Tradiční e-mailový protokol (SMTP) vznikl v dobách hlubokého akademického internetu, kdy se v síti ještě plně důvěřovalo každému uzlu. Od přírody tak e-mail funguje do dneška doslova jako papírový korespondenční lístek na klasické státní centrální poště. Kdokoliv na světě může na papírovou obálku do levého horního rohu pro kolonku Odesílatel propiskou napsat adresu reditel@vase-firma.cz, hodit to do schránky a pošta vám ji se vší grácií bez remcání normálně doručí do schránky adresátovi.

Tento fatální bezpečnostní nedostatek stál za vznikem éry spamu, a v dnešním světě plném phishingu se tato slepota musí “lepit” a obcházet trojicí pokročilých technologií. Tyto kroky příjemcovu cizímu e-mailovému serveru vždy matematicky garantují, že obálka není maskovaná ani podvržená.

Všechny tři z těchto technologií se nenastavují do samotných tajných mailů, ale publikují se zcela veřejně do doménových DNS záznamů vaší firemní adresy. Níže nabízíme plný logický přehled oné “svaté trojice” a toho, co každá z nich přesně plní.

1. SPF (Sender Policy Framework)

Představte si SPF jako tvrdý veřejný seznam povolených legitimních kurýrů.

Když si SPF nakonfigurujete, publikujete na internetu textový DNS záznam své domény, ve kterém jasně deklarujete: “Všem poštám na internetu dávám na vědomí, že jménem naší cílové domény techbox.cz smí odesílat maily zcela exkluzivně výhradně a pouze servery společnosti Google (include:_spf.google.com) a náš lokální účetní systém přes IP adresu 85.20.10.5.

Když zítra dorazí na konkurenční Seznam.cz e-mail odeslaný jako váš ředitel a bude od divného čínského serveru, server Seznamu si vytáhne nahlášné zdrojové IP onoho robota, bleskově se dotáže nahlédnutím do vašeho povoleného textového seznamu SPF, a nekompromisně to porovná. Pokud daný ruský dodavatel v povoleném “guest-listu” samozřejmě neexistuje, servery adresáta okamžitě s vysokým červeným skóre vyškrtnou dopis jako podvrh schránky.

  • Limit a slabina SPF: Pokud )točník získá přístup přímo na Váš server, samotné vnější kontroly zdroje v SPF před podvodnými či útočnými maily neochrání.

2. DKIM (DomainKeys Identified Mail)

Zatímco bod jedna ověřuje hrubě pouze “kdo ten dopis nese k bráně” (resp. je oprávněn nést), standard DKIM naopak prokazuje pravost digitálním podpisem mailserveru. Doména zveřejní v DNS tzv. doménový klíč (veřejný klíč) a každý její autorizovaný mailserver má povinnost všechny odchozí e-maily digitálně podepsat doménovým privátním klíčem.

  • Co to zkouší odvracet? Kdyby cizí podvržeč nebo drsný odposlouchávací agent narušitel (tzv. typ útočníka Man-in-the-Middle) na kabelu někde mezi Prahou a Amerikou odchytil váš cenný e-mail a chystal se v něm drze přepsat a zfalšovat jedno jediné číslo fakturačního účtu přesměrování platby dodavateli, úpravou jediného znaku zneplatní digitální podpis Jakmile pak cílový mailserver dopočítá hash (kontrolní součet) a zjistí, že digitální podpis nesedí, celý vnitřní blok vyhodí a označí dopis varováním úpravy podvodu.

3. DMARC (Pravidla hry pro obranu a reportování)

A závěrem nastupuje nejpokročilý moderní standard protokolu, takzvaný obří ochránce zvaný DMARC (Domain-based Message Authentication, Reporting and Conformance). Spojuje oba předešlé detektivy SPF a DKIM konečně dohromady do masivního štítu a automaticky předepisuje cizím pošťákům na serverech tu vůbec definitivní klíčovou a nejdůležitější otázku ohledně zahazování ze seznamu podvrhů: “Jéminánku, já ten útok díky vám objevil! Co ale s tím hrozným zavirovaným doručeným dopisem teď u mě v databázi mám po analýze proboha provést, když s hrůzou zjistím, že u testu mu SPF nebo podpis z DKIM tragicky červeně pod okny propadlo a falšér chybí? Kde to zahodit?”

Do jednoduchého záznamu u DMARCU si vy sami vládnete a určítě pošťákům chování zvaným Politika hrozby (Policy křížení ochrany):

  1. p=none (Aktivní test sběru): “Hele prozatím to jen na dálku po očku testuji a dělám údržbu, e-mail mu normálně klidně klasicky doruč do čisté doručené pošty za všech okolností až ho chytíš, ale pošli mi o pokusech na centrálu tichý statistický log z akce.” (Počáteční spouštěcí testovací a pozorovací sběrná fáze velkých firem o pohybu po sféře).
  2. p=quarantine (Výstražná Karanténa upozornění): “Pokud u mailu pečeť a odesílatel praskl a prokazatelně se mýlí s povoleným servrem mé společnosti Google, doruč takový toxický list s opatrností pošťáka pouze a speciálně rovnou do skryté sekce SPAM. Uživatel nechť se toho nadále pod výstrahou žlutého pole raději ani nedotýká kvůli odkazům.”
  3. p=reject (Destrukční fáze a finální cíl zlikvidování neštěstí): Zlatý grál administrátorů a cíl veškeré implementace obran na světe. Zde vkládáte příkaz: “Tady končí debata. Pokud podvržený e-mail s adresátem mých ředitelů propadl přes povolenou SPF IP ochranku a nemá navíc platnou voskovanou naši vlastní firemní pečeť, je to tvrdě útok Phisherů dělající si masivní negativní zálusk na peníze klientů a jméno pošpiňuje mým obalama! Naprosto bez dotazů a bez jakékoliv neřízené lhostejnosti do milisekundy e-mail drsně se vším všudy vymaž z cizí sítě. Zpráva navždy shoří u providera, hacker byl odstřižen, oběť klient byl zachráněn.”

Samořejmě, DMARC za to vše zastřešuje a ještě navíc dává cenný nástroj bezpečnostním analytikům: Ve finálním řetězci textu vkládáte do konfigurátoru i sběrnou dedikovanou analytickou e-mailovou adresu, načež kompatibilní mailservery z celého Internetu automatizovaně posílají reporty v agregovaném formátu typu XML. Váš správce pak každen může číst: “Uživateli techbox.cz! Ohledně monitoringu - včera za celý den narazily naše brány na zhruba 15 000 cizích podvržených mailových kampaních přes adresy v Číně vydávající se za Váši doménu, avšak dle striktního DMARC nastavení p-reject jsme pokusy o doručení odmítli.”