อธิบายข้อกำหนด BIMI DMARC p=reject
อธิบายข้อกำหนด BIMI DMARC p=reject
การติดตั้ง BIMI ที่ล้มเหลวส่วนใหญ่มีสาเหตุมาจากปัญหาเดียว: นโยบาย DMARC ที่ไม่ถูกต้อง องค์กรต่างๆ มุ่งเน้นไปที่การสร้างไฟล์โลโก้ SVG และมองข้ามข้อกำหนดด้านการยืนยันตัวตนที่กำหนดว่าโลโก้จะแสดงได้หรือไม่
BIMI เป็นโปรโตคอลด้านความปลอดภัย ไม่ใช่ฟีเจอร์ด้านแบรนด์ ผู้ให้บริการกล่องจดหมายจะแสดงโลโก้ของคุณก็ต่อเมื่อยืนยันด้วยการเข้ารหัสว่าข้อความนั้นมาจากโดเมนของคุณจริงเท่านั้น [1]
บทความนี้อธิบายข้อกำหนดเบื้องต้นของ DMARC สำหรับ BIMI เปรียบเทียบนโยบายการบังคับใช้ทั้งสามระดับ และระบุวิธีเตรียมโดเมนของคุณ
DMARC คืออะไร?
Domain-based Message Authentication, Reporting, and Conformance (DMARC) เป็นมาตรฐานการยืนยันตัวตนอีเมลที่ป้องกันไม่ให้ผู้ส่งที่ไม่ได้รับอนุญาตใช้โดเมนของคุณในส่วนหัว From
DMARC สร้างขึ้นบนโปรโตคอลพื้นฐานสองตัว:
- SPF (Sender Policy Framework): ตรวจสอบว่าที่อยู่ IP ของผู้ส่งได้รับอนุญาตจากเจ้าของโดเมน
- DKIM (DomainKeys Identified Mail): ใส่ลายเซ็นการเข้ารหัสในแต่ละข้อความเพื่อให้ผู้รับสามารถยืนยันได้ว่าข้อความไม่ถูกแก้ไขระหว่างการส่ง
ระเบียน DMARC สั่งเซิร์ฟเวอร์ผู้รับ เช่น Gmail และ Yahoo ว่าจะจัดการกับข้อความที่ไม่ผ่านการตรวจสอบทั้ง SPF และ DKIM อย่างไร
นโยบาย DMARC สามระดับ
คุณเผยแพร่ระเบียน DMARC เป็นระเบียน TXT ในโซน DNS ของคุณ แท็ก p= กำหนดนโยบายการบังคับใช้
1. p=none (โหมดตรวจสอบ)
เซิร์ฟเวอร์ผู้รับส่งข้อความที่ไม่ผ่านการตรวจสอบไปยังกล่องขาเข้าและส่งรายงานสรุปไปยังที่อยู่ที่คุณระบุ ใช้นโยบายนี้เพื่อระบุแหล่งส่งที่ถูกต้องก่อนที่จะเปลี่ยนไปใช้การบังคับใช้
สถานะ BIMI: ❌ ถูกปฏิเสธ ผู้ให้บริการกล่องจดหมายไม่แสดงโลโก้ BIMI สำหรับโดเมนที่ใช้ p=none
2. p=quarantine (โหมดบังคับใช้)
เซิร์ฟเวอร์ผู้รับส่งข้อความที่ไม่ผ่านการตรวจสอบไปยังโฟลเดอร์สแปมหรือขยะ
สถานะ BIMI: ✅ ยอมรับ นี่คือนโยบายขั้นต่ำที่มีคุณสมบัติสำหรับ BIMI นโยบายต้องใช้กับข้อความ 100% ให้ใส่ pct=100 หรือไม่ใส่แท็ก pct (ค่าเริ่มต้นคือ 100)
3. p=reject (โหมดบังคับใช้อย่างเข้มงวด)
เซิร์ฟเวอร์ผู้รับทิ้งข้อความที่ไม่ผ่านการตรวจสอบ ข้อความจะไม่ถูกส่ง สถานะ BIMI: ✅ ยอมรับ นี่คือนโยบายที่แนะนำสำหรับ BIMI
ทำไม BIMI ถึงต้องการการบังคับใช้
ข้อกำหนดนี้มีอยู่เพื่อป้องกันการปลอมแปลงทางภาพ เมื่อผู้ให้บริการกล่องจดหมายแสดงโลโก้ของคุณถัดจากข้อความ นั่นเป็นการยืนยันต่อผู้รับว่าข้อความนั้นเป็นของแท้ [2]
หาก BIMI ยอมรับ p=none ผู้โจมตีสามารถปลอมแปลงโดเมนของคุณและทำให้ผู้ให้บริการกล่องจดหมายแสดงโลโก้ของคุณถัดจากข้อความฟิชชิ่งได้ การกำหนดให้ใช้ p=quarantine หรือ p=reject รับประกันว่าเจ้าของโดเมนได้บล็อกอีเมลที่ไม่ผ่านการยืนยันตัวตนก่อนที่จะได้รับโลโก้
ข้อควรพิจารณาสำหรับซับโดเมน
องค์กรขนาดใหญ่มักใช้ซับโดเมนสำหรับกระแสอีเมลที่แตกต่างกัน เช่น marketing.company.com หรือ receipts.company.com BIMI ต้องการให้โดเมนระดับองค์กรอยู่ในโหมดบังคับใช้
หากโดเมนระดับองค์กรของคุณเผยแพร่ p=reject แต่แทนที่ซับโดเมนด้วย sp=none BIMI จะล้มเหลวสำหรับอีเมลที่ส่งจากซับโดเมนเหล่านั้น การบังคับใช้ต้องใช้กับทั้งโดเมนระดับองค์กรและซับโดเมน
วิธีตรวจสอบโครงสร้างพื้นฐานของคุณ
ยืนยันสถานะ DMARC ของคุณก่อนที่จะสร้างไฟล์ SVG หรือสมัครขอ Verified Mark Certificate (VMC)
ใช้ makeBIMI เพื่อตรวจสอบโดเมนของคุณ เครื่องมือนี้สอบถามระเบียน DNS ของคุณ ประเมินการกำหนดค่า SPF และ DMARC และรายงานว่าโดเมนของคุณตรงตามข้อกำหนดการบังคับใช้สำหรับ BIMI หรือไม่
หลังจากโดเมนของคุณผ่านการตรวจสอบแล้ว ให้สร้างไฟล์ SVG ที่เป็นไปตามข้อกำหนด และติดต่อตัวแทนจำหน่าย CA เช่น veriBIMI เพื่อขอใบรับรองของคุณ
เอกสารอ้างอิง
[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/