłudzenia pieniędzy. Jednymi z prostszych do wdrożenia sposobów walki z takimi praktykami jest SPF-DKIM-DMARC, będący połączeniem SPF i DKIM i kilku innych dodatkowych zabezpieczeń, przy czym wdrożenie tego ostatniego jest nie możliwe bez wcześniejszego wdrożenia SPF oraz DKIM właśnie.

SPF jest typem rekordu DNS, który identyfikuje serwery poczty uprawnione do wysyłki email w imieniu danej domeny. Ma on na celu uniemożliwienie nadawcy wysyłania emaili z fałszywym adresem nadawcy w Twojej domenie.

Czym jest DKIM (Domain Keys Identified Mail) ?

DKIM zostało wprowadzone w celu wyeliminowania niedoskonałości związanych z SPF. Jest to klucz umieszczany w rekordach DNS TXT danej domeny, umożliwiający identyfikację wiadomości email i potwierdzający, że faktycznie pochodzi ona z zaufanego źródła. Działanie DKIM jest dość proste, generowana jest para kluczy, prywatny oraz publiczny. Klucz prywatny umieszczany jest w nagłówku wiadomości email, natomiast klucz publiczny w rekordzie TXT DNS, pod odpowiednim adresem.

Serwer odbiorcy email, badając nagłówki email trafia na odpowiedni zapis, porównuje sumy kontrolne i identyfikuje wiadomość jako autoryzowaną, jeśli klucze się zgadzają lub nieautoryzowaną, jeśli się nie zgadzają. W celu maksymalnego wykorzystania wysokiego poziomu bezpieczeństwa idącego z zastosowania DKIM, powinno się generować klucze przynajmniej 2048bitowe, aby uniknąć potencjalnego ich złamania, klucze powinny być generowane sukcesywnie np. co 2 miesiące. Całość najlepiej obrazuje poniższa infografika.

dkim-infografika Zabezpieczenie poczty od strony DNS – DKIM, SPF oraz DMARC

Czym jest DMARC (DomainBased Message Athentication, Reporting & Conformance) ?

DMARC powstał z inicjatywy kilku potentatów internetu takich jak Google, Facebook, Yahoo, Microsoft, PayPal, Amazon, AOL i wielu innych, aby jeszcze bardziej podnieść bezpieczeństwo przekazywania wiadomości email. W skład DMARC wczodzi SPF, DKIM, oraz kilka autorskich rozwiązań wymienionych firm. Nie możliwym jest wdrożenie DMARC bez wdrożenia SPF oraz DKIM jak już wspomniałem. DMARC pozwala właścicielom domen, publikować zasady instruujące providerów skrzynek pocztowych, biorących udział w inicjatywie DMARC, jak postępować z nieautoryzowanymi wiadomościami wysyłanymi z ich domen. Właściciel domeny może wskazać providerowi, aby:

  • Blokował wszystkie nieuwierzytelnione wiadomości wysłane z jego domeny i przesłał do niego kopie wiadomości wraz z adresem nadawcy.
  • Dopuszczał wiadomości ale informował właściciela domeny, o treści i adresie, z którego wysłano wiadomość.
  • Dopuszczał nieuwierzytelnione wiadomości.

Muszę przyznać, że na dzień dzisiejszy w Polsce nie spotkałem się z firmą świadczącą usługi hostingowe, która oferowała by uruchomienie DMARC w swojej poczcie, nie spotkałem się także z firmą, która oferowała by DKIM. SPF co prawda mają uruchomione u siebie niektórzy usługodawcy, ale jak zauważyłem jest ono jest często niepełne. Stąd też wdrożenie pełnej funkcjonalności SPF, DKIM oraz DMARC i zalet z nimi idących, jest możliwe jedynie na własnym serwerze, dedykowanym bądź VPS.

Kto szczególnie powinien zainteresować się wdrożeniem SPF, DKIM, DMARC?

Wdrożenie polecam oczywiście każdemu i wszędzie tam gdzie jest to możliwe, szczególnie jednak powinni zainteresować się tym osoby odpowiedzialne za administrację serwerami w firmach, aby jeszcze bardziej podnieść bezpieczeństwo i zaufanie do swojej poczty email.

Po uruchomieniu SPF, DKIM, DMARC bardzo często nie jesteśmy pewni poprawności ich implementacji, szczególnie jeśli robimy to pierwszy raz, pomóc nam w tym może witryna http://mxtoolbox.com/ , gdzie po wpisaniu tak zabezpieczonej domeny w odpowiednie pole, uzyskujemy pełne informacje o potencjalnych błędach i uwagach do naszych rekordów DNS.

Jak wyglądają nagłówki email po wdrożeniu DMARC?

na przykład dla maila wysyłanego do google tak:

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of grzegorz@oduk.pl designates xx.xxx.xxx.xxx as permitted sender) smtp.mailfrom=grzegorz@oduk.pl;
       dkim=pass header.i=@oduk.pl;
       dmarc=pass (p=QUARANTINE dis=NONE) header.from=oduk.pl

Artykuł znaleziony na zapytania:

5 myśli na temat „Zabezpieczenie poczty od strony DNS – DKIM, SPF oraz DMARC

  1. Tak się zastanawiam, czy warto w Polsce wdrażać DMARC i czy nie wystarczy sam DKIM wraz z SPFem? Po za wspieraniem tej idei, to od strony samego bezpieczeństwa, to nie wiele zmienia.

    • Jeśli wdrożysz DKIM oraz SPF, to wdrożenie samego DMARC nie jest jakimś wielkim problemem, a w niczym nie przeszkadza. Może jednak podnieść zaufanie do Twojej poczty, więc myślę, że warto mimo małej popularności tego w Polsce.

  2. Mam z brakiem DKIM u mojego dostawcy hostingu problem. Nie jestem informatykiem a staram się zarządzać swoim serwerem i kontami pocztowymi mojego zespołu samodzielnie. SPF już działa, DMARC z wolna uruchamiam dzięki poradnikowi na stronie dmarcian-eu.com.
    Brakuje mi tylko tego nieszczęsnego DKIM, szukam źródeł informacji i instrukcji krok po kroku jak mam to wdrożyć.
    Sprawa jest dla mnie ważna bo od początku listopada ponad tysiąc wiadomości spamu zostało rozesłanych z adresem zwrotnym mojej domeny.

    • DMARC wymaga DKIM. DKIM działa dość prosto, musisz wygenerować klucze, publiczny i prywatny. Potem odpowiednie wpisy do rekordu TXT w DNS. Jeśli hostingodawca nie wspiera DKIM, to może być problem z jego uruchomieniem. Najlepiej napisać do supportu hostingu, niech oni się wypowiedzą.

      Taka uwaga jeszcze, nie wspomniałeś co to za hosting, większość ma możliwość włączenia filtrów antyspamowych (np. home) w panelu administratora. Warto sprawdzić ewentualnie porozmiawiać z supportem hostingu, czy takie filtry działają, a jak nie to jak je włączyć.

  3. Dziękuję za odpowiedź.
    Mój host to webd.pl. Są w miarę w porządku jeśli spojrzeć z perspektywy relacji cena/jakość usługi. Niestety nie wspierają DKIM a jedynie SPF więc temat najprawdopodobniej skończy się zmianą dostawcy. Co do filtrów antyspamowych o ile dobrze się orientuję są bezsilne w przypadku spoofing’u lub pishing’u.
    Prowadzimy w zespole ożywioną korespondencję elektroniczną z naszymi klientami i tu najprawdopodobniej leży przyczyna.

Dodaj komentarz

4 × two =