התשובה הקצרה
כדי שמשתמשי שירותי הדוא”ל יקבלו הודעות מייל בטוחות, פותחו פרוטוקולים שונים לאימות זהות השולח (SPF, DKIM). אולם, משימת הניטור של הפרוטוקולים היא סיפור מורכב, תקן DMARC מספק אפשרות נוחה לניטור לצורך אימות הדומיין בצורה מושלמת ומהווה את הרובד הנוסף והמשלים לרבדי אבטחת המיילים הבסיסיים שמוטמעים ברשומת ה-DNS כחלק מהדומיין. אז מה זה DMARC? כאן בהמשך הסבר מפורט.
אימייל כערוץ תקשורת אמין
האימייל, בשונה מערוצי תקשורת אחרים, כולל מנגנוני אבטחה לאימות דומיינים במטרה לזהות מקורות שליחה פיקטיביים ולסנן מיילים שאינם בטוחים למשתמש. במשך השנים פותחו פרוטוקולים שונים (SPF ו-DKIM) הנבדקים על ידי השרת המקבל לצורך אימות זהות הדומיין השולח, בנוסף לפתרונות זיהוי נוספים. תקן DMARC מגיע במטרה להשלים את פעולת הזיהוי מול ספקיות המיילים תוך התבססות על שירותי הפרוטוקולים שצוינו. בהתאם לרמה הגבוהה של האבטחה הכוללת זיהוי של כל מקורות השליחה ואימותם מול הגדרות הדומיין – האימייל נחשב לאחד מערוצי התקשורת האמינים ביותר בעיני המשתמשים, זאת ביחס לערוצי תקשורת מקבילים כמו וואטסאפ ו-SMS שם לא נעשה שימוש במנגנוני הגנה אלו.
מהו תקן DMARC?
תקן DMARC הוא פרוטוקול הגנה על דומיינים ומותגים שמספק בנוסף יכולות ניטור של הגדרות רשומות SPF ו-DKIM. בניגוד לפרוטוקולים SPF ו-DKIM שמוגדרים כפרוטוקולים לאימות דומיין, פרוטוקול DMARC אינו מאמת את זהות השולח אלא מנטר את הפעילות של שני הפרוטוקולים. תקן זה מהווה נדבך חשוב במערך האבטחה בשליחת מיילים ברמת אמינות גבוהה.
מהם ראשי התיבות – DMARC?
ראשי התיבות של התקן DMARC הם: Domain-based Message Authentication, Reporting & Conformance – כלומר, מנגנון התוויה של מדיניות בהקשר של מיילים בלתי מאומתים ומניעת הגעה של מיילים חשודים לתיבות מייל של משתמשים בשרת דיוור. מדובר בפרוטוקול מבוסס שרת DNS הנסמך על רשומות SPF ו-DKIM ומסייע בהגנת דומיינים מפני זיוף דואר אלקטרוני, שימוש לא מורשה וכן מפני התקפות סייבר ושימוש לרעה בדומיין (הונאות, פישינג, גניבת פרטי אשראי, שתילת נוזקות ורוגלות, גישה לרשומות פרטיות ועוד).
מטרת התקן היא לוודא התאמה בין רכיבי האבטחה של פרוטוקולי ההגנה הקודמים שהוזכרו לעיל ולוודא כי אימות מקור השליחה מתבצע בצורה מושלמת. כיום, 3 הפרוטוקולים נחשבים למשלימים זה את זה ומהווים שכבת אבטחה איכותית לדומיינים בשליחת דואר אלקטרוני לרשימת תפוצה.
DMARC – איך זה עובד?
תהליך אימות של הודעות אימייל כולל הגדרות של שרתים מורשים באמצעותם ניתן לקבל מיילים והגבלת מקורות שליחה אחרים בעזרת שתי פעולות: הטמעת רשומת SPF לאימות כתובות IP והטמעת מפתח DKIM להצפנה של הודעת אימייל לאימות בעזרת זוג מפתחות אסימטריים (מפתח פרטי לשולח המייל ומפתח ציבורי לשרת המקבל). מנגנון DMARC מקשר בין הפרוטוקולים ובהתאם להצלחה או לכישלון בתהליכי האימות – מציע מדיניות פעולה ומדווח למנהל הדומיין.
מדוע יש צורך במנגנון DMARC?
כבר הזכרנו קודם ובמאמרים נוספים את מנגנוני האבטחה: DKIM ו-SPF. מדוע נוסף על פרוטוקולים אלו שנועדו לאמת את הדומיין השולח – יש צורך במנגנון אבטחה נוסף? קיימות לכך מספר סיבות:
1. בעלי הדומיין לא יכולים לדעת מה קורה עם מנגנוני האבטחה שהטמיעו. כדי לקבל אינדיקציה על פעילות פרוטוקולים אלו ולדעת כמה אימיילים אושרו וכמה נכשלו בבדיקת האימות או מה מספר ניסיונות ה-Email SROOFING שבוצעו על הדומיין, יש להטמיע את התקן האמור.
נוסף על זה, תשתיות האימייל בארגון כוללות מערכות שונות כולל מערכות של נותני שירות נוספים צד ג’. תשתיות אלה על מורכבותן הרבה מקשות את ההטמעה של רשומות DKIM ו-SPF בצורה יסודית ומקיפה. כאן באה לעזרה יכולת הניטור והאימות של פרוטוקול זה ומסייעת בהשלמת פעולת האבטחה של הדומיין.
2. DMARC מקנה למנהלי הדומיין יכולת לפרסום מדיניות המספקת אינדיקציה לשרתים המקבלים בנוגע להטמעתם של פרוטוקולי DKIM ו-SPF ומה המדיניות הנדרשת ליישום כאשר הודעת אימייל נבדקת על ידי מנגנונים אלו. בנוסף, באמצעות DMARC ניתן לפרסם כתובות אימייל בהן השרתים המקבלים יכולים להשתמש לצורך דיווחים למנהלי הדומיין בשמם נשלחה הודעת המייל.
DMARC – יתרונות
עבירות מיילים
עוסקים כמיישמי אוטומציה עסקית או מנהלי שיווק? אם כן אתם בוודאי מבינים על מה אנחנו מדברים. עבירות מיילים מתארת את היכולת של דואר אלקטרוני להגיע ל-INBOX של הנמען תוך הימנעות מחסימת המייל או משליחתו לתיבת הספאם. בעזרת אימות מלא של הדומיין ניתן להגביר את הסיכוי לעבירות המיילים ולדאוג שהם ייחשפו לעיני הנמענים.
אבטחת המשתמשים בספקי דוא”ל
באמצעות מנגנוני האימות וביניהם DMARC, ניתן לזהות ולמנוע פישינג והונאות, לשמור על פרטיות המשתמשים ולחסום גישה לאמצעי תשלום.
ביטחון ואמינות ביחס לארגון שלכם
כאשר אתם מעוניינים לשווק את הארגון שלכם בצורה אופטימלית, חשוב מאוד לייצר תדמית דומיין אמינה כך שזהות הארגון תיקשר עם גוף מהימן ששולח תוכן איכותי ממקורות שליחה אמינים. במידה והתוכן שאתם שולחים יישלח לספאם או יציג למשתמשים הודעת אזהרה, זהות הארגון שלכם עשויה להיות מוטלת בספק ולפגוע ביכולות השיווק שלכם.
איך ספקיות האימייל יודעות איך לסנן את הדואר האלקטרוני?
מסנני הדאר אותן מפעילות ספקות האימייל השונות ובראשן: ג’ימייל, יחד עם מנגנוני אבטחה מתקדמים Firewall) ) הבאים לידי שימוש בעיקר בדואר אלקטרוני ארגוני – נועדו כדי להבטיח שירות דואר אלקטרוני נקי ומדויק. קיים מערך שלם של אימות זהות השולח במטרה לבדוק שההודעה לא הגיע משולח המוגדר כמפיץ דואר זבל. בעזרת מנגנוני אימות אלו מקבלים מסנני ספקיות באימייל הוראות ביחס ליעד המייל שנשלח: לתיבה הראשית של המשתמשים, לתיבת הספאם, לקידומי מכירות ואף לחסימה מלאה של המייל כך שלא יוצג בפני המשתמש.
מערך אימות זהות שולח המייל מבוסס על פרוטוקולים, כלומר, תקנים וטכנולוגיות המאפשרים להגדיר מייל שנשלח כבטוח ואת מקור השליחה – כמהימן ולא כמקור זדוני המעוניין לנצל לרעה דומיין מסוים במטרה להפיץ דואר זבל או לגנוב פרטי לקוחות.
SPF, DKIM ו–DMARC – תהליך האימות המשולש
SPF, DKIM ו–DMARC הם שלושה אמצעי הגנה המוגדרים כפרוטוקולים, אותם יש להטמיע בדומיין כרשומת TXT במטרה לאמת את זהות שולח המייל כאמינה. הגדרה נכונה של 3 הפרוטוקולים תסייע באימות הזהות של הדומיין וכפועל יוצא – תגביר את רמת העבירות של המיילים מאותו דומיין.
יישום והטמעת פרוטוקולים אלו הם אבן דרך בבניית תדמית דומיין איכותית שתאפשר שליחת מיילים ברמת עבירות גבוהה. ניתן להטמיע את הרשומות הללו בדומיין בקלות ובצורה מיידית ובכך להשפיע על עבירות המיילים בצורה משמעותית. כל מנהל דומיין יכול לבצע את הפעולה הזו במקסימום שעת עבודה יחד עם בחירת מערכת דיוור איכותית שמקפידה על תדמית מהימנה ושמירה על דואר נקי המגיע ללקוחות ומהווה חלק באמינות הזהות של הארגון מול הלקוחות.
DMARC ואוטומציה עסקית – מה הקשר?
כמיישמי אוטומציה עסקית ואוטומציה שיווקית אתם בוודאי נדרשים לעסוק באימייל מרקטינג ובעבירות מיילים בעזרת כלי אוטומציה שונים. שימו לב כי באמצעות הטמעה פשוטה של 3 פרוטוקולים בדומיין – תוכלו להגביר את הסיכויים לכך שהמיילים אותם תשלחו יגיעו לתיבה הראשית של המשתמשים ויזכו לחשיפה. פעילות זאת מהווה פעולה בסיסית אותה יש לבצע להגברת עבירות עוד לפני הטמעה של אוטומציות שונות המשפיעות על עבירות המיילים ועל פתיחתם על ידי המשתמשים.
שאלות ותשובות בנושא מה זה DMARC?
פרוטוקול DMARC הוא תקן שנסמך על שני מנגנוני אימות-זהות-שולח המוגדרים על הדומיין: SPF ו-DKIM. פרוטוקול DMARC מנטר את הפעילות של שתי הרשומות. לאחר שעברו בהצלחה את מנגנוני הבקרה, הוא מאמת מיילים נשלחים גם מול From ו-Mail from. מטרת הפרוטוקול היא למנוע זיופים בעזרת קישור איכותי בין מיילים הנשלחים בפרוטוקול SMTP לבין שם הדומיין. כך לדוגמה אם נשלח מייל שכתובת השולח שלו היא https://archi-tech.co.il/ מסנני הדואר שמופעלים על ידי ספקיות אימייל יבדקו מהו המידע הנוסף המעודכן ברשומת ה-DNS על שם הדומיין archi-tech.co.il ואם תימצא תאימות – המייל יקבל ציון אמין ויהיה לו סיכוי גבוה יותר להגיע לתיבת המייל הראשית של הנמענים.
מנגנון DMARC מסייע בניטור פרוטוקולים שונים של אימות זהות מקור שליחה של מייל ומונע זיופים, הונאה ופישינג. באמצעות תהליך אימות דומיינים הכולל מידע בעזרת תקן DMARC ניתן לזהות כתובת דומיין כמקור שליחה מהימן ובכך להעלות את רמת העבירות של המייל.