DMARC: как он защищает пользователей и компании
Зачем используют DMARC
DMARC обеспечивает аутентификацию отправителя электронных писем и сообщает, как поступать с емейлами, которые не прошли проверку. С DMARC злоумышленники не смогут эффективно отправлять письма от вас — они не доставятся или получат специальную пометку.
- Вы контролируете все сообщения, отправленные с вашего домена, и убеждаетесь, что они корректно подтверждены SPF и/или DKIM.
- Вы защищаете свою репутацию и пресекаете рассылки мошенников, которые подорвут доверие клиентов к вашей компании.
- Вы не позволяете злоумышленникам обмануть ваших пользователей фишинговыми письмами, которые ставят под угрозу безопасность клиентов.
Как функционирует DMARC
DMARC смотрит, кто отправил емейл. Протокол сверяет домен с данными отправителя.
- Всё совпадает? Письмо благополучно доходит.
- Возникли сомнения? DMARC руководствуется заранее заданной политикой, чтобы понять, что делать с подозрительным письмом.
Вот какие политики существуют:
Что такое DKIM и SPF?
Благодаря DKIM интернет-провайдеры (например, Gmail) просматривают сообщения и определяют, соответствует ли их состояние тому, какое было при отправке. Другими словами, DKIM препятствует перехвату, изменению и последующей рассылке писем с новой (возможно, мошеннической) информацией.
Менее известным преимуществом DKIM является формирование у провайдеров репутации вашего домена. Хорошие практики отправки (низкий уровень спама, отказов, высокая вовлечённость) повышают доверие и положительную репутацию у интернет-провайдеров.
Из чего состоит запись DMARC
Запись DMARC — это специальная информация, хранящаяся в DNS для вашего домена. Она определяет, как поступать с емейлами, которые якобы отправили с вашего адреса, и включает настройки отчётов об этих письмах.
- _dmarc.primer.com определяет домен, для которого делается запись. Здесь это primer.com.
- IN TXT значит, что запись текстовая.
- v=DMARC1 — используется версия «один» протокола.
- p=quarantine — здесь емейлы, которые не прошли проверку, попадут в спам.
- rua=mailto:dmarc-reports@primer.com показывает, что на емаил-адрес отправляют отчёты.
- ruf=mailto:forensics@primer.com — адрес получит результаты исследований.
- adkim=rf=1 сообщает принимающим серверам, что они должны использовать результаты аутентификации DKIM, если таковые имеются, даже если они не совпадают с доменом отправителя.
- aspf=1 сообщает принимающим серверам, что они должны использовать результаты аутентификации SPF, если таковые имеются, даже если они не совпадают с доменом отправителя.
- sp=none устанавливает политику поддомена на none. К поддоменам не применяется политика DMARC.
Ниже разберёмся чуть подробнее, какие есть теги и что они означают.
Параметр pct в протоколе DMARC отвечает за долю писем, подлежащих фильтрации. Неуказанный pct означает фильтрацию всех входящих писем. Например, pct=30 будет фильтровать только 30% писем. Так вы оцените работу DMARC на части трафика, прежде чем включать его для всех сообщений.
Тут доступны следующие варианты:
- 0: отчёты отправляются только в том случае, если механизмы аутентификации не прошли проверку.
- 1: выписки отправляются, если хотя бы один из механизмов аутентификации (SPF или DKIM) не прошёл проверку.
- d: отчёты о неудачной проверке DKIM отправляются всегда, независимо от результата проверки SPF.
- s: выписки о неудачной проверке SPF отправляются всегда, независимо от результата проверки DKIM.
Как проверяются емейлы
Вы отправили емейл-рассылку. При получении письма провайдер подписчика выполняет ряд проверок:
- Оценивается надёжность домена, с которого отослали письмо. DKIM расшифровывается и верифицируется.
- Адрес электронной почты и домен отправителя проверяются на наличие в списках спама и других вредоносных рассылок.
- Поверяется SPF. Провайдер анализирует IP-адреса серверов, с которых отправили письмо.
Вот что происходит с емейлом дальше:
- Если сообщение проходит все необходимые проверки, оно доставляется получателю.
- При несоответствии DKIM и/или не прохождении спам-фильтров письмо помещается в спам.
- Письмо не доставляется адресату по ряду причин, характерных для конкретного пользователя. Например, это может быть переполненный почтовый ящик.
После этого отправитель получает отчёт.
Как настроить DMARC
Чтобы защититься от мошенников, нужно поработать над записью DMARC. Далее анализируйте отчёты и настройте политику таким образом, чтобы только авторизованные сообщения попадали в эмэйл-ящики получателей.
Ниже вкратце разберём, как настроить DMARC.
В записи используются специальные метки, которые содержат необходимую серверам информацию.
В целом, единственное значение, которое вам нужно изменить, это емейл-адрес, указанный после метки rua=. Поставьте туда тот адрес, к которому у вас есть доступ, чтобы вам приходили DMARC-отчёты.
- В настройках управления DNS-записями вашего домена создайте новую запись типа TXT. В поле «хост» укажите _dmarc, а в поле «значение» вставьте непосредственно вашу DMARC-запись. Если возникают затруднения, то просто обратитесь в поддержку вашего провайдера.
Получив отчёты, изучите их, чтобы понять, кто используют ваш домен для отправки емейлов, и проходят ли эти сообщения проверку DMARC. Обратите внимание, что отчёты предоставляются в формате XML. Чтобы понять таблицы, можно использовать сервисы вроде Dmarcian.
Заключение
DMARC — это не просто техническая настройка, а комплексный инструмент для повышения безопасности вашего домена электронной почты. Его внедрение решает сразу несколько важных задач.
Во-первых, DMARC выявляет несанкционированную рассылку писем якобы от вашего имени. Это защищает подписчиков от фишинговых атак, цель которых — завладеть конфиденциальной информацией или даже деньгами.
Во-вторых, внедрение DMARC положительно влияет на репутацию вашего домена в глазах почтовых сервисов. Снижение количества фишинговых писем, ассоциируемых с вашим доменом, гарантирует более высокую доставку настоящих рассылок.
В-третьих, благодаря DMARC улучшается контроль над почтовым трафиком. С подробными отчётами вы получаете информацию, кто и какие письма отправляет с домена. Это даёт возможность своевременно реагировать на подозрительную активность и принимать обоснованные решения по её устранению.