Επεξήγηση της Απαίτησης BIMI για DMARC p=reject
Επεξήγηση της Απαίτησης BIMI για DMARC p=reject
Οι περισσότερες αποτυχημένες υλοποιήσεις BIMI οφείλονται σε μία μόνο αιτία: λανθασμένη πολιτική DMARC. Οι οργανισμοί επικεντρώνονται στη δημιουργία του αρχείου λογοτύπου SVG και παραβλέπουν την απαίτηση αυθεντικοποίησης που καθορίζει αν το λογότυπο θα εμφανιστεί καθόλου.
Το BIMI είναι πρωτόκολλο ασφαλείας, όχι λειτουργία branding. Οι πάροχοι email εμφανίζουν το λογότυπό σας μόνο αφού επαληθεύσουν κρυπτογραφικά ότι το μήνυμα προήλθε από τον τομέα σας [1].
Αυτό το άρθρο περιγράφει την προϋπόθεση DMARC για το BIMI, συγκρίνει τις τρεις πολιτικές επιβολής και καθορίζει πώς να προετοιμάσετε τον τομέα σας.
Τι είναι το DMARC;
Το Domain-based Message Authentication, Reporting, and Conformance (DMARC) είναι ένα πρότυπο αυθεντικοποίησης email που αποτρέπει μη εξουσιοδοτημένους αποστολείς από τη χρήση του τομέα σας στην κεφαλίδα From.
Το DMARC βασίζεται σε δύο υποκείμενα πρωτόκολλα:
- SPF (Sender Policy Framework): Επαληθεύει ότι η διεύθυνση IP αποστολής είναι εξουσιοδοτημένη από τον κάτοχο του τομέα.
- DKIM (DomainKeys Identified Mail): Εφαρμόζει κρυπτογραφική υπογραφή σε κάθε μήνυμα ώστε ο παραλήπτης να μπορεί να επιβεβαιώσει ότι το μήνυμα δεν τροποποιήθηκε κατά τη μεταφορά.
Η εγγραφή DMARC δίνει οδηγίες στους διακομιστές λήψης, όπως Gmail και Yahoo, για τον τρόπο διαχείρισης μηνυμάτων που αποτυγχάνουν τόσο στο SPF όσο και στο DKIM.
Οι Τρεις Πολιτικές DMARC
Δημοσιεύετε την εγγραφή DMARC ως εγγραφή TXT στη ζώνη DNS σας. Η ετικέτα p= ορίζει την πολιτική επιβολής.
1. p=none (Λειτουργία Παρακολούθησης)
Ο διακομιστής λήψης παραδίδει τα μηνύματα που αποτυγχάνουν στα εισερχόμενα και στέλνει συγκεντρωτικές αναφορές στη διεύθυνση που καθορίζετε. Χρησιμοποιήστε αυτή την πολιτική για να εντοπίσετε νόμιμες πηγές αποστολής πριν προχωρήσετε σε επιβολή.
Κατάσταση BIMI: ❌ Απορρίπτεται. Οι πάροχοι email δεν εμφανίζουν λογότυπα BIMI για τομείς με p=none.
2. p=quarantine (Λειτουργία Επιβολής)
Ο διακομιστής λήψης δρομολογεί τα μηνύματα που αποτυγχάνουν στον φάκελο spam ή ανεπιθύμητης αλληλογραφίας.
Κατάσταση BIMI: ✅ Γίνεται δεκτό. Αυτή είναι η ελάχιστη πολιτική που πληροί τις προϋποθέσεις για BIMI. Η πολιτική πρέπει να εφαρμόζεται στο 100% των μηνυμάτων. Είτε συμπεριλάβετε pct=100 είτε παραλείψτε την ετικέτα pct (η προεπιλογή είναι 100).
3. p=reject (Λειτουργία Αυστηρής Επιβολής)
Ο διακομιστής λήψης απορρίπτει τα μηνύματα που αποτυγχάνουν. Δεν παραδίδονται. Κατάσταση BIMI: ✅ Γίνεται δεκτό. Αυτή είναι η συνιστώμενη πολιτική για BIMI.
Γιατί το BIMI Απαιτεί Επιβολή
Η απαίτηση υπάρχει για την αποτροπή οπτικής πλαστοπροσωπίας. Όταν ένας πάροχος email εμφανίζει το λογότυπό σας δίπλα σε ένα μήνυμα, διαβεβαιώνει τον παραλήπτη ότι το μήνυμα είναι αυθεντικό [2].
Αν το BIMI αποδεχόταν p=none, ένας επιτιθέμενος θα μπορούσε να πλαστοπροσωπήσει τον τομέα σας και να αναγκάσει τον πάροχο email να εμφανίσει το λογότυπό σας δίπλα σε ένα μήνυμα phishing. Η απαίτηση για p=quarantine ή p=reject εγγυάται ότι ο κάτοχος του τομέα έχει αποκλείσει τα μη αυθεντικοποιημένα μηνύματα πριν χορηγηθεί το λογότυπο.
Ζητήματα Υποτομέων
Οι επιχειρήσεις χρησιμοποιούν συχνά υποτομείς για διακριτές ροές αλληλογραφίας, όπως marketing.company.com ή receipts.company.com. Το BIMI απαιτεί ο οργανωτικός τομέας να βρίσκεται σε επιβολή.
Αν ο οργανωτικός τομέας σας δημοσιεύει p=reject αλλά παρακάμπτει τους υποτομείς με sp=none, το BIMI αποτυγχάνει για αλληλογραφία που αποστέλλεται από αυτούς τους υποτομείς. Η επιβολή πρέπει να εφαρμόζεται τόσο στον οργανωτικό τομέα όσο και στους υποτομείς του.
Πώς να Ελέγξετε την Υποδομή σας
Επιβεβαιώστε την κατάσταση DMARC πριν δημιουργήσετε αρχείο SVG ή υποβάλετε αίτηση για Verified Mark Certificate (VMC).
Χρησιμοποιήστε το makeBIMI για έλεγχο του τομέα σας. Το εργαλείο ερωτά τις εγγραφές DNS σας, αξιολογεί τη διαμόρφωση SPF και DMARC και αναφέρει αν ο τομέας σας πληροί την απαίτηση επιβολής για BIMI.
Αφού ο τομέας σας περάσει τον έλεγχο, δημιουργήστε το συμβατό αρχείο SVG σας και απευθυνθείτε σε μεσίτη CA όπως το veriBIMI για την απόκτηση του πιστοποιητικού σας.
Αναφορές
[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/