fb
IT Systems 12/2022 Trendy ICT IT Security 19. 1. 2023 9:32

DMARC a BIMI zajistí bezpečnost a důvěryhodnost značky

Sektor e-commerce za posledních několik let nebývale narostl. A s ním i e-mail marketing. E-mail je totiž stále nejvyužívanější komunikač­ní platfor­mou. Pokud má být rozesílka úspěšně doručena a doména firmy v bezpečí, je potřeba věnovat se nástrojům a interním řešením v rámci oddělení IT security. Správné nastavení infrastruktury, autentifikace a zabezpečení pomocí SPF, DKIM a DMARC vám poskytne nejen ochranu, ale i přístup k novým funkcím jako AMP4Email nebo BIMI.

DMARC (Domain-based Message Authentication Reporting and Conformance) je nejpromyšlenější technologií pro autentifikaci e-mailů. Tato pokročilá technologie slouží k ochraně vaší značky, chrání před phishingovými útoky a umožňuje vlastníkům domén stanovit pravidla pro nakládání s neautentickými zprávami. Zvláště významná je pak ochrana před spear-phishingovými útoky, u nichž jde o personalizovaný cílený phishing, který pokud je úspěšný, vede k obrovským ztrátám.

Dnešní útoky jsou totiž zpravidla velmi precizní a ti, kdo je plánují, vynalézaví. Pečlivá příprava trvá mnohdy měsíce nebo i rok. Útočníci využívají různé metody, aby získali informace o vnitřních nastaveních, procesech, struktuře firmy, kompetencích konkrétních lidí i jejich chování. Cílem je typicky autorizace platby, úhrada faktury, získání přístupu k důvěrným datům nebo proniknutí do vnitřních systémů společnosti.

Zásadní je odpovědět si na otázku, zda je celá infrastruktura firmy správně nakonfigurovaná a pod spolehlivou kontrolou. Často se stává, že se v organizacích najdou nepovolené vývojové či testovací servery a další prvky IT architektury, které nejsou korektně autentifikované. To pak zásadně usnadňuje možnost útoku.

DMARC pomůže infrastrukturu dobře nakonfigurovat pomocí reportingu vyhodnocení autentifikace zpráv. Právě reporty poskytují pohled na e-mailovou infrastrukturu z pohledu přijímající strany. Vyhodnocení je postaveno na výsledcích autentifikace SPF (Sender Policy Framework) a DKIM (Domain Keys Identified Mail) autentizace a kombinaci výsledků obou validačních metod.

SPF říkáte, odkud odesíláte zprávy

SPF je DNS záznam domény, kterým identifikujete zdrojové IP adresy, které používáte pro odesílání zpráv. Právě na základě tohoto záznamu a IP adresy odesílatele ověřuje přijímající strana, zda e-mail pochází z autorizovaného zdroje. SPF záznamy tedy chrání vás, aby někdo neoprávněně jménem vaší domény neposílal e-mailové zprávy a poškozoval tak vaši reputaci, a zároveň umožňuje přijímající straně kontrolovat každý příchozí e-mail, zda pochází z vámi autorizovaného zdroje.

Pro každou doménu může existovat pouze jeden SPF záznam. V tom­to jednom záznamu pak musí být zahrnuty všechny autorizace zná­mých zdrojů. V případě autorizací, které vyžadují dodatečné DNS dotazy, je nutné zajistit, že nedojde k překročení limitu 10 dotazů. Autorizace za tímto limitem jsou ignorovány, a tudíž nebudou tyto zdroje považovány za autentické. Toto má samozřejmě nejen prak­tické důvody, ale i bezpečnostní, a u dobře nastavené infrastruktury toto není limitující, neboť je vždy možné a vhodné systémy třetích stran vyčlenit do samostatných poddomén. Je nutné dávat si pozor, co je ve vaší doméně povoleno a zda jsou vaše SPF záznamy zcela validní. Pro kontrolu lze využít analýzu na serveru Dmarcian.com.

DKIM ověřuje autentičnost obsahu

DKIM je digitální podpis zprávy, který umožňuje příjemci ověřit, zda se zprávou nebylo manipulováno a zda její obsah odpovídá podobě, ve které byla zpráva podepisována. Pro podepisování se používá páru klíčů – soukromého, který zná pouze podepisující strana, a veřejného, který je dostupný ve formě DNS záznamu komukoliv. Odesílající server do zprávy vloží hlavičku obsahující digitální otisk zprávy a hlaviček. Přijímající strana pak pomocí veřejného záznamu může ověřit autentičnost obsahu a hlaviček.

Protože podepisování probíhá privátním klíčem, který je znám pouze odesílající straně, lze předpokládat, že pokud je podpis platný, nedo­šlo k manipulaci se zprávou. Zároveň je právě DKIM podpis velice dobrým nositelem reputace, neboť ho nelze jednoduše falšovat.

DMARC pomáhá s implementací i ochranou

Implementace SPF i DKIM nemusí být úplně přímočará. V mnoha firmách existuje mnoho systémů, které posílají e-maily, a tak samotné určení, kde všude je potřeba doplnit podepisování DKIM, nebo autorizovat IP pomocí SPF, může být velice náročné. Zvláště v případě SPF, které se jeví jednoduše, může dojít snadno k mnoha chybám, které není snadné odhalit. Protože ani SPF, ani DKIM samy o sobě nemohou ochránit vaši doménu před zneužitím, vznikl standard DMARC.

Důležitost možnosti identifikovat problémy v nastavení autentifikace se odráží právě v reportovací části DMARCu, která majitelům domén umožňuje určit, jak a kam se mají zasílat pravidelné reporty týkající se autentifikace e-mailů. Z těchto reportů pak odborník dokáže identifikovat jednotlivé části e-mailové infrastruktury, jejich nastavení a případné potřeby úprav autentifikace zpráv.

V okamžiku, kdy jsou všechny autentické zdroje e-mailových zpráv správně autentifikované, nastává okamžik pro využití další vlastnosti DMARCu skryté pod termínem Conformance – nastavení pravidla (policy), které určuje, jak má přijímající strana naložit se zprávami, které nejsou autentické.

Přijímající servery pak u příchozích zpráv nejen že vyhodnotí, zda pochází z autorizovaného zdroje pomocí SPF a zda se zprávou nebylo manipulováno pomocí SPF, ale tyto informace dají do kontextu s adresou odesílatele a DMARC pravidlem domény odesílatele. V případě, že zprávu není možné autentifikovat ani jednou z technologií, dojde k uplatnění uvedeného DMARC pravidla domény. Právě tzv. enforcement pravidlo v podobě quarantine nebo reject teprve slouží k ochraně domény.

DMARC se striktním pravidlem je standard, který je již dnes nezbytný pro využití několika nových e-mailových standardů, jako jsou AMP4­Email, One-Click Unsubscribe, BIMI, nebo třeba doručování zpráv pomocí IPv6 . Nejde totiž jen o IT vychytávku, která si „ukousne“ z budgetu, je to další díl do skládačky, která přinese nejvyšší úroveň zabezpečení a ještě lepší výsledky e-mail marketingu.

BIMI vás odliší od konkurence

BIMI (Brand Indicators for Message Identification) je asi nejviditelnější přidanou hodnotou implementace DMARC ochrany. Umožňuje zajistit, aby příjemci e-maily na první pohled rozeznali díky zobrazení loga odesílatele. Nejen, že zviditelní brand, ale zároveň příjemcům indikují, že jsou e-maily autentické, neboť BIMI staví na výše popsaných autentizačních metodách.

Pokud máte implementován DMARC s použitím striktního pravidla, tzn. quarantine nebo reject, můžete začít s implementací BIMI. I přesto, že zobrazování loga v mailboxu není novinkou, doposud bylo pro vlastníky domén a značek velmi složité loga ve schránkách ovlivnit. Některé služby měly vlastní databáze log, jinde používaly logo z webových stránek domény, nebo poskytovaly vlastní rozhraní pro správu log. BIMI tento problém řeší a dává vlastníkům domén kontrolu nad logem.

BIMI je pak další typ DNS záznamu, který obsahuje informaci o umístění vašeho loga ve formátu SVG (Scaled Vector Graphic ve variantě Tiny PS) a případně certifikát autenticity loga. Podrobnější návod, jak připravit logo ke zveřejnění, najdete například na adrese: https://www.mailkit.com/cz/podpora/blog/ultimate-guide-bimi.

Protože by však mohli podvodníci zkoušet zneužít důvěru příjemců vložením cizího loga, většina poskytovatelů vyžaduje použití certifikátu autentičnosti VMC (Verified Mark Certificate). Pro jeho získání je pak potřeba vlastnit ochrannou známku registrovanou u jednoho z podporovaných registrů ochranných známek (např. EUIPO, USPTO, atd.).

Jakmile budete mít logo i certifikát (a samozřejmě i DMARC se striktním pravidlem), můžete se pustit do zveřejnění konkrétního TXT záznamu v DNS. Základním záznamem pak bude default _bimi.yourdomain.com, kde „default” je „selektorem“ BIMI záznamu (aktuálně nejsou selektory nikde podporované).

Záznam BIMI obsahuje 3 části:

  • informaci, že se jedná o BIMI záznam – v=BIMI1,
  • atribut s umístěním loga ve formátu SVG – l=https://yourdomain.com/path/to/logo.svg,
  • atribut s umístěním hostitele certifikátu loga – a=https://yourdomain.com/path/to/vmc/VMC.pem.

Kompletní BIMI záznam pak vypadá takto:
v=BIMI1; l=https://yourdomain.com/path/to/logo.svg; a=https://yourdomain.com/path/to/vmc/VMC.pem

Pokud budou zprávy z vaší domény korektně autentifikované, vaše doména bude chráněna pomocí DMARC se striktním pravidlem, bude vám u poskytovatelů podporujících BIMI odměnou zobrazení vašeho loga přímo v e-mailové schránce příjemce. Největší zviditelnění je pak na mobilních zařízeních, kde se obvykle logo zobrazuje přímo na seznamu přijatých zpráv, naopak u webmailů je to často až přímo ve zprávě.

Bezpečnost e-mailingu je zásadní téma nejen v marketingu, ale i u transakčních zpráv. Pokud má firma jakékoliv pochybnosti o tom, jestli k SPF, DKIM a DMARC přistupuje správně, měla by se obrátit na odborníky.

Libor Nádvorník Libor Nádvorník
Autor článku je business development manažer společnosti Mailkit, která je lídrem v e-mailovém marketingu a zabezpečení mailů. Ve firmě se věnuje výkonovým kampaním, GDPR a bezpečnosti e-mailingu.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 10 IT Systems 9 IT Systems 7-8 IT Systems 6
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1