1. Home
  2. Knowledge Base
  3. DMARC

DMARC

Dasar DMARC: Konsep Utama dan Kepentingan untuk Keselamatan Mel

DMARC (Pengesahan, Pelaporan dan Pematuhan Mesej berasaskan Domain) ialah alat berkuasa yang direka untuk memerangi aktiviti berniat jahat seperti penipuan atau pancingan data yang boleh mengganggu komunikasi e-mel dengan mengeksploitasi penyamaran domain. Ia bertindak sebagai satu set peraturan, dikenali sebagai dasar DMARC, yang membantu mengesahkan kesahihan mesej masuk dan memberikan arahan tentang cara mengendalikan e-mel tanpa kebenaran atau penipuan. Dasar ini dibuat oleh organisasi pengirim dan disimpan dalam rekod khas dalam Sistem Nama Domain (DNS). Dengan mengkonfigurasi rekod DMARC dengan betul, organisasi boleh mengukuhkan keselamatan domain mereka, mencegah penyamaran dan melindungi reputasi jenama mereka.

Untuk keselamatan e-mel yang optimum, adalah sangat dinasihatkan untuk menyepadukan DMARC dengan SPF (Rangka Kerja Dasar Penghantar) dan DKIM (Mel Pengenalpastian DomainKeys). Kedua-dua mekanisme ini memainkan peranan penting dalam mengesahkan ketulenan dan integriti e-mel. SPF mengesahkan sumber mesej, manakala DKIM mengesahkan integritinya. DMARC melengkapkan semakan ini dengan mengesahkan medan Daripada terhadap domain pengirim dan menentukan tindakan yang sesuai berdasarkan hasil pengesahan SPF dan DKIM. Dengan menggabungkan mekanisme pengesahan ini, e-mel yang sah boleh sampai ke penerima yang dimaksudkan dengan selamat, manakala mesej yang tidak dibenarkan atau penipuan disekat dengan berkesan.

Faedah DMARC untuk Keselamatan E-mel

Pelaksanaan protokol pengesahan ini menyediakan beberapa faedah besar untuk keselamatan e-mel:

  • Pertama, ia berfungsi sebagai mekanisme pertahanan yang teguh terhadap aktiviti tidak dibenarkan yang dijalankan oleh penjenayah siber yang mencari akses kepada data sensitif. Dengan mengubah walaupun satu huruf dalam nama domain, penjenayah boleh menyamar sebagai domain dan mengakses maklumat sulit tanpa kebenaran yang sewajarnya, yang berpotensi membawa kepada pelanggaran data. Apabila digabungkan dengan SPF dan DKIM, DMARC menjalankan pemeriksaan menyeluruh terhadap pengepala mesej, membandingkannya dengan data yang disediakan dalam rekod untuk memastikan keasliannya dan mengurangkan dengan ketara kemungkinan percubaan menipu atau pancingan data.
  • Tambahan pula, ia membolehkan pemantauan aktiviti e-mel yang komprehensif melalui pelaporan terperinci. Organisasi boleh memperoleh cerapan berharga tentang asal usul dan corak penyalahgunaan e-mel, memperkasakan mereka untuk mengambil langkah proaktif dalam menghadapi potensi ancaman keselamatan.
  • Selain itu, DMARC memainkan peranan penting dalam memelihara reputasi syarikat dengan menyediakan maklumat yang tepat dan boleh dipercayai tentang domainnya, dengan itu mengesahkan kesahihan sumber e-mel. Akibatnya, organisasi boleh mempunyai keyakinan bahawa e-mel mereka berjaya dihantar, mewujudkan cara komunikasi yang lancar dan selamat. Ini memupuk kepercayaan di kalangan pelanggan dan rakan kongsi, menyumbang kepada pengekalan perhubungan yang kukuh dan boleh dipercayai.

Secara keseluruhannya, ini adalah alat penting untuk organisasi yang mencari perlindungan e-mel yang kukuh, dan pelaksanaannya ialah strategi utama menjaga reputasi.

Rekod DMARC: Persembahan, Komponen dan Persediaan

Contoh Rekod DMARC

Rekod diwakili sebagai rekod TXT yang terdiri daripada bahagian yang bermakna. 

_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=none; rua=mailto:your@email.com;"

Komponen, Tafsiran dan Kemungkinan Nilai

DMARC record components
TagsInterpretationPossible Values
vversion of DMARCv=DMARC1
precommended actions on emails that fail authenticationp=none (take no action)
p=quarantine (mark as spam)
p=reject (do not receive messages)
aspfverification conformance mode for SPF recordsaspf=r (relaxed) — allow partial matches
aspf=s (strict) — allow only exact matches
adkimsimilar to aspfadkim=r
pctthe percentage of email messages to be filtered in a flowpst=100 is the best practice
sppolicy for handling subdomainsp=none (take no action)
p=quarantine (mark as spam)
p=reject (do not receive messages)
ruaan address for bulk reportsrua=mailto:your@email.com
ruflike ruf tag specifies the addresses for receiving failure (or forensic) reportsruf=mailto:your@email.com
foa type of report a sender receives depending on the failurefo=0: a report on both SPF and DKIM alignment failure. (Default)
fo=1: a report on either SPF or DKIM alignment failure. (Recommended)
fo=d: a report on signature validation failure.
fo=s: a report on SPF verification failure.
rfstates various formats for reports of forensic characterrf=afrf (default)
ritime interval between reports (in seconds)ri=86400 (default)

Melaraskan

Cara paling biasa untuk menyediakan rekod adalah dengan mengakses konsol pengurusan DNS (Domain Name System).

  1. Mula-mula, kenal pasti zon DNS untuk domain yang ingin anda sediakan DMARC. Ini biasanya domain yang dikaitkan dengan alamat e-mel anda.
  2. Buat rekod TXT baharu untuk subdomain "_dmarc.yourdomain.com" (gantikan "yourdomain.com" dengan domain sebenar anda). Jika anda lebih suka untuk menyediakan protokol untuk domain utama, tinggalkan bahagian subdomain dan buat rekod TXT untuk yourdomain.com.
  3. Tetapkan semua teg dan nilai yang diperlukan untuk rekod TXT untuk menentukan dasar.
  4. Akhir sekali, simpan perubahan untuk mengisytiharkan rekod DMARC dalam DNS.

Berikan sedikit masa untuk penyebaran DNS, yang biasanya mengambil masa beberapa jam atau sehingga 48 jam, untuk perubahan digunakan secara global.

BAGAIMANA IA BERFUNGSI

Proses Pengesahan

Apabila e-mel sedang dalam perjalanan ke peti masuk penerima, ia menjalani proses pengesahan yang canggih yang dijalankan oleh pelayan penerima. Proses ini bergantung pada dua alatan penting: rekod SPF (Rangka Kerja Dasar Penghantar) dan rekod DKIM (Mel Pengenalpastian DomainKeys). Rekod SPF mengesahkan sama ada alamat IP pengirim dibenarkan untuk menghantar e-mel bagi pihak domain tertentu, manakala rekod DKIM mengesahkan kesahihan sumber dengan memeriksa tandatangan dalam pengepala mesej. Jika mesej berjaya lulus pengesahan menggunakan kedua-dua kaedah ini, DMARC melangkah masuk untuk mengesahkan penjajaran domain, memastikan alamat Daripada sepadan dengan pengirim yang disahkan. Proses pengesahan berbilang lapisan ini membantu menjamin integriti dan keselamatan komunikasi e-mel.

DMARC record authentication processLayer 1 mail service mail service ------- ------- ------- ------- rejected spam DMARK check and policy application sender's email service DNS server recipient mail server recipient's email service

DMARC juga menyediakan garis panduan tentang cara pelayan penerima harus mengendalikan e-mel dalam hasil semakan pengesahan. Sebagai contoh:

  • pengesahan diluluskan p=tiada - mesej dihantar
  • pengesahan gagal p=reject - mesej tidak dihantar
  • pengesahan gagal p=kuarantin - mesej ditandakan sebagai spam

Penggunaan Industri

DMARC telah mendapat perhatian dan penerimaan yang ketara dalam pelbagai industri. Trend dan statistik semasa yang mengelilingi penggunaannya menyerlahkan kepentingan dalam menjamin komunikasi antara organisasi dan melindungi mereka daripada serangan pancingan data. Dalam sektor kewangan dan perbankan, ia telah meningkat, dengan banyak institusi melaksanakan dasar yang ketat untuk memastikan kesahihan komunikasi e-mel mereka. Begitu juga, organisasi penjagaan kesihatan mengiktiraf nilainya dalam melindungi maklumat pesakit yang sensitif. Industri teknologi juga telah menerima DMARC, dengan syarikat mengutamakan pengesahan e-mel untuk memelihara reputasi jenama mereka dan melindungi pengguna daripada penipuan berasaskan e-mel. Selain itu, agensi kerajaan semakin menerima pakai DMARC untuk mempertahankan diri daripada ancaman siber dan memastikan komunikasi selamat dengan rakyat. Trend ini menunjukkan pengiktirafan yang semakin meningkat terhadap keberkesanannya dalam mencegah penipuan e-mel dan mewujudkan kepercayaan dalam komunikasi digital merentas pelbagai industri.

Petua Berguna

  1. Adalah penting untuk tidak memandang rendah nilai laporan, terutamanya bagi organisasi yang menggunakan BIMI (Penunjuk Jenama untuk Pengenalpastian Mesej). Jika anda berhasrat untuk memasukkan logo anda dalam mesej anda, adalah penting untuk memastikan bahawa ia dikonfigurasikan dengan betul dalam DNS untuk berjaya lulus semakan DMARC. Di sinilah pemantauan terbukti sangat berguna. Secara keseluruhannya, laporan memberi organisasi cerapan berharga tentang status pengesahan e-mel yang dihantar bagi pihak mereka, membolehkan mereka menangani sebarang isu yang berpotensi yang memerlukan perhatian.
  2. Untuk meminimumkan positif palsu dan mengelakkan e-mel yang disahkan daripada tersilap dibenderakan sebagai mencurigakan atau ditolak, pertimbangkan untuk menggunakan senarai putih untuk penghantar yang dipercayai atau membuat perubahan yang diperlukan pada konfigurasi e-mel.
  3. Adalah penting untuk memantau laporan DMARC secara berterusan, menyiasat dengan segera sebarang anomali atau aktiviti yang tidak dibenarkan, dan membuat pelarasan pada dasar yang perlu. Menyemak dan mengemas kini konfigurasi SPF dan DKIM secara kerap untuk diselaraskan dengan perubahan organisasi juga disyorkan.

Frequently asked questions

Jawapan kepada Soalan Teratas

Bolehkah DMARC menghentikan penipuan e-mel?

Dengan berkesan mengurangkan risiko aktiviti berkaitan e-mel yang berniat jahat, ia tidak dapat menghapuskannya sepenuhnya. DMARC bergantung pada pengesahan SPF dan DKIM, yang boleh dipintas dalam keadaan tertentu. Namun begitu, organisasi, yang menggabungkan mekanisme pengesahan ini ke dalam sistem e-mel mereka, boleh meningkatkan keselamatan komunikasi e-mel mereka.

Bolehkah DMARC mengganggu penghantaran e-mel yang sah?

Dasar yang dikonfigurasikan dengan tidak betul boleh memberi kesan kepada penghantaran e-mel yang sah. Oleh itu, adalah penting untuk memantau laporan dengan teliti dan membuat pelarasan yang perlu kepada dasar untuk mencegah positif palsu dan mengekalkan kebolehhantaran e-mel yang optimum.

Berapa lama masa yang diambil untuk melihat manfaat DMARC?

Masa yang diambil bergantung pada pelbagai faktor, termasuk saiz organisasi dan jumlah e-mel keluar. Secara amnya, organisasi harus mula melihat peningkatan dalam kebolehhantaran dan keselamatan e-mel dalam masa beberapa minggu selepas pelaksanaan.

Adakah mungkin untuk menggunakan DMARC dengan pembekal perkhidmatan e-mel?

Ya, dengan anggapan mereka menyokong pengesahan SPF dan DKIM. Pada masa kini, sokongan DMARC tersedia untuk kebanyakan penyedia perkhidmatan e-mel yang popular.

Lihat juga:

Dengan mekanisme e-mel yang diperkenalkan di atas, semua butiran proses penghantaran e-mel kekal di belakang tabir melainkan dilaporkan secara eksplisit seperti yang dinyatakan dalam rekod DMARC. Walau bagaimanapun, terdapat cara lain untuk menganalisis maklumat yang terkandung dalam pengepala mesej seperti pengirimnya, jenis kandungan, penghalaan dan banyak lagi, menggunakan Penganalisis Pengepala E-mel kami. Dengan mengekstrak maklumat yang berkaitan daripada pengepala mesej, aplikasi kami memberikan pandangan yang berharga tentang proses penghantaran e-mel.