Der Weg zu p=Reject, dem internen DMARC-Projekt von Mimecast: Teil 1

Wie jedes Unternehmen mit einer bedeutenden Online-Präsenz ziehen auch die Online-Marken und E-Mail-Domänen von Mimecast regelmäßig die unerwünschte Aufmerksamkeit von böswilligen Akteuren auf sich, die versuchen, sie als Teil von Phishing-Kampagnen zu nutzen. Tatsächlich habe ich vor kurzem gezeigt, wie versucht wurde, die Mimecast-Marke sowohl in Phishing-E-Mails als auch über Klone unserer Login-Seite auf mimecast.com zu imitieren. Wir sind sicherlich nicht allein. Wenn Mimecast ein Ziel sein kann, gibt es dann einen Grund anzunehmen, dass Ihre Organisation es nicht auch sein kann?

Implementierung von DMARC

Ein wichtiger Bestandteil jedes Programms zur Eindämmung des illegalen E-Mail-Spoofings der Domänen einer Organisation ist die Verwendung des DNS-Authentifizierungsstandards DMARC . DMARC ist jedoch kein Standard und keine Technologie, die sich schnell einführen, konfigurieren, einschalten und wieder vergessen lässt. Um DMARC gut zu implementieren, müssen Unternehmen zunächst ihre eigenen Domänen sorgfältig überwachen und bewerten und die E-Mail-Absender aussortieren, die in ihrem Namen sowohl rechtmäßige als auch unrechtmäßige E-Mails versenden. Sobald p=Reject für alle eigenen Domänen erreicht ist, müssen sie ein Programm zur laufenden Überwachung erstellen. Dieser letzte Schritt ist entscheidend, da die Online-Welt nicht statisch ist.

Das schmutzige Geheimnis der E-Mail ist, dass jeder E-Mails versenden kann, die vorgeben, von einer beliebigen Domäne zu stammen. Natürlich kann der wahre Eigentümer der Domäne dies verhindern. DMARC und seine nahen Verwandten SPF und DKIM sind die Technologien, die der Domäneninhaber einsetzen kann, um die Kontrolle über seine E-Mail-Domänen zu behalten.

Jeder Domänenbesitzer kann problemlos einen DMARC-Eintrag in seinem DNS-Eintrag erstellen und ihn auf p=Reject setzen, muss sich aber zunächst vergewissern, dass dadurch nicht wichtige oder legitime E-Mails abgeschnitten werden, die möglicherweise von "guten Spoofern" stammen.

Die meisten Unternehmen verwenden beispielsweise Salesforce.com, Marketo, Netsuite oder andere Anwendungen, die E-Mails für die Kommunikation in ihrem Namen verwenden, was bedeutet, dass dies gute Spoofers sind, die von DMARC nicht beeinträchtigt werden sollten. Es ist sogar sehr wahrscheinlich, dass die IT- und Sicherheitsteams nicht wissen, wer all die legitimen Spoofers sind, die derzeit E-Mails im Namen ihres Unternehmens versenden.

Denken Sie daran, dass p=Reject eine öffentliche Erklärung und Aufforderung ist; E-Mail-Empfänger sollten alle E-Mails zurückweisen, die angeblich von der zugehörigen Domäne gesendet werden, aber nicht ordnungsgemäß im SPF-Eintrag der Domäne konfiguriert oder nicht mit dem privaten DKIM-Schlüssel der Organisation signiert sind.

Die Mimecast-Reise zu P=Reject

Um unsere eigenen Domains besser zu schützen, hat Mimecast ein Projekt initiiert, um seine eigene Umstellung auf p=Reject für alle eigenen Domains abzuschließen. Um unsere Fortschritte oder den Status der DMARC-Datensätze einer anderen Organisation zu überprüfen, verwenden Sie unseren DMARC-Datensatz-Checker , um die neuesten DMARC-Informationen für diese Domain zu erhalten. Um Ihnen die Mühe zu ersparen, habe ich unsere aktuelle Konfiguration für mimecast.com unten eingefügt.

Als Mitglied des internen DMARC-Projektteams von Mimecast werde ich in einer Reihe von Artikeln über die Fortschritte berichten, um einen Einblick in den Weg zu DMARC p=Reject zu geben. Da Mimecast ein Anbieter einer DMARC-Plattform und eines DMARC-Dienstes ist, ist im Team auch das Produktmanagement vertreten, so dass alle Erkenntnisse aus diesem Projekt direkt in das Produkt und die damit verbundenen Dienstleistungsangebote einfließen können.

Die Quintessenz

Die Realität ist, dass ein DMARC-Projekt einige knifflige IT- und Sicherheitsfragen und -prozesse aufwirft. Kann jeder neue Domänen für Ihre Organisation registrieren? Wie sollte das Verfahren aussehen? Welche legitimen Anwendungen versenden derzeit E-Mails im Namen Ihrer Domäne? Wer ist der geschäftliche Eigentümer Ihrer E-Mail-versendenden Anwendungen? Was machen Sie mit den Hunderten von Domänen, die mit Tippfehlern belegt sind, die Sie aber nicht nutzen? Wie stellen Sie sicher, dass alle neuen Anwendungen und Domänen sofort auf p=Ablehnen gehen?

Im zweiten Teil dieser Artikelserie werde ich Einzelheiten zu den Entscheidungen und Schritten erläutern, die wir getroffen haben, um alle unsere eigenen Domains sicher und effizient auf p=Reject zu bringen. Ich hoffe, dass das, was Mimecast getan hat und was wir priorisiert haben, am Ende dieser Artikelserie auch für Ihr DMARC-Programm hilfreich sein kann.