آشنایی و کار با رکود DMARC در سرور ایمیل لیارا

DMARC یک استاندارد احراز هویت ایمیل است که به گیرندگان کمک می‌کند تشخیص دهند آیا پیام دریافتی واقعاً از دامنهٔ فرستنده، آمده است یا خیر. در ادامه، به لزوم استفاده از این رکورد، معرفی و نحوه کار با آن، پرداخته شده است.

لزوم استفاده از رکورد DMARC

با وجود فناوری‌های احراز هویت ایمیل مانند SPF و DKIM، مشکل ایمیل‌های جعلی و فریبنده همچنان برطرف نشده است؛ چرا که گیرندگان ایمیل به دلایل زیر، نمی‌توانند ایمیل‌های جعلی را از ایمیل‌های احرازهویت شده، تفکیک کنند:

  • محیط ایمیل پیچیده فرستندگان و به‌روزرسانی‌ها و تغییرات مداوم، باعث پیچیده شدن فرایند احراز هویت با SPF و DKIM شده است.
  • اگر فقط بخشی از پیام‌های یک دامنه، احراز هویت شوند، گیرندگان نمی‌توانند پیام‌های سالم بدون احراز هویت را از پیام‌های جعلی تشخیص دهند و به دلیل ضعف الگوریتم‌های ضدهرزنامه، بخشی از ایمیل‌های جعلی وارد صندوق ورودی می‌شوند
  • فرستندگان بازخورد کمی از وضعیت احراز هویت ایمیل‌هایشان دارند و همین موضوع رفع مشکل را در محیط‌های پیچیده بسیار دشوار می‌کند
  • حتی با احراز هویت کامل فرستنده، گیرندگان پیام‌های احراز نشده را رد نمی‌کنند تا پیام سالم احراز نشده‌ای از بین نرود

تنها راه حل مشکلات فوق، زمانی است که هم فرستندگان و هم گیرندگان، اطلاعات را با یکدیگر به اشتراک بگذارند. گیرندگان باید اطلاعاتی درباره زیرساخت احراز هویت ایمیل خود در اختیار فرستندگان قرار دهند، و در مقابل، فرستندگان باید به گیرندگان بگویند هنگام دریافت پیامی که احراز هویت نمی‌شود، چه کاری را انجام دهند.

DMARC چیست؟

DMARC به گونه‌ای طراحی شده است که در فرایند احراز هویت ایمیل یک سازمان قرار می‌گیرد و به گیرندگان ایمیل کمک می‌کند تشخیص دهند آیا پیام ارسال شده با اطلاعاتی که گیرنده درباره فرستنده می‌داند "هم‌تراز" (align) است یا نه. اگر این هم‌ترازی وجود نداشته باشد، DMARC درباره چگونگی برخورد با پیام‌های "غیرهم‌تراز" راهنمایی‌هایی را ارائه می‌دهد.

dmarc process explaining

به صورت کلی، DMARC به‌گونه‌ای طراحی شده است که کارهای زیر را انجام دهد:

  • خطاهای مثبت کاذب را حداقل کند
  • گزارشی جامع و قابل اعتماد از احراز هویت ارائه دهد
  • سیاست فرستنده را در گیرندگان، اعمال کند
  • موفقیت حملات فیشینگ را کاهش دهد
  • پیچیدگی‌ها را به صورت کلی، کم کند

DMARC بر اساس DKIM و SPF ساخته شده است که در حال حاضر در چارچوب IETF در حال توسعه هستند. DMARC به‌گونه‌ای طراحی شده است که جایگزین ADSP شود.

ساختار یک رکورد DMARC در DNS

سیاست‌های DMARC در DNS به صورت TXT RR است و مشخص می‌کند که گیرنده ایمیل باید با ایمیل‌هایی که هم‌تراز نیستند چه کارهایی را انجام دهد. به عنوان مثال، یک رکورد DMARC TXT RR برای دامنه‌ی sender.example.com می‌تواند به صورت زیر باشد:

کپی
"v=DMARC1;p=reject;pct=100;rua=mailto:[email protected]"

در مثال فوق، فرستنده درخواست می‌کند که گیرنده تمامی پیام‌های غیرهم‌تراز را به‌طور کامل رد (reject) کند و یک گزارش به صورت تجمیعی (aggregate) از رد شدن‌ها به آدرس مشخص شده، ارسال کند.

اگر فرستنده در حال آزمایش تنظیمات خود باشد، می‌تواند مقدار reject را با quarantine جایگزین کند که به گیرنده می‌گوید لزوماً پیام را رد نکند، بلکه آن را قرنطینه کند.

تگ های رکورد DMARC

رکوردهای DMARC از همان سینتکس tag-value که برای key recordهای مبتنی بر DNS در DKIM تعریف شده است، پشتیبانی می‌کنند. جدول زیر برخی از tagهای موجود را نشان می‌دهد:

نام tagهدفمثال
vورژن پروتکلv=DMARC1
pct

درصد پیام‌هایی که می‌خواهید DMARC روی آن‌ها اعمال شود و بقیه بدون تغییر بمانند

pct=20
ruf

آدرس ایمیلی که گزارش‌های جزئی (forensic) درباره پیام‌های مشکل‌دار برای آن فرستاده می‌شود

ruf=mailto:[email protected]
rua

آدرس ایمیلی که گزارش‌های تجمیعی (aggregate) درباره نحوه عملکرد DMARC برای آن فرستاده می‌شود

rua=mailto:[email protected]
p

سیاست‌های اصلی دامنه. مشخص می‌کند با پیام‌های غیرهم‌تراز چه کنید

p=quarantine
spسیاست برای زیردامنه‌ها. وقتی یک زیردامنه پیام می‌فرستد، این قانون اعمال می‌شودsp=reject
adkim

چک کردن مطابقت امضای DKIM با دامنه فرستنده توسط گیرنده؛ s سخت و r نسبی.

adkim=s
aspf

چک کردن مطابقت SPF با دامنه فرستنده توسط گیرنده؛ s سخت و r نسبی.

aspf=r

مثال‌های این جدول صرفاً برای توضیح هستند و نباید در Production استفاده شوند. برای آخرین و دقیق‌ترین نسخه، به مستندات رسمی DMARC مراجعه کنید.

استفاده از DMARC در سرور ایمیل لیارا

ایمیل سرور لیارا از رکورد DMARC به صورت کامل، پشتیبانی می‌کند؛ شما می‌توانید در ایمیل سرور خود، وارد بخش تنظیمات شده و در بخش رکورد DMARC می‌توانید اطلاعات مربوط به رکورد DMARC خود را مشاهده بفرمایید. همچنین، در صورتی که از سامانه مدیریت دامنه لیارا برای هاست ایمیل خود، استفاده می‌کنید، می‌توانید با کلیک بر روی گزینه ایجاد خودکار رکورد، رکود DMARC را به رکوردهای DNS دامنه خود، اضافه کنید. همچنین، می‌توانید tagهای آن را تغییر داده و سپس، آن را به رکوردهای DNS خود، اضافه کنید.

dmarc section in liara email server

برای دریافت گزارش‌های DMARC از سمت گوگل نیز، تنها کافیست تا بر روی گزینه ایجاد نشانی DMARC کلیک کنید تا نشانی مربوطه یعنی [email protected] برای‌تان ایجاد شود.