Щит от спамеров (PTR, DKIM, SPF, FBL, DMARC)

Существуют различные способы борьбы со спамом и мошенниками. Перед конечной доставкой письма получателю почтовые сервисы проверяют репутацию отправителя и анализируют информацию, имеющуюся в письме. Для корректной идентификации вас в качестве отправителя, почтовые сервисы используют следующие технологии и механики:

DKIM (DomainKeys Identified Mail)

Технология защиты электронной почты, которая позволяет отправителю нести ответственность за исходящие сообщения. DKIM добавляет в письмо цифровую подпись, связанную с фром-доменом. Подпись автоматически проверяется на стороне получателя, после чего используется для уточнения репутации и помечается для пользователя.

Проверка подписи происходит получателем автоматически. Принимающая сторона использует «черные» и «белые» списки для определения репутации отправителя и решает доставить email или сообщить об ошибке отправителю.

Для того чтобы использовать DKIM технологию вам понадобится:

• почтовый сервер, поддерживающий подписание отправляемой почты;
• занесение в DNS домена записи о наличии поддержки DKIM и публичного ключа;
• приватный и публичный ключи для подписи письма.

Приватный ключ устанавливается на стороне отправителя и более никому не известен. Публичный ключ располагается в виде специальной TXT записи на поддомене фром-домена.

На данный момент в технологии чаще всего используется RSA-SHA256 и RSA-SHA1 алгоритмы. Рекомендуемая длина ключа — 1024 бит.

Как DKIM устроен в платформе Altcraft.

Создать DKIM ключ для AKMTA сендера можно из панели администрирования системы. Затем ключ и селектор нужно будет указать в настройках сендера.

Правильность настройки домена всегда можно проверить, используя следующие бесплатные инструменты — DKIMCore, MXToolBox.com, MailTester.com.

SPF (Sender Policy Framework)

Инфраструктура политики отправителя контролирует подлинность домена отправителя и защищает домен от его незаконного использования. Добавляет на отправляющий домен (сендер-домен, фром-домен) специальную TXT запись, которая определяет политику разрешения отправки этого домена с различных хостов.

В ТХТ-записи владелец домена указывает список серверов, которые имеют право отправлять письма от имени этого домена и механизм обработки писем, отправленных от других серверов.

Описание синтаксиса записей вы всегда можете найти на официальном сайте SPF.

Зачем это необходимо? Практически все антиспам системы для проверки качества рассылки используют три критерия:

• проверка репутации IP (об этом мы писали в статье Соотношение инбокс/спам: Причины и следствия);
• проверка содержимого — тема, заголовки, наличие спам-слов и тому подобное;
• проверка цифровой подписи DKIM и анализ SPF записи домена.

Рекомендации от Altcraft — добавлять минимум три записи для разных версий протокола:

В примере разрешается использование хостов домена spf.aksend.net, а также IP адреса A.D.C.D. Директивой ip4, вы можете перечислять как каждый IP, так и целую подсеть. -all однозначно указывает на то, что отправка с других хостов не будет валидной. Если вы хотите разрешить отправку с любых хостов, используйте +all (не рекомендуется). Проверить наличие и содержимое SPF записей можно также командой dig.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Технология, которая помогает сделать выбор, как поступать принимающей стороне с подозрительными письмами, если SPF и DKIM сообщают об ошибке на принимающей стороне. Создана для защиты от спамерских, фишинговых и мошеннических писем, замаскированных под сообщения от известных почтовых сервисов. Вы как владелец домена заранее самостоятельно определяете, что будет происходить с письмами, которые почтовые системы примут за подделку.

Перед настройкой DMARC необходимо:

• настроить SPF-запись;
• настроить DKIM-подпись.

Правила обработки писем в случае признания письма поддельным необходимо прописать в DNS домена. В соответствии с указанными критериями письма могут быть не приняты почтовым сервером, отправлены в спам или пропущены.

Примеры политики обработки писем:

1. Отклонять все сообщения не прошедшие проверку.

IN TXT "v=DMARC1; p=reject"

2. Отклонять все сообщения, не прошедшие проверку DMARC, и отправлять все отчеты на ящик postmaster@exampledomain.ru.

"v=DMARC1; p=reject; rua=postmaster@exampledomain.ru"

3. 30% сообщений приходящих от вашего домена, но не прошедших проверки DMARC отправлять в карантин.

"v=DMARC1; p=quarantine; pct=30"

FBL/CFL (FeedBack Loop)

Это механизм обратной связи, позволяющий в режиме реального времени получать отчет о тех пользователях, кто нажал кнопку «спам» на конкретное письмо.

Обычно сервис формирует отчет в специальном формате ARF (Abuse Reporting Format), который содержит исходное письмо и электронный адрес пользователя, а также другие данные, позволяющие отправляющей стороне среагировать (пометить жалобу в статистике, деактивировать подписчика).

Рекомендации Altcraft — настройка минимум трех ящиков:

В AKMTA сендер уже встроен сервер входящей почты. Необходимо указать на NS домена, что его почту обслуживает хост (MX), настроенный в AKMTA. Таким образом, он будет получать всю почту для любых ящиков этого домена. Почта, не содержащая ARF отчетов, будет переправлена на ящик, указанный в файле конфигурации.

PTR (Pointer)

PTR (от англ. pointer — указатель) — это обратная DNS-запись, которая связывает IP адрес с доменом вашего сайта. PTR-запись используется при фильтрации входящей почты, повышает надежность отправляющего сервера и позволяет получить обратный ответ для проверки имени хоста через IP-адрес.

Обязательной составляющей всей настройки любого отправителя является настройка обратной зоны. Каждый отправляющий IP должен такую зону иметь, и правильно сделать ее ссылающейся на сендер домен. Обратную зону обслуживает владелец IP адресов. Если она вам не делегирована, то необходимо отправить запрос в техподдержку провайдера для добавления или изменения записей.

Например, у вас есть сервер (s1), имеющий несколько IP адресов (1.1.1.1 и 1.1.1.2), тогда для вашего домена (example.com) заводятся следующие записи:

Обратите внимание, что IP адрес в имени домена перевернут, это необходимо для возможности делегирования поддомена конечному владельцу/арендатору.

Команда Altcraft постоянно работает над защитой данных. Собственные разработки в части платформы, отвечающей за email-рассылки, позволяют рассылать большие объемы писем на высокой скорости. При правильной настройке PTR, DKIM, SPF, FBL, DMARC письма обречены попадать в INBOX.