Virtual Study

22 maja 2016

Walka ze spamem - DMARC

Kiedy już mamy skonfigurowany rekord SPF oraz DKIM (konfigurację DKIM dla Office365 opisywałem w poprzedniej notatce), możemy uzupełnić konfigurację ochronną o DMARC.
Domain-based Message-based Authentication, Reporting & Conformance (DMARC) to specyfikacja publiczna dostępna od 2012 roku, opisująca metodę walki z phishingiem. Polega to na wykorzystaniu zarówno informacji o serwerze wysyłającym pocztę opisanych w rekordzie SPF, jak i zweryfikowaniu certyfikatu serwera poprzez DKIM. Dodatkowo DMARC umożliwia przekazywanie odbiorcy wytycznych, co powinien zrobić z naszym mailem, kiedy nie może zweryfikować pozytywnie SPF lub DKIM.
Poniższy rysunek, znaleziony w serwisie ReturnPath, pokazuje zasadę działania polisy DMARC:
DMARC flow
Żeby DMARC dla naszej domeny zadziałał, musimy mieć zdefiniowany odpowiedni rekord w publicznym DNS. Oczywiście tu zaczynają się schody - jak go uworzyć, jakie informacje są obowiązkowe i jak opisać poszczególne wartości?
Składnia rekordu jest stosunkowo prosta i składa się z kilku niezbędnych informacji, jak w przykładzie:
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:emailaddress@yourdomain.com; ruf=mailto:emailaddress@yourdomain.com;"

Poniższa tabela pokazuje wartości poszczególnych atrybutów:
WartośćDefinicjaPrzykładowa wartość
vWersja protokołu DMARCv=DMARC1
pct% wiadomości do filtrowaniapct=100
rufadres do wysyłania maili niezgodnych z polisąruf=mailto:authfail@pepug.org
rua
rf
ri
adres do wysyłania raportów od ISP
format generowania raportu
interwał generowania raportu (w sekundach)
rua=mailto:aggrep@pepug.org
rf=afrf lub rf=iodef
ri=86400
pustawienia polisy dla domenyp=quarantine, p=reject lub p=none
spustawienia polisy dla subdomensp=reject
adkimTryb Identifier Alignment dla DKIMadkim=strict lub adkim=relaxed
aspfTryb Identifier Alignment dla SPFaspf=relaxed lub aspf=strict

Nie wszystkie atrybuty są niezbędne do poprawnego działania polisy, żeby utworzyć rekord, najprościej skorzystać z jednego z dostępnych w internecie kreatorów, np. https://www.unlocktheinbox.com/dmarcwizard. Jeżeli nie jesteśmy pewni, czy mamy poprawnie ustawione wartości SPF i DKIM, najlepiej zacząć od polisy none, będziemy wtedy dostawać raporty z informacją, jak traktują maile z naszej domeny inni. Jeżeli wszystko działa poprawnie, możemy zmienić polisę na quarantine, a nawet reject.
UWAGA: Nie wszystkie dostępne w internecie systemy DNS pozwalają na tworzenie rekordów zaczynających się od "_", więc warto to sprawdzić.

Problem z Lyncem/SfB po aktualizacji .Net Frameworka

Systemy należy aktualizować, zwłaszcza, gdy poprawka łata dziurę w zabezpieczeniach aplikacji, jednak znowu zespół Frameworka nie zweryfikował w pełni czy coś nie zostanie popsute. Wydana 10 maja poprawka Security Update for .NET Framework (3156757) skutecznie rozwala funkcjonalności konferencyjne serwerów Lyncowych i Skype for Business:
  • Whiteboards
  • Uploading PowerPoint Presentations
  • Sharing Notes
  • Polls
  • Q&A
Jak na razie zespół produktowy opisał jak poprzez dodanie odpowiednich kluczy w rejestrach obejść problem, mam nadzieję, że niedługo zostanie wydana odpowiednia poprawka do systemu.