Orientación técnicaVídeos

Vídeo: DMARC - Resumen técnico

By 7 de diciembre de 2015 Sin comentarios

Hemos armado un corto técnico visión general de DMARC:

Este vídeo es parte de una serie de vídeos más grande sobre todo lo relacionado con DMARC.

La transcripción sigue:


Este breve video es una descripción técnica de DMARC - Autenticación, informes y conformidad de mensajes basados ​​en dominios.

DMARC intenta crear un enlace entre el contenido de un correo electrónico y un dominio utilizando SPF or DKIM. Para el espectador curioso, SPF DKIM están cubiertos en videos separados.

El contenido del correo electrónico que DMARC lo que le preocupa es el dominio que se encuentra en el encabezado From :. El encabezado De: es prácticamente el único fragmento de información que indica de quién o de dónde proviene un correo electrónico que debe estar en lo que se considera "correo electrónico bien formado". Debido a esto, DMARC llaves fuera del dominio encontrado en el encabezado De:

DMARC no se desconecta de ningún otro encabezado, incluido el encabezado Sender :. Resulta que permitir múltiples claves de políticas genera mucha confusión e incluso puede socavar la utilidad de DMARC en sí, y así DMARC desactiva solo el dominio que se encuentra en el encabezado De:

SPF DKIM Ambas son tecnologías que producen identificadores estables de nivel de dominio.  SPF DKIM son especificaciones técnicas disponibles gratuitamente que se han implementado ampliamente en muchos proveedores de correo electrónico diferentes. Aunque se ocupan de sus asuntos de diferentes formas, DMARC solo se preocupa por los resultados que producen, y si esos resultados tienen algo que ver con el dominio que se encuentra en el encabezado De :. Los resultados que produce SPF DKIM se conocen como "identificadores autenticados" en el mundo de DMARC.

Un concepto clave de DMARC es "Alineación de identificadores". Esta es solo una forma elegante de decir que los resultados de SPF DKIM necesita estar relacionado con el DMARC dominio para ser útil. La principal razón de esto es que los receptores necesitan una forma sencilla de comprender si los resultados de SPF DKIM son relevantes para el dominio que DMARC llaves fuera de.

Durante las próximas diapositivas de este video, veremos diferentes combinaciones de identificadores autenticados con el objetivo de ilustrar por qué la alineación de identificadores es importante desde la perspectiva de un receptor de correo electrónico.

En este primer ejemplo, un receptor de correo electrónico recibió un correo electrónico donde DMARC El dominio (que es el dominio que se encuentra en el encabezado De:) es "banco.com". Además, el SPF cheque arrojó un dominio de "bank.com". No hubo un DKIM firma en el correo electrónico, por lo que nuestra fila está marcada con "ninguno". El destinatario del correo electrónico está buscando cualquier señal positiva de que el correo electrónico se pueda rastrear hasta el dominio "bank.com", y al receptor del correo electrónico no le importa si esa señal proviene de SPF or DKIM - siempre que la señal esté ahí. En este ejemplo, el identificador autenticado que vino de SPF era "bank.com", y eso coincide exactamente con el DMARC dominio, por lo que el correo electrónico cumple con DMARC.

En el siguiente ejemplo, todo es muy parecido, excepto que el identificador autenticado que SPF cedido es un subdominio de bank.com - mail.bank.com. Para un ser humano en persona, los dos dominios están obviamente relacionados. Sin embargo, resulta que no existe una forma estándar en Internet de averiguar si bank.com es un dominio de nivel superior como .com o .org o si es un dominio de segundo nivel. No hay una forma estándar de resolver esto. Un ejemplo diferente es bank.co.uk. No hay una forma estándar de que se les diga a las máquinas que "co.uk" es el dominio de nivel superior. En el mundo de DMARC, lo que es un dominio de segundo nivel se llama Dominio Organizacional. Al extraer algunos recursos de Internet, específicamente la lista de sufijos públicos mantenida por la Fundación Mozilla, un receptor de correo electrónico puede darse cuenta de que bank.com es el Dominio de la organización y que mail.bank.com es un subdominio que comparte el mismo dominio organizacional que bank.com. En este caso, el correo electrónico cumple con DMARC.

Este tercer ejemplo muestra algo interesante. En vez de SPF proporcionando un Identificador autenticado de bank.com o un subdominio de bank.com, el Identificador autenticado es banknewsletter.com. Por lo que sabemos, banknewsletter.com es un dominio real propiedad y operado por la misma entidad propietaria de bank.com. O…. banknewsletter.com es propiedad y está operado por delincuentes que quieren engañar a las personas para que piensen que son legítimas. Simplemente no hay una manera de mantener y comunicar de manera confiable tales asociaciones entre dominios, ya sea por los propios remitentes que crean bases de datos de asociaciones o por los receptores que mantienen las suyas propias, ambas son tareas que estarían plagadas de inexactitudes y básicamente subvertir la utilidad DMARC. Por lo tanto, este correo electrónico NO cumple con DMARC y se vería afectado por un publicado DMARC .

Para continuar con el ejemplo 4th, el correo electrónico es el mismo, excepto que ahora estamos viendo un DKIM firma por primera vez. En este ejemplo, DKIM proporcionó un identificador autenticado de bank.com, que hace que el ejemplo cumpla con DMARC. Es decir, el destinatario del correo electrónico mira el Identificador autenticado que proviene de SPF y ve que banknewsletter.com no tiene nada que ver con bank.com y simplemente lo ignora. Dado que el receptor está buscando cualquier señal positiva de que el mensaje realmente provino de bank.com y DKIM proporciona tal señal, el correo electrónico pasa el DMARC comprobar.

Este ejemplo 5th muestra un correo electrónico que es DMARC todo el camino. Ambos SPF DKIM proporcionó identificadores autenticados de bank.com. El receptor solo se preocupa por encontrar una señal positiva, por lo que tener 2 señales positivas es doblemente bueno, pero no significa nada más que "señal positiva". El motivo del envío de correo electrónico donde ambos SPF DKIM producir los resultados correctos es porque tener ambas tecnologías disponibles hace posible que el correo electrónico continúe siendo DMARC cumple incluso si uno u otro, por cualquier motivo, no está disponible o falla.

Este ejemplo 6th muestra lo mismo con la diferencia de que "news.bank.com" es el identificador autenticado para ambos SPF DKIM. Es una práctica bastante común que las grandes organizaciones deleguen un subdominio a un proveedor de servicios de correo electrónico para que el proveedor de servicios pueda enviar correos electrónicos en nombre de la organización. En este ejemplo, los propietarios de bank.com podrían haber delegado el subdominio de "noticias" a su proveedor de marketing para que el proveedor pueda enviar DMARC correo electrónico compatible con bank.com.

Este ejemplo artificial muestra que cualquiera puede registrar dominios y poner SPF DKIM en su lugar. ¿No sería bueno que los malos usaran dominios tan obvios? Aún así, solo porque SPF DKIM pasar y entregar un identificador autenticado no significa que el correo electrónico sea bueno o deseado.

El último ejemplo aquí muestra que SPF produjo un identificador autenticado de "bark.com" ... como en el sonido que hace un perro. Este es un ataque bien conocido que algunos estafadores usan para engañar a los humanos que están inspeccionando manualmente los mensajes de correo electrónico para determinar su legitimidad. Una mirada rápida puede engañar al ojo y hacer que alguien piense que la corteza es realmente un banco. Peor aún, es posible utilizar algunos trucos de codificación de caracteres para que los glifos renderizados se vean exactamente como el dominio deseado. Las máquinas no se dejan engañar por este tipo de tonterías, razón por la cual las máquinas deberían realizar comprobaciones de alineación de identificadores y no personas.

Antes de entrar en qué DMARC los registros y lo que pueden hacer, veremos brevemente cómo DMARC Se descubren registros.

Cuando un receptor de correo electrónico procesa un correo electrónico en el contexto de DMARC, el receptor extraerá el dominio que se encuentra en el encabezado De :. Este dominio forma la base de donde el receptor busca cualquier DMARC grabar. El receptor golpeará una barradmarc prefijo al dominio y consulte el DNS para un registro TXT.

En el ejemplo que se muestra aquí, el dominio extraído es EUROPE.ENG.EXAMPLE.ORG. El receptor agregaría una barra inferiordmarc a este dominio y consulte el DNS para intentar encontrar un registro TXT. Pero, ¿qué pasa si la consulta no da como resultado nada o un registro TXT cuyo contenido no tiene nada que ver con DMARC. A continuación, el receptor extraería el dominio organizativo del dominio ... en este caso, EXAMPLE.ORG, y volvería a intentar encontrar un DMARC grabar abofeteando bajo-dmarc frente al dominio y solicitando un registro TXT.

De esta manera, DMARC el descubrimiento de registros está limitado a solo 2 búsquedas de DNS. También hay algunas ramificaciones ingeniosas debido a esto. Puedes publicar un sencillo DMARC registrar en el nivel de dominio organizacional y hacer que cubra todos y cualquier subdominio. No importa si un spammer crea sus propios subdominios, aún puede publicar un DMARC registro que los cubre sin tener que publicar explícitamente DMARC registros para todos los subdominios imaginables. La otra cosa ingeniosa es que puedes publicar DMARC registros para todos sus subdominios reales y aquellos DMARC los registros anularán lo publicado en el nivel del Dominio de la organización.

Muy bien, adelante ahora a qué DMARC los registros se ven y lo que pueden hacer.

DMARC los registros son listas simples de pares de etiqueta / valor. En este ejemplo, el dominio que publicó este DMARC grabar ... podemos decir que es un DMARC grabar porque comienza con "v =DMARC1; ”… publica una política de“ ninguno ”y solicita que todos los informes agregados basados ​​en XML se envíen a informes@ejemplo.org para procesar.  DMARC fue diseñado para permitir que los dominios recopilen información sin afectar el correo electrónico ... y así es como se hace: publicando un p=none .

En qué terminos DMARC los registros pueden hacer, las opciones son bastante simples. Todas DMARC los registros deben comenzar con una etiqueta de versión de protocolo. Después de eso, la política se puede configurar, puede configurar una política que se aplicará a cualquier subdominio…. por ejemplo, si sabe que su dominio nunca usa subdominios, puede publicar un sp=reject política de inmediato mientras solo recopila datos en su dominio organizacional utilizando p=none. La etiqueta pct es como un control deslizante que va de 0 a 100 para que cualquier política publicada pueda implementarse lentamente ... si dices pct = 1, entonces solo 1 de cada 100 correos electrónicos que de otro modo se habrían visto afectados por un DMARC La política se verá afectada.

También puede configurar si los identificadores autenticados producidos por SPF DKIM están obligados a coincidir exactamente con el DMARC dominio. El valor predeterminado de "relajado" se prefiere en casi todos los casos, pero en "modo estricto" puede rechazar la alineación de identificadores que se basa en subdominios, tal vez si se encuentra en un entorno en el que no tiene control sobre el correo electrónico enviado utilizando subdominios delegados.

Las siguientes dos etiquetas, rua y ruf, se utilizan para indicarle al mundo dónde enviar los informes del dominio. Debido a que los informes son diferentes, las personas envían los informes a diferentes direcciones de correo electrónico para su recopilación y análisis.

Las últimas etiquetas se refieren a la configuración de formatos de informes, intervalos y cuándo enviar copias redactadas de correos electrónicos individuales que fallan DMARC. Las dos primeras etiquetas tienen solo un valor y, por lo tanto, son un poco inútiles, y la última opción parece deshabilitar la generación de informes por parte de algunos proveedores de informes debido a errores de software, por lo que tal vez no los incluya si desea recopilarlos.

Muy bien, terminaremos esta descripción general con las diferentes políticas que DMARC permite y con un breve vistazo a los diferentes informes de comentarios 2 que DMARC proporciona.

DMARCLas opciones de política son muy simples. Puede publicar una política de "ninguno" que simplemente signifique "envíeme informes sin actuar en el correo electrónico que no DMARC cheque". Puede publicar una política de "cuarentena" que dirija a los receptores a la carpeta de correo no deseado cualquier correo electrónico que falle el DMARC cheque. Si no existe una carpeta de correo no deseado, el receptor podría hacer todo lo posible para tratar el mensaje con un mayor grado de sospecha, como aumentar la agresividad del análisis antispam.

La última política que se puede aplicar es la política de "rechazar", que indica a los destinatarios que bloqueen, o se nieguen a aceptar, el correo electrónico que no DMARC cheque. En la pantalla, verá un poco más sobre la etiqueta pct, y cómo si la usa con una política de rechazo implementada, entonces cualquier porcentaje de correo electrónico que no sea rechazado debido a la etiqueta de porcentaje lo hará. ser puesto en cuarentena.

Lo último, las formas de comentarios de 2 informan que DMARC puede proporcionar son muy diferentes. Los informes agregados basados ​​en XML se generan en un ciclo de 24 horas e incluyen estadísticas completas sobre cómo un receptor de correo electrónico ve que se está utilizando su dominio, incluido todo el correo electrónico que pasó por completo. DMARC. El segundo tipo de comentarios consiste en copias redactadas de correos electrónicos individuales que fallaron SPF, DKIM o ambos. Estos informes no siempre están disponibles debido a problemas de privacidad, problemas de volumen o la vista que no es necesario que obtengan. DMARC desplegado con precisión.

dmarcian procesa ambos tipos de comentarios para hacer DMARC fácil de implementar. Preguntas sobre DMARC o las dmarcian El servicio será felizmente respondido.

Para comenzar con DMARC, Visite dmarcian. Com.

Preguntas? soporte de contacto@dmarcian.com
¿Social? dmarcian está en Linked-in, G +, twitter y quizás más.
¡Gracias por ver!