Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

DMARC rua указывает на отправку почты с competitorDomain.com для ourDomain.com, является ли это (потенциально) вредоносным?

На чтение 6 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Анализ DMARC RUA и Потенциальные Риски
  4. Введение
  5. Что такое DMARC и RUA?
  6. Анализ RUA Отчета
  7. Возможные Причины
  8. Рекомендации
  9. Заключение

Вопрос или проблема

Мы получили несколько отчетов rua, указывающих на то, что один из наших прямых конкурентов отправляет электронные письма с нашим доменом в заголовках “mail from”.

У меня нет доступа к фактическим источникам электронных писем, и у меня нет представления о том, что могло бы это вызвать. Единственное, что приходит на ум, это то, что кто-то в компании конкурента отправляет письма от нашего имени (вывод, который, надеюсь, мы сможем опровергнуть).

Соответствующий раздел отчета rua:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  (...)
  <record>
    <row>
      <source_ip>209.85.220.69</source_ip><!-- mail-sor-f69.google.com -->
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
        <reason>
          <type>local_policy</type>
          <comment>arc=pass</comment>
        </reason>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>[наш домен].com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>[домен конкурента]-com.20150923.gappssmtp.com</domain>
        <result>pass</result>
        <selector>20150923</selector>
      </dkim>
      <spf>
        <domain>[домен конкурента].com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

Итак, мой вопрос:
Что может вызвать это? Есть ли нормальное поведение, которое могло бы вызвать эти отчеты? Является ли это результатом легитимного электронного трафика? Или это признак злонамеренного поведения где-то?

Примечание
Я не уверен, что означает этот раздел.

  (...)
  <reason>
    <type>local_policy</type>
    <comment>arc=pass</comment>
  </reason>
(...)


Изучая DMARC `arc`, я начинаю подозревать, что это может быть вызвано переадресацией электронных писем, но `arc` должен гарантировать, что заголовки DKIM все еще доступны для аутентификации? В этом случае переадресованный email не должен был бы “провалить” политику DMARC?

Если вы уверены, что вся ваша легитимная почта проходит DMARC, включая заголовок FROM домена (example.com) и MAIL FROM (Envelope FROM) домен, такие как em.example.com, в соответствии с тем, что оба имеют example.com в качестве организационного домена, то вы могли бы попробовать более агрессивную политику DMARC с p=quarantine (просит почтовые службы направлять неаутентифицированную почту в спам) или p=reject (просит почтовые службы отклонять любую почту, которая не аутентифицирована).

Вы знаете, сколько электронных писем в неделю, которые не проходят DMARC, скажем, от этого конкурента, отправляется? Есть ли какие-либо из ваших потоков электронной почты, которые вы отправляете, проваливающие DMARC? Есть ли какие-либо из ваших собственных потоков почты, которые не проходят DMARC ИЛИ SPF?

Важно быть очень осторожным при переходе на более агрессивную политику DMARC, но если кто-то, похоже, использует ваш домен, то вы можете рассмотреть возможность отключения этого.

Вы чувствуете себя комфортно, связываясь с этим конкурентом или спрашивая их, есть ли у них какая-то неправильная конфигурация на их стороне, в результате которой они ошибочно используют ваш домен?

  1. DKIM pass для [домен конкурента]-com.20150923.gappssmtp.com. Это означает, что SMTP-серверы Google имеют закрытый ключ для селектора DKIM 20150923 по адресу [домен конкурента]-com.20150923.gappssmtp.com. Насколько я знаю, это возможно только если [домен конкурента].com размещен в Google Workspace, который, в свою очередь, должен пройти процесс проверки, завершить который может только владелец домена.
  2. SPF pass для [домен конкурента].com, и это означает, что ваш конкурент авторизует сервер-отправитель (Google). Опять же, это может быть настроено только владельцем домена.
  3. <header_from> содержит ваш домен.

Это сильное доказательство того, что, да, ваш конкурент пытался отправить два письма, используя ваш домен.

Ответ или решение

Анализ DMARC RUA и Потенциальные Риски

Введение

Ваша ситуация с DMARC и обнаружением отправки электронных писем с использованием вашего домена со стороны конкурента вызывает законные опасения. На первый взгляд, это может свидетельствовать о потенциально злонамеренных действиях, однако важно рассмотреть все возможные варианты и причины такого поведения.

Что такое DMARC и RUA?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) — это протокол аутентификации электронной почты, который помогает предотвратить подделку адреса отправителя. Отчеты RUA (Aggregate Reports) собирают и представляют информацию о том, как почтовые серверы обрабатывают электронные письма, отправленные с вашего домена.

Анализ RUA Отчета

В вашем отчете RUA указано:

  • source_ip: 209.85.220.69 (mail-sor-f69.google.com)
  • count: 2
  • Аутентификация DKIM и SPF завершилась неудачно для вашего домена.
  • В заголовке header_from указан ваш домен.

Эти данные говорят о том, что конкурент использует ваш домен для отправки электронной почты, что может свидетельствовать о попытке спуфинга.

Возможные Причины

  1. Спуфинг или Мошенничество: Это наиболее вероятный сценарий. Конкурент может пытаться ввести в заблуждение получателей, используя ваш домен для подделки сообщений.

  2. Ошибка Конфигурации: Возможно, на стороне конкурента есть ошибка конфигурации, при которой их легитимные электронные письма случайно отправляются с вашим доменом в заголовке.

  3. Гармонизация доменов: Если у конкурента есть легитимные права на использование вашего домена или сходного домена, это может вызвать смешение в отправке электронных писем.

  4. Пересылка Сообщений: Если кто-то пересылает ваши письма или письма конкурента с использованием вашего домена, это также может вызвать такой эффект. Однако, как вы верно заметили, DMARC и ARC должны предотвращать такие несанкционированные действия в большинстве случаев.

Рекомендации

  1. Ужесточение Политики DMARC: Если вы уверены, что ваши собственные письма проходят DMARC, рассмотрите возможность изменения политики с p=none на p=quarantine или p=reject. Это усилит защиту от спуфинга вашего домена.

  2. Контакт с Конкурентом: Рассмотрите возможность обращения к вашему конкуренту для прояснения ситуации. Возможно, они не осведомлены о данной проблеме и смогут быстро её устранить.

  3. Мониторинг и Изучение Данных: Следите за поступающими отчетами DMARC и анализируйте постоянные источники неудач. Это поможет вам оценить обстановку и принять более обоснованные решения.

  4. Установление Контроля: Убедитесь, что все ваши легитимные электронные письма соответствуют стандартам DMARC и SPF, чтобы защитить вашу репутацию.

Заключение

Ситуация с обнаруженными RUA отчетами требует немедленного внимания и анализа. Поскольку конкуренты могут прибегать к подобным действиям как к средству конкурентной борьбы, важно действовать быстро и осмотрительно, чтобы защитить свою репутацию. Ужесточение политики безопасности электронной почты и открытое общение с конкурирующими организациями могут помочь минимизировать риски и восстановить контроль над вашей доменной репутацией.

dmarc email
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности