¿Por qué tantos fallos de DMARC? ¿Cuándo seguir adelante?

Navega tus respuestas
1

Acabo de comenzar a recibir informes agregados de DMARC para nuestro nuevo entorno DKIM en modo pasivo ("p = ninguno;") y noto una tendencia extraña:

  • Casi 1/4 de las direcciones IP en cualquier informe de proveedor dado DKIM auth fail
  • Casi 1/8 de las direcciones IP en cualquier informe de proveedor dado SPF autenticación fallida

Quiero aumentar lentamente la aplicación de DMARC por recomendación de Deploy Slowly de Google , pero ¿cómo puedo saber cuándo es seguro pasar a la siguiente etapa? ¿Son estas fallas por fallas en AOL, Gmail, Hotmail, etc. o indican la gravedad en la que se está falsificando nuestro dominio?

    
pregunta armani 18.10.2016 - 01:02
fuente

1 respuesta

2

En una situación muy similar en este momento,

Basado en varias semanas de implementación de DMARC:

  1. Conozca sus flujos de correo y qué servidores de correo envían correo desde su entorno o en su nombre. Comience por actualizar sus registros SPF y recuerde que todos los dominios Y subdominios deben tener sus propios registros SPF.

  2. SPF aún puede fallar debido a varias razones (usuarios móviles, remailers, etc.) Mi opinión es que la forma de evitar esto en el corto plazo es comenzar a firmar DKIM lo antes posible para su dominio principal Y sus subdominios.

  3. En caso de que esté trabajando con terceros, haga que canalicen sus flujos de correo a través de sus propios servidores de correo, o póngase en contacto con ellos para asegurarse de que son lo suficientemente expertos en DKIM y construya un proceso para rotar regularmente DKIM clave pública (s) en su DNS.

  4. Sea paciente con el ajuste de su política (también había planeado seguir el avance de Google). Vale la pena tomarse el tiempo para profundizar en los informes de DMARC y comprender por qué falló exactamente SPF / DKIM / DMARC. En muchos casos, estas son parodias reales. Podría descubrir flujos de correo de los que ni siquiera estaba al tanto. Use analizadores de código abierto para visualizar sus informes o enviarlos a algún sistema de administración de registros para facilitar el análisis. O externalizar el análisis.

  5. Recuerde aplicar también la verificación DMARC entrante. Deje que todo pase en una primera fase, luego aplique progresivamente la política del remitente. Usted podría por ejemplo ponga en cuarentena los correos que deben rechazarse, luego rechácelos.

Existe un elemento de riesgo en la aplicación de DMARC o la publicación de una política de DMARC que no sea p = ninguno, pero los informes realmente le dan MUCHA información y permiten una implementación controlada. Es esencial conocer sus flujos de correo y quién los administra. Además, test test test tanto como sea posible con flujos de correo ficticios (¡netcat es tu amigo)!

Finalmente, recuerda que AOL et al. solo le enviaremos los resultados de la comprobación de DMARC de los correos enviados desde su dominio (o alguien que lo falsifique) Entonces, si una prueba está marcada como fallida, indica un problema de su lado, no de ellos :)

HTH,

    
respondido por el pescator 21.10.2016 - 16:04
fuente

Lea otras preguntas en las etiquetas

¿Qué es más seguro contra la inyección de paquetes? ¿Pueden Malware / Hacker conectar un dispositivo a Internet que NO está ya conectado?