Inleiding
In dit document worden algemene architectuurconcepten voor op domeinen gebaseerde berichtenverificatie, -rapportage en -conformiteit (DMARC) beschreven, samen met de uitlijningsvereisten voor Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) met betrekking tot DMARC.
Terminologie
In deze sectie worden een aantal sleuteltermen uit dit document beschreven en gedefinieerd.
- EHLO/HELO - de opdrachten die de identiteit van een SMTP-client tijdens de initialisatie van een SMTP-sessie leveren zoals gedefinieerd in RFC 5321.
- Van kop - Het veld Van: specificeert de auteur(s) van een bericht. Het bevat doorgaans de weergavenaam (wat wordt getoond aan een eindgebruiker door de mailclient), samen met een e-mailadres dat een lokale naam en een domeinnaam bevat (bijvoorbeeld "John Doe" <johndoe@example.com>) zoals gedefinieerd in RFC 5322.
- MAIL VANUIT - Dit is afgeleid van de MAIL-opdracht aan het begin van een SMTP-sessie en geeft de identificatie van de afzender zoals gedefinieerd in RFC5321. Het is ook algemeen bekend als de envelopsender, return-path of bounce address.
DMARC - Identificatie uitlijning
DMARC verbindt wat DKIM en SPF authenticeren aan wat in de Van kopbal vermeld is. Dit gebeurt door uitlijning. Voor uitlijning is vereist dat de domeinidentiteit die door SPF en DKIM is geverifieerd, overeenkomt met het domein in het e-mailadres dat zichtbaar is voor de eindgebruiker.
Laten we beginnen met wat een identificator is en waarom ze belangrijk zijn met betrekking tot DMARC.
Identificatiecodes
Identificatoren identificeren een domeinnaam die moet worden geverifieerd.
Identificatoren met betrekking tot DMARC:
- SPF:
SPF verifieert het domein dat of in de POST VAN of het gedeelte EHLO/HELO van het gesprek SMTP, of allebei verschijnt. Dit kunnen verschillende domeinen zijn, en ze zijn doorgaans niet zichtbaar voor de eindgebruiker.
- DKIM:
DKIM verifieert het ondertekeningsdomein dat wordt vastgemaakt aan een handtekening binnen de d=tag.
Deze (SPF en DKIM) identificatoren worden geauthenticeerd aan de hand van de domeinidentificator die wordt afgeleid in de Van header. Het Van kopbal domein wordt gebruikt omdat het het meest voorkomende Mail User Agent (MUA) veld is voor de verzender van het bericht en het is het veld dat wordt gebruikt door eindgebruikers om de bron van het bericht te identificeren (een afzender), die de Van kopbal ook een primair doel voor misbruik maakt.
Waarschuwing: DMARC kan misbruik alleen beschermen tegen een geldige From-header.
DMARC kan niet worden gebruikt op:
- Misvormde, afwezige of herhaalde RFC 5322-headers
- Niet-conforme kopregels, aangezien deze niet worden gevalideerd
- Wanneer er meer dan één domeinidentiteit in de header is (*)
Daarom moet er naast DMARC een proces bestaan om berichten te identificeren met niet-conforme misvormde kopregels en een manier te implementeren om ze te markeren en zichtbaar te maken als niet-DMARC in aanmerking komende kopregels.
(*) DMARC moet een enkele domeinidentiteit uit de header halen. Als er meer dan één e-mailadres in de header is dan zal deze header worden overgeslagen in de meeste DMARC implementaties. Verwerkingskopregels met meer dan één domeinidentiteit worden in de DMARC-specificatie als buiten bereik vermeld.
Wanneer de Cisco ESA meer dan één domeinidentiteit kan detecteren, laat het een juist bericht achter in de maillogbestanden:
(Machine esa.lab.local) (SERVICE)> grep -i "verification skipped" mail_logs
Tue Oct 16 14:13:52 2018 Info: MID 2003 DMARC: Verification skipped (Sending domain could not be determined)
Identificatie-uitlijning
Identificatie alignment definieert een relatie tussen het domein geverifieerd door SPF en/of DKIM en de From-header. Alignment is een matchingproces waaraan ook moet worden voldaan na een succesvolle verificatie van SPF en/of DKIM. Het DMARC-authenticatieproces vereist dat ten minste één van de door SPF of DKIM gebruikte identifiers (domeinidentiteit) moet worden uitgelijnd met het domeingedeelte van het From-adres.
DMARC introduceert twee uitlijningsmodi:
- strikte modus vereist een exacte overeenkomst (uitlijnen) tussen domeinnamen
- Relxed mode maakt het subdomein van hetzelfde domein mogelijk
Identifier Alignment is vereist omdat een bericht een geldige handtekening kan dragen van elk domein, met inbegrip van domeinen die worden gebruikt door een mailinglijst of zelfs een slechte actor. Daarom volstaat het slechts dragen van een geldige handtekening niet om de authenticiteit van het Auteur Domein te achterhalen.
DKIM-uitlijning
DKIM domein identifier wordt verkregen door het bekijken van de d= tag in een DKIM handtekening, en het wordt vergeleken met de From header domein om een DKIM handtekening succesvol te verifiëren.
Het bericht kan bijvoorbeeld worden ondertekend namens domein d=blog.cisco.com, dat domein blog.cisco.com als ondertekenaar identificeert. DMARC gebruikt dit domein en vergelijkt het met het domeindeel van de From-header (bijvoorbeeld noreply@cisco.com). De uitlijning tussen deze identificatoren zal in strikte modus mislukken maar gaan voorbij met behulp van ontspannen modus.
Opmerking: één e-mail kan meerdere DKIM-handtekeningen bevatten en wordt als een DMARC-pas beschouwd als een DKIM-handtekening is uitgelijnd en geverifieerd.
SPF-uitlijning
Het SPF (spfv1) mechanisme authenticeert domeinidentifiers geleverd van:
- E-MAIL VAN identiteit (MAIL VAN opdracht)
- HELO/EHLO-identiteit (HELO/EHLO-opdracht)
De MAIL VAN domeinidentiteit probeert standaard te worden geverifieerd. De HELO-domeinidentiteit wordt alleen geverifieerd door DMARC voor berichten met een lege MAIL VAN de identiteit, zoals bounce berichten.
Een veelvoorkomend voorbeeld hiervan is wanneer een bericht wordt verzonden met een ander E-mailadres (noreply@blog.cisco.com) vergeleken met wat in de From-header (noreply@cisco.com) staat. De MAIL VAN domeinidentiteit deel van noreply@blog.cisco.com zal zich in ontspannen modus richten op het From header domein van noreply@cisco.com maar niet in strikte modus.
Tags voor uitlijnmodus
DMARC-uitlijningsmodi kunnen worden gedefinieerd op een DMARC-beleidsrecord met behulp van adkim- en aspf-uitlijningsmodustags. Deze tags geven aan welke modus vereist is voor DKIM- of SPF-herkenningsuitlijning.
De modi kunnen worden ingesteld op ontspannen of strikt, met ontspannen als standaard als er geen tag aanwezig is. Dit kan onder de tag-waarde als volgt worden ingesteld:
- r: ontspannen modus
- s: strikte modus
Referentie
Feedback