Perché tanti fallimenti DMARC? Quando andare?

Naviga le tue risposte
1

Ho appena iniziato a ricevere rapporti aggregati DMARC per il nostro nuovo ambiente DKIM in modalità passiva ("p = nessuno;") e ho notato una strana tendenza:

  • Quasi un quarto degli IP in un determinato provider segnala l'autenticazione DKIM fallita
  • Quasi 1/8 degli IP di un determinato provider riportano l'errore SPF

Voglio aumentare gradualmente l'applicazione di DMARC per distribuzione di Google Consiglio lentamente , ma come faccio a sapere quando è sicuro passare al livello successivo? Queste carenze di errori sono AOL, Gmail, Hotmail, ecc. Oppure indicano la gravità in cui il nostro dominio viene falsificato?

    
posta armani 18.10.2016 - 01:02
fonte

1 risposta

2

In una situazione molto simile al momento,

Basato su diverse settimane di distribuzione di DMARC:

  1. Conosci i tuoi flussi di posta e quali server di posta inviano posta dal tuo ambiente o per tuo conto. Inizia aggiornando di conseguenza i record SPF e ricorda che tutti i domini E sottodomini devono avere i propri record SPF.

  2. SPF potrebbe ancora fallire a causa di vari motivi (utenti mobili, remailer, ecc.) La mia opinione è che il modo per aggirare questo a breve termine è avviare DKIM firmando ASAP per il dominio principale E i tuoi sottodomini.

  3. Nel caso tu stia lavorando con terze parti, fai in modo che canalizzino i loro flussi di posta attraverso i tuoi server di posta o si mantengano in contatto con loro per assicurarti che siano abbastanza DKIM e costruisca un processo per ruotare regolarmente i loro Chiavi pubbliche DKIM nel tuo DNS.

  4. Sii paziente nel rafforzare la tua politica (avevo anche programmato di seguire l'accelerazione di Google). Vale la pena dedicare del tempo per approfondire i rapporti DMARC e capire perché esattamente SPF / DKIM / DMARC ha avuto esito negativo. In molti casi, queste sono vere e proprie parolacce. Potresti scoprire flussi di posta di cui non eri nemmeno a conoscenza. Utilizzare i parser open source per visualizzare i report o inviarli ad un sistema di gestione dei log per facilitare l'analisi. O esternalizzare l'analisi.

  5. Ricorda di applicare anche il controllo DMARC in entrata. Lasciare tutto in una prima fase, quindi applicare progressivamente la politica del mittente. Potresti ad es. posta in quarantena che deve essere rifiutata, quindi effettivamente rifiutarla.

Esiste un elemento di rischio nell'imposizione di DMARC o nella pubblicazione di una politica DMARC diversa da p = none, ma i report in realtà forniscono molte informazioni e consentono un'implementazione controllata. È essenziale conoscere i flussi di posta e chi li gestisce. Inoltre, test test il più possibile con flussi di posta fittizi (netcat è tuo amico)!

Infine, ricorda che AOL et al. invia solo i risultati del controllo DMARC delle mail inviate dal tuo dominio (o qualcuno che lo contrae). Quindi se un test viene contrassegnato come non riuscito, indica un problema dalla tua parte, non dalla loro:)

HTH,

    
risposta data 21.10.2016 - 16:04
fonte

Leggi altre domande sui tag

Process Hollowing e Kernel Qual è lo scopo di un Session Border Controller (a.k.a SBC)