E-pošta je ključni alat za poslovnu komunikaciju, ali je i primarna meta sajber kriminalaca koji iskorišćavaju njenu otvorenost za pokretanje phishing napada, lažno predstavljanje brendova i distribuciju malicioznog softvera.
Da bi se suprotstavile ovim prijetnjama, organizacije moraju implementirati robusne protokole za autentifikaciju e-pošte koji provjeravaju legitimnost pošiljaoca i štite njihove domene od zloupotrebe.
Tri stuba moderne sigurnosti e-pošte – SPF, DKIM i DMARC – rade zajedno kako bi pružili slojevitu odbranu od lažiranja i neovlašćene dostave e-pošte.
Ovaj tutorijal nudi sveobuhvatan, korak-po-korak pristup konfigurisanju ovih protokola za interne i treće strane pošiljaoca, osiguravajući da je vaša infrastruktura e-pošte sigurna, pouzdana i usklađena s najboljim praksama.
Implementacija SPF-a za autentifikaciju e-pošte
SPF, ili Sender Policy Framework, je protokol koji omogućava vlasnicima domena da odrede koji su mail serveri ovlašćeni za slanje e-pošte u ime njihove domene.
Prvi korak u implementaciji SPF-a je identifikacija svih legitimnih izvora e-pošte za vašu domenu.
To uključuje vlastite mail servere vaše organizacije, pružaoca e-mail usluga u oblaku poput Google Workspacea ili Microsoft 365 i sve usluge trećih strana koje šalju poštu u vaše ime, kao što su marketinške platforme ili sistemi za prodaju tiketa.
Da biste kreirali SPF zapis, potrebno je da sastavite DNS TXT zapis koji navodi ove ovlaštene izvore. Zapis uvijek počinje sa v=spf1, što označava verziju.
Zatim dodajete mehanizme kao što su ip4određivanje IP adresa, mxautorizacija poštanskih servera navedenih u MX zapisima vaše domene i includedelegiranje ovlaštenja vanjskim dobavljačima.
Na primjer, kompanija koja koristi Google Workspace i lokalni mail server može koristiti sljedeći SPF zapis:v=spf1 mx include:_spf.google.com ip4:203.0.113.5 -all
Ovaj zapis autorizuje MX servere domene, Google-ove mail servere i određenu IP adresu, dok mehanizam -allna kraju upućuje prijemne servere da odbiju poruke iz bilo kojeg drugog izvora.
Nakon što ste kreirali SPF zapis, objavite ga kao TXT zapis u svojoj DNS zoni. Koristite alate za DNS upite ili web-bazirane SPF validatore da provjerite sintaktičke greške i osigurate da je zapis vidljiv.
Važno je minimizirati upotrebu includenaredbi i izbjegavati mehanizme poput ptr, jer je SPF obrada ograničena na 10 DNS pretraga.
Nakon objavljivanja, testirajte dostavu e-pošte iz svakog ovlaštenog izvora i provjerite jesu li neovlašćeni serveri ispravno blokirani ili označeni kao neželjena pošta.
Ovaj proces osigurava da samo legitimni serveri mogu slati poštu koristeći vašu domenu, što značajno smanjuje rizik od lažiranja.
Konfigurisanje DKIM-a za više pošiljalaca
DKIM, ili DomainKeys Identified Mail, dodaje kriptografski potpis svakoj odlaznoj e-pošti, omogućavajući primaocima da provjere da li je poruku poslao ovlašteni server i da nije izmijenjena tokom prenosa.
Implementacija DKIM-a varira ovisno o tome koristite li interne mail servere ili usluge trećih strana.
Generisanje DKIM ključeva za interne servere
Za organizacije koje koriste vlastite mail servere, kao što je Postfix, prvi korak je generisanje para javno-privatnih ključeva pomoću alata poput OpenDKIM-a.
Instalirajte OpenDKIM na svoj server, a zatim koristite opendkim-genkeynaredbu za kreiranje para ključeva za svoju domenu.
Privatni ključ treba biti sigurno pohranjen na vašem mail serveru, dok je javni ključ objavljen kao DNS TXT zapis pod selektorom, kao što je default._domainkey.yourdomain.com.
DKIM DNS zapis će izgledati ovako:v=DKIM1; k=rsa; p=YourPublicKeyHere
U vašoj OpenDKIM konfiguracijskoj datoteci navedite domenu, selektor i putanju do privatnog ključa. Integrišite OpenDKIM sa svojim mail serverom tako da se odlazne poruke automatski potpisuju.
Nakon konfiguracije, pošaljite testne e-poruke servisima koji provjeravaju DKIM potpise kako biste potvrdili da sve ispravno funkcioniše.
DKIM za usluge e-pošte trećih strana
- Kada koristite usluge e-pošte trećih strana poput SendGrida, Mailchimpa ili Salesforcea, podešavanje DKIM-a se obično upravlja putem kontrolne ploče provajdera.
- Generišite DKIM selektor i javni ključ unutar platforme, a zatim objavite dobiveni DNS zapis na navedenoj poddomeni, kao što je
sendgrid._domainkey.yourdomain.com. - Neke usluge mogu zahtijevati da kreirate CNAME zapise umjesto TXT zapisa, koji upućuju na njihovu upravljanu DKIM infrastrukturu.
Nakon što se DNS zapisi propagiraju, omogućite DKIM potpisivanje u postavkama vašeg provajdera.
Najbolja praksa je rotirati DKIM ključeve svakih 6 do 12 mjeseci generisanjem novih parova ključeva i ažuriranjem DNS zapisa prije nego što se stari povuku.
Ovaj proces osigurava kontinuiranu sigurnost i usklađenost sa standardima koji se stalno mijenjaju.
Provođenje politika pomoću DMARC-a
DMARC, ili autentifikacija, izvještavanje i usklađenost poruka zasnovana na domeni , povezuje SPF i DKIM rezultate i omogućava vlasnicima domena da odrede kako bi prijemni serveri pošte trebali rukovati neautentifikovanim porukama.
DMARC također pruža mogućnosti izvještavanja, omogućavajući organizacijama da prate rezultate autentifikacije i otkrivaju zloupotrebe.
Izgradnja DMARC zapisa
Da biste implementirali DMARC, objavite DNS TXT zapis na _dmarc.yourdomain.com. Zapis treba da sadrži verziju ( v=DMARC1), politiku ( p=none, quarantineili reject) i adresu za prijavljivanje ( rua=mailto:dmarc@yourdomain.com).
Na primjer, politika samo za praćenje izgleda ovako:v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com;
Ovo upućuje prijemne servere da isporuče svu poštu, ali da pošalju zbirne izvještaje na vašu navedenu adresu.
Postepeno sprovođenje politika
Započnite s p=nonepravilima prikupljanja podataka bez uticaja na protok pošte. Analizirajte DMARC izvještaje najmanje četiri sedmice kako biste identifikovali legitimne pošiljaoce koji možda ne uspijevaju proći autentifikaciju.
Kada se uvjerite da su svi važeći izvori ispravno konfigurisani, pređite na quarantinepravilo slanja sumnjivih poruka u mape neželjene pošte primaoca.
Postepeno povećavajte primjenu pravila povećanjem procenta poruka koje podliježu pravilu ( pct=25, zatim pct=100). Na kraju, prebacite se na rejectpravilo koje će u potpunosti blokirati sve neautentifikovane poruke.
Koristite opcije poravnanja kao što su aspf=r(opušteno SPF poravnanje) ili adkim=s(strogo DKIM poravnanje) prema potrebi za vašu organizaciju.
Izvor: CyberSecurityNews