Pred nejakým časom ma kontaktoval white-hat hacker s dopytom ohľadom bezpečnosti jedného z mojich e-mailov. Konkrétne, že môj DMARC záznam nebol nastavený.
Okamžite som kontaktoval svojho e-mailového poskytovateľa, keďže som nevedel, či celá vec je vôbec legitímna, ale nedostal som veľmi uspokojivú odpoveď. Pri pátraní som zistil, že moje záznamy DKIM a SPF sú nastavené, pravdepodobne správne. Vtedy som o celej problematike nemal veľa informácií.
Keďže som nevedel, čo presne robiť, urobil som jednoduchú analýzu rizika. So správne nastavenými záznamami SPF a DKIM, ale bez správneho DMARC, by útočník mohol potenciálne vydávať sa za mňa prostredníctvom e-mailu, čo by znamenalo, že by mohol poslať e-mail, ktorý by vyzeral, akoby pochádzal odo mňa. Alebo tak stále verím.
Nebola to až taká veľká hrozba, keďže nie som firma a mnohé firmy fungujú každý deň s pravdepodobne horšími bezpečnostnými problémami, takže som to nechal plávať. Môj plán vtedy bol aj tak čoskoro zmeniť poskytovateľa e-mailu a myslel som si, že zmena niečo zmení, pričom som mal na mysli aj zmeny súvisiace s bezpečnosťou.
Použitie TXT záznamu pre DMARC #
Robil som nejaké poriadky (zjavne v súboroch) a narazil som na súbory
zostatkové z toho dopytu. Keďže som ešte nezmenil poskytovateľa e-mailu,
problém s chýbajúcim DMARC záznamom bol stále aktuálny. Pomyslel som si, že
to skúsim opraviť. Nakoniec to nebolo také ťažké, ale chvíľu to trvalo, kým
som to metodou pokus-omyl zvládol. Najjednoduchšie riešenie je
nakonfigurovať DNS tak, aby obsahoval TXT záznam pre _dmarc.domain.com
takto:
v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]Dnes nebudem zachádzať do detailov, čo to vyššie znamená. Ďalšie dva pozoruhodné nastavenia, na ktoré som narazil, sú:
v=DMARC1; p=reject; sp=none; pct=100; ri=86400; rua=mailto:[email protected]A s povolenou forenzikou:
v=DMARC1; p=reject; fo=1; rua=mailto:[email protected]; ruf=mailto:[email protected]Nižšie je niekoľko odkazov, ktoré by vám určite pomohli vysvetliť, čo sa tam deje, ak na to tu narazíte.
Záverečné slová #
Možno budem musieť DMARC v budúcnosti trochu doladiť, pretože v technológii sa zdá, že všetko sa neustále vyvíja, ale zatiaľ moje e-maily prechádzajú a DMARC zdá sa byť správne nastavený. Je tu však množstvo dostupných možností a ak sú zle nakonfigurované, mohli by to otočiť a spôsobiť, že všetky e-maily budú odmietnuté. Prial by som si, aby som sa naučil nejaký nástroj, ktorý by fungoval ako unit testy, ale pre e-mail, len aby som sa uistil, že všetko potrebné vždy funguje po nejakých zmenách. Tento pocit z programovania je veľmi návykový.
Čo sa týka toho, čo white-hat hacker urobil, dúfam, že sa nepomstil za to, že som mu nezaplatil za zverejnenie. Vysvetlil som, že nie som firma, takže nemám príjmy. V každom prípade som nezistil žiadnu podozrivú aktivitu súvisiacu s touto vecou, ale môže sa to zmeniť teraz, keď mám nastavené reportovanie (funkcia DMARC).
Ale musím obdivovať, že to, čo urobili, bolo celkom inšpiratívne, ak to tak možno nazvať. Verím, že prehľadávali web za e-mailovými adresami a namiesto toho, aby na získané adresy jednoducho poslali spam, spustili automatické kontroly adries a tým, ktoré neprešli, poslali personalizovaný e-mail so zverejnením bezpečnostného problému. Pekné.