ما هو بروتوكول سياسة مصادقة الرسائل والإبلاغ عنها (DMARC)؟

DMARC هو بروتوكول لتوثيق نطاقات البريد الإلكتروني والذي يساعد على تحسين حماية نطاقات البريد الإلكتروني من إساءة الاستخدام في هجمات الانتحال و يشمل أيضاً خاصية التقارير التي تساعد على مراقبة حركة البريد الإلكتروني.

كيف يعمل بروتوكول سياسة مصادقة الرسائل والإبلاغ عنها (DMARC)؟

يستفيد بروتوكول DMARC من تقنيات توثيق البريد الإلكتروني الحالية وهي بروتوكول SPF لمنع تزييف هوية عنوان المرسل في رسائل البريد الإلكتروني، وبروتوكول DKIM للتحقق من موثوقية النطاق المرتبط برسالة البريد الإلكتروني. إعداد سجل DMARC يساعد مالك النطاق على تحديد سياسة DMARC (لا تفعل شيئاً للرسالة، أو عزل الرسالة، أو ارفض الرسالة) في حال فشل التحقق لدى مستلم البريد الإلكتروني. ولكن حتى يعمل البروتوكول بشكل صحيح هنالك بعض المتطلبات التي يجب عملها:

مالك النطاق (المرسل): تطبيق بروتوكولات توثيق البريد الإلكتروني ونشر سياسات DMARC على خوادم أسماء النطاقات العام.

مستلم البريد: تطبيق تقنيات التحقق من بروتوكولات توثيق البريد الإلكتروني.

طريقة عمل البروتوكول

  1. 1. عندما يتم إرسال بريد إلكتروني باستخدام نطاق معين (أو يقوم شخص ما بانتحال النطاق)، يتحقق خادم بريد المستلم لمعرفة ما إذا كان النطاق يحتوي على سجل DMARC.

  2. 2. يقوم خادم بريد المستلم بعد ذلك بالتحقق من بروتوكول ( SPF ) و ( DKIM ) لتقييم ثلاث عوامل رئيسية :

    • هل توقيع DKIM الخاص بالرسالة صحيح؟

    • هل تم استلام البريد من عناوين المعرفات (عنوان بروتوكول الإنترنت) المدرجة في سجل بروتوكول ( SPF ) لنطاق المرسل؟

    • هل النطاق المستخدم بالرسالة يتطابق مع نطاق الخوادم المرسلة؟

  3. 3. باستخدام هذه المعلومات، يكون الخادم جاهزاً لتطبيق سياسة DMARC لنطاق المرسل لتحديد ما إذا كان سيتم قبول رسالة البريد الإلكتروني أو رفضها أو عزلها .

  4. 4. يرسل خادم البريد المستلم تقريرًا عن نتائج هذه الرسالة وجميع الرسائل الأخرى التي يراها من نفس النطاق. وتسمى تقارير DMARC . ويتم إرسالها إلى عنوان البريد الإلكتروني المحدد في سجل DMARC للنطاق. هناك نوعان من تقارير DMARC التقارير الإحصائية وتقارير التحليلية الرقمية:

    التقارير الإحصائية

    • ترسل التقارير بشكل يومي

    • تشمل نظرة عامة عن حركة البريد الإلكتروني المرسل

    • تحتوي على جميع عناوين المعرفات (عنوان بروتوكول الإنترنت) التي قامت بإرسال بريد إلكتروني انتحالي باستخدام النطاق

    التقارير التحليلية الرقمية

    • ترسل في حال فشل تحقق DMARC مباشرةً

    • تحتوي على عناوين رسالة البريد المرسل

    • قد تحتوي على رسالة البريد الانتحالي المرسلة

فوائد بروتوكول سياسة مصادقة الرسائل والإبلاغ عنها (DMARC)

  • معرفة جميع عناوين المعرفات (عنوان بروتوكول الإنترنت) للخوادم البريد الإلكتروني التي تستخدم نطاق محدد.

  • الكشف عن الإعدادات الغير صحيحة لسجلات بروتوكول ( SPF ) و ( DKIM )

  • توفير نظرة عامة وتقارير عن جميع أنشطة البريد الإلكتروني الخاصة بالنطاق.

  • التحكم في البريد الإلكتروني المستلم من خلال تطبيق سياسة DMARC في حال فشل التحقق

  • زيادة معدل تسليم البريد الإلكتروني

  • حماية ضد رسائل البريد الإلكتروني الانتحالية.

مفاهيم خاطئة عن بروتوكول سياسة مصادقة الرسائل والإبلاغ عنها (DMARC)

بروتوكول التوثيق DMARC ذو فعالية كبيرة، ولكن هناك بعض المفاهيم الخاطئة:

لا يحمي DMARC من جميع هجمات البريد الإلكتروني

هناك مجموعة واسعة من أنواع هجمات البريد الإلكتروني التي يجب منعها مثل البريد التصيدي ورسائل البريد الإلكتروني العشوائية التي تحتوي على مرفقات ضارة. من المهم الإشارة أن بروتوكول DMARC مصمم للحماية من البريد الإلكتروني الذي يبدو أنه نشأ من نطاق موثوق، حيث يكون في الواقع بريد إلكتروني انتحالي. لا يقوم DMARC بفحص محتوى المرفق للتحقق من سلامته. وبالتالي، تطبيق بروتوكول DMARC لا يعني أن البريد الإلكتروني محمي بنسبة 100٪، ولكنه يضيف طبقة من الحماية ضد هجمات انتحال البريد الإلكتروني.

فرض سياسة الرفض مباشرة، ليست النهج الصحيح

تريد بعض الجهات إيقاف رسائل البريد الإلكتروني الانتحالية التي تستخدم اسم نطاقها على الفور عن طريق وضع سجل DMARC وفرض سياسة الرفض بنسبة 100 ٪. هذه السياسة فعالة لمنع هجمات التصيد الانتحالي على الفور؛ ولكن، سيؤدي هذا أيضاً إلى فقدان بعض رسائل البريد الإلكتروني الموثوقة . تنصح الهيئة الوطنية للأمن السيبراني بالبدء بسياسة المراقبة ( p=none ) ومراقبة النتائج والتأكد من فعالية تطبيق بروتوكول ( SPF ) و ( DKIM ) ثم فرض سياسة الرفض بعد الضبط والتدقيق لسجلات ( SPF ) و ( DKIM ).

DMARC Process

لا يحمي DMARC صاحب النطاق من تهديدات البريد الإلكتروني الوارد

بروتوكول DMARC غير مصمم لحماية الجزء الوارد من حركة البريد الإلكتروني على البريد المستلم، حيث انه مصمم لحماية حركة البريد الإلكتروني الصادرة من النطاق. ومن الممكن أن يكون بروتوكول DMARC فعال في حال وجود سجلات DMARC مطبقة على نطاقات البريد الوارد وتفعيل خاصية تحقق DMARC على خادم البريد الإلكتروني المستلم.

سياسة DMARC هي طلب من مالك النطاق وليست الزامية على مستقبل البريد

من المهم الإشارة الى أن سياسة DMARC توجّه على التعامل مع البريد الإلكتروني وفقاً لسياسة DMARC ، لكن مستلمي البريد الإلكتروني ليسوا ملزمين بأخذ سياسة DMARC في عين الاعتبار. لأنه أحيانا يطبق بعض مستلمي البريد الإلكتروني السياسة المحلية الخاصة بهم. وهذا يعني أن البريد الإلكتروني الذي يفشل في عمليات تحقق DMARC يمكن أن يصل إلى البريد الوارد للمستلم، حتى عند فرض سياسة DMARC الرفض على نطاقات البريد الوارد.

ما هو بروتوكول إطار سياسة المرسل (SPF)؟

بروتوكول منع تزييف هوية عنوان المرسل في رسائل البريد الإلكتروني ( SPF ) هو أحد أنظمة توثيق نطاقات البريد الإلكتروني التي تسمح لمالك النطاق بتحديد الخوادم المصرح لها بإرسال بريد إلكتروني عن طريق وضع المعرفات الموثقة في نظام خادم النطاقات العام. ويقوم مستقبل البريد بالتحقق من أن البريد الإلكتروني الوارد أنه ارسل من معرف موثوق به عن طريق مقارنتها بالمعرفات الموثقة في سجل SPF. بروتوكول SPF هو أحد أنظمة توثيق نطاقات البريد الإلكتروني التي يستند عليها بروتوكول DMARC.

قيود بروتوكول SPF

بروتوكول SPF يعتبر تقنية جيدة لتوثيق البريد الإلكتروني ولكن يوجد بعض القيود على فعالية بروتوكول SPF وهي كالتالي:

  • بروتوكول SPF لا يقوم بالتحقق من عنوان "المرسل" وهو العنوان الذي يظهر لمستقبل الرسالة ولكن يقوم البروتوكول من التحقق من "المرسل" عن طريق عنوان خادم البريد الإلكتروني فقط.

  • بروتوكول SPF لا يعمل بشكل صحيح عند استقبال بريد إلكتروني معاد توجيهه بشكل آلي لأن معرف خادم البريد الإلكتروني الذي قام بإعادة التوجيه سيصبح هو المعرف الظاهر لمستقبل البريد.

  • بروتوكول SPF لا يتضمن على خاصية ارسال التقارير.

ولا يزال بروتوكول ( SPF ) فعّال ولكن هناك طرق تمكن المهاجمين من تخطي التحقق من صحة المعرفات. مع ذلك، يصبح تطبيق بروتوكول ( SPF ) ذو دور اكثر فعالية اذا تم تطبيقه مع بروتوكول ( DMARC ).

ما هو بروتوكول البريد المعرّف بمفاتيح النطاق (DKIM)؟

بروتوكول التحقق من هوية النطاق المرتبط برسالة البريد الإلكتروني ( DKIM ) هو أحد التقنيات المستخدمة التي تساعد مستلم البريد الإلكتروني على التأكد من توثيق مالك النطاق المرسل للبريد الإلكتروني. يتم التأكد عن طريق إضافة توقيع رقمي في عنوان البريد الإلكتروني.

تطبيق بروتوكول DKIM يساهم في رفع معدل تسليم رسائل البريد الإلكتروني. إذا تم تفعيل بروتوكول DKIM مع بروتوكول DMARC (بالإضافة الى بروتوكول SPF ) فإنه سوف يقوم بالحماية ضد البريد الإلكتروني الضار والذي يرسل بالنيابة عن النطاق.

كيف يعمل بروتوكول DKIM ؟

يعتمد البروتوكول على التشفير عن طريق إنشاء مفتاحين أحدهما خاص والآخر عام وتستخدم للتوقيع الرقمي للبريد المرسل. يتم نشر المفتاح العام في خادم النطاقات العام ويتم حفظ المفتاح الخاص في خادم البريد الإلكتروني لمالك النطاق. يستخدم المفتاح الخاص من قبل مالك النطاق وهو المرسل ويستخدم المفتاح العام من المستقبل.

ينشئ خادم البريد المرسل قيمة التجزئة من الرسالة الصادرة ويتم الحصول على قيمة التجزئة من خلال تطبيق معادلة رياضية (تسمى أحيانـًا خوارزمية التجزئة) على البيانات الجاري توقيعها رقميًا. ثم تشفر قيمة التجزئة باستخدام المفتاح الخاص وترفق القيمة المشفرة (التوقيع الرقمي) في البريد الإلكتروني.

يستطيع المستلم التحقق من صحة التوقيع الرقمي عن طريق استخدام المفتاح العام الموجود في خادم النطاقات. يستخدم المستلم المفتاح العام لفك تشفير التوقيع الإلكتروني، بعد ذلك يقوم بإعادة حساب قيمة ( hash ) للرسالة ومقارنتها مع قيمة ( hash ) التي تم استقبالها في الرسالة. عندما تتطابق قيم ( hashes ) فهذا يعني بأن الرسالة لم يتم التعديل عليها وأنه تم إرسالها من نطاق موثوق.