DMARC چیست؟

DMARC یک پروتکل امنیتی ایمیل هست که برای تأیید هویت فرستندگان ایمیل طراحی شده. این پروتکل بر پایه سیستم نام دامنه (DNS – Domain Name System)، دی‌کیم (DKIM – DomainKeys Identified Mail) و فریم ورک سیاست فرستنده (SPF – Sender Policy Framework) کار میکنه تا امنیت ایمیل ها رو افزایش بده. اگر علاقمند به آموزش هک و امنیت هستین در این مقاله با ما همراه باشین.

استاندارد DMARC برای جلوگیری از جعل دامنه (Domain Spoofing) ایجاد شده، یعنی روشی که در اون مهاجمان از دامنه یک سازمان برای جعل هویت کارکنان اون استفاده میکنن. همچنین، DMARC پروتکل ساده انتقال ایمیل (SMTP – Simple Mail Transfer Protocol) رو تکمیل میکنه. SMTP پروتکل اصلی ارسال ایمیل ها هست اما به تنهایی شامل مکانیزم های احراز هویت ایمیل نیست.

DMARC چگونه کار میکنه؟

برای استفاده از DMARC، باید SPF یا DKIM روی دامنه ایمیل فعال باشه و یک رکورد DMARC در DNS ثبت بشه.

این فرآیند که به همترازی DMARC و همترازی شناسه (DMARC Alignment and Identifier Alignment) معروفه، سیاست امنیتی دامنه ایمیل رو تأیید و منتشر میکنه بعد از اینکه وضعیت DKIM و SPF بررسی شد.

یک رکورد SPF DKIM DMARC از سرورهای ایمیل درخواست میکنه که گزارش های XML (Extensible Markup Language) رو به آدرس ایمیل مرتبط با اون رکورد ارسال کنن. گزارش بررسی DMARC اطلاعاتی درباره نحوه حرکت ایمیل ها در یک سیستم ارائه میده و به کاربران کمک میکنه تمام ترافیکی که از دامنه ایمیل اون ها استفاده میکنه رو شناسایی کنن.

چرا باید از DMARC برای ایمیل استفاده کرد؟

یک رکورد DMARC به صاحبان دامنه این امکان رو میده که از دامنه خودشون در برابر دسترسی و استفاده غیرمجاز محافظت کنن. این موضوع حیاتی هست چون ایمیل یکی از اهداف اصلی حملات سایبری مثل فیشینگ (Phishing)، جعل هویت (Spoofing)، حملات والینگ (Whaling)، کلاهبرداری مدیرعامل (CEO Fraud) و حملات نفوذ به ایمیل تجاری (BEC – Business Email Compromise) هست.

علاوه بر این، حملات ایمیلی باعث شده که اعتماد افراد به ایمیل کاهش پیدا کنه، در حالی که همچنان یکی از رایج ترین روش های ارتباطی در سراسر جهان محسوب میشه. پروتکل های DKIM و SPF سال ها برای تأیید هویت فرستندگان ایمیل استفاده شدن اما امکان اعمال سیاست های سختگیرانه در صورت نامعتبر بودن فرستنده رو فراهم نمیکردن. این مسئله باعث شد که مالکان دامنه نتونن به طور کامل بر برند خودشون کنترل داشته باشن، به همین دلیل DMARC به عنوان یک راهکار امنیتی ایمیل ایجاد شد.

مزایای DMARC

احراز هویت DMARC به صاحبان دامنه کمک میکنه تا از جعل دامنه (Domain Spoofing) جلوگیری کنن. این پروتکل برای تمام سازمان ها و پیمانکاران دولتی ایالات متحده اجباری هست و در برخی کشورها هم تمامی نهادهای عمومی و دولتی ملزم به استفاده از اون شدن.

مزایای DMARC شامل موارد زیر هست:

• اعتبار
  وقتی یک مالک دامنه یک رکورد DMARC منتشر میکنه، برند خودش رو در برابر ارسال ایمیل های غیرمجاز از طرف افراد ناشناس یا اشخاص ثالث محافظت میکنه. در بعضی موارد، این کار میتونه فوراً اعتبار سازمان رو افزایش بده.
• امنیت
  DMARC به صاحبان دامنه یک سیاست امنیتی یکپارچه ارائه میده تا ایمیل هایی که احراز هویت یا تأیید نشدن رو مدیریت کنن. در نتیجه، کل سیستم ایمیل ایمن تر و قابل اعتمادتر میشه.
• قابلیت مشاهده
  گزارش های DMARC باعث میشه صاحبان دامنه کنترل بیشتری روی ایمیل های ارسالی از دامنه خودشون داشته باشن. این گزارش ها به اون ها کمک میکنه که بفهمن چه کسانی از دامنه اون ها برای ارسال ایمیل استفاده میکنن.

رکورد DMARC چیست؟

یک رکورد DMARC در پایگاه داده DNS یک سازمان یا مالک دامنه قرار میگیره و یک نسخه خاص از رکوردهای متنی DNS (TXT records) محسوب میشه. یک نمونه کامل از رکورد DMARC به این شکل هست:

v=DMARC1; p=none; rua=mailto:dmarc-aggregate@mydomain.com; ruf=mailto:dmarc-afrf@mydomain.com; pct=100

هر بخش از این رکورد معنای خاصی داره:

• v=DMARC1: نسخه مشخص شده DMARC.
• p=none: سیاست DMARC که تعیین میکنه ایمیل های دریافتی که آزمون احراز هویت رو رد میکنن، چگونه پردازش بشن.
• rua=mailto:dmarc-aggregate@mydomain.com: آدرس ایمیلی که گزارش های تجمیعی باید به اون ارسال بشن.
• ruf=mailto:dmarc-afrf@mydomain.com: آدرس ایمیلی که گزارش های جزئی و تحلیلی باید به اون ارسال بشن.
• pct=100: درصد ایمیل هایی که باید مطابق با سیاست DMARC پردازش بشن. در این مثال، 100 درصد ایمیل هایی که آزمون DMARC رو رد کنن، توسط سرور رد میشن.

همترازی دامنه در DMARC چیست؟

همترازی دامنه در DMARC یک مفهوم هست که دامنه ایمیل رو با SPF و DKIM مطابقت میده. یک رکورد DMARC میتونه سطوح مختلفی از سختگیری در همترازی DKIM داشته باشه که تعیین میکنه آیا ایمیل ها از فرآیند تأیید DKIM عبور میکنن یا نه.

همترازی دامنه در دو حالت تنظیم میشه:

• relaxed (حالت انعطاف پذیر): دامنه های پایه مطابقت داده میشن اما زیر دامنه های مختلف مجاز هستن
• strict (حالت سختگیرانه): کل دامنه باید به طور دقیق مطابقت داشته باشه

سیاست های DMARC (p= policies) چیست؟

سیاستی که صاحب دامنه در رکورد DMARC مشخص میکنه به سرور دریافت کننده ایمیل میگه که با ایمیل هایی که آزمون DKIM و SPF رو رد میکنن، چه کاری انجام بده. سه سیاست مختلف در DMARC وجود داره:

• none (p=none): سرور دریافت کننده هیچ اقدامی روی ایمیل نامعتبر انجام نمیده اما گزارش ها رو به صاحب دامنه ارسال میکنه
• quarantine (p=quarantine): سرور دریافت کننده ایمیل نامعتبر رو قرنطینه میکنه، یعنی این ایمیل ها معمولاً به پوشه اسپم گیرنده منتقل میشن
• reject (p=reject): سرور دریافت کننده ایمیل نامعتبر رو به طور کامل رد میکنه. این سیاست تضمین میکنه که فقط ایمیل هایی که 100 درصد تأیید شده باشن به اینباکس گیرنده میرسن و ایمیل های نامعتبر رد میشن

تصورات اشتباه درباره DMARC

DMARC یک ابزار قدرتمند برای محافظت از ایمیل های خروجی هست، اما چند تصور غلط درباره اون وجود داره:

• DMARC از ایمیل های ورودی شما محافظت نمیکنه. این پروتکل فقط برای محافظت از ایمیل هایی که از دامنه سازمان شما ارسال میشن طراحی شده، نه ایمیل هایی که دریافت میکنید
• سیاست بیش از حد سختگیرانه DMARC میتونه منجر به از دست رفتن ایمیل های معتبر بشه. اگه سیاست DMARC رو طوری تنظیم کنید که تعداد زیادی از ایمیل ها رو رد کنه، ممکنه پیام های قانونی هم مسدود بشن

بهترین روش ها و ابزارهای DMARC

DMARC مخفف Domain-based Message Authentication, Reporting, and Conformance هست. با در نظر گرفتن این تعریف، به ویژه بخش های گزارش گیری (reporting) و تطابق (conformance)، در ادامه چند مورد از بهترین روش ها و ابزارهای DMARC رو بررسی میکنیم:

• از ابزارهای تجزیه و تحلیل DMARC (DMARC parsing tools) برای درک بهتر اطلاعات موجود در گزارش هایی که دریافت میکنید، استفاده کنید
• از مشاوران حرفه ای با تجربه در زمینه DMARC برای پیاده سازی سیستم خودتون کمک بگیرید تا از دانش و تجربه اون ها بهره ببرید
• هنگام استفاده از DMARC، همه فرستنده های قانونی ایمیل، از جمله ارائه دهندگان خدمات ایمیل شخص ثالث رو شناسایی کنید. این کار یک پایه اولیه برای تنظیمات بعدی ایجاد میکنه و به شما کمک میکنه که در صورت نیاز، پیاده سازی DMARC رو بهبود بدید

گزارش DMARC چیست؟

فرآیند اعتبارسنجی DMARC باعث میشه سرورهای دریافت کننده ایمیل گزارش های DMARC رو تولید کنن. این گزارش ها در دو قالب مختلف ارائه میشن که هر دو در رکورد DMARC مشخص میشن و قبل از آدرس ایمیلی که باید گزارش ها به اون ارسال بشه، قرار میگیرن.

گزارش های تجمیعی (Aggregate reports)

این گزارش ها فایل های XML هستن که اطلاعات آماری درباره ایمیل هایی که ادعا میکنن از یک دامنه ارسال شدن ارائه میدن. این گزارش ها شامل داده هایی مثل نتایج احراز هویت و نحوه پردازش پیام ها هستن و فقط توسط ماشین ها قابل خواندن هستن.

گزارش های تجمیعی در رکورد دامنه با عبارت ‘rua=mailto’ مشخص میشن و میتونن به هر آدرس ایمیلی ارسال بشن.

گزارش های جزئی (Forensic reports)

این گزارش ها کپی ایمیل هایی هستن که در احراز هویت ناموفق بودن. این گزارش ها برای عیب یابی مشکلات احراز هویت دامنه و شناسایی وب سایت ها و دامنه های مخرب کاربرد دارن.

گزارش های جزئی در رکورد دامنه با عبارت ‘ruf=mailto’ مشخص میشن و فقط به دامنه ایمیلی که رکورد DMARC برای اون ایجاد شده ارسال میشن.

در پایان اگر این مطلب براتون مناسب و کاربردی بود خوشحال میشیم که سوالات و نظراتتون رو با ما به اشتراک بگذارین.