DMARC: как он защищает пользователей и компании

DMARC — это протокол защиты от мошенников и спамных емейл-сообщений.

Подозрительный емейл в Yandex

Зачем используют DMARC

DMARC защищает от фишинга, мошеннической схемы похищения конфиденциальных данных: паролей и реквизитов карт. Злоумышленники рассылают электронные письма, маскируя их под емейлы от доверенных компаний. Пользователи непреднамеренно раскрывают личную информацию и рискуют финансовыми потерями. При этом страдает репутация компаний.

DMARC обеспечивает аутентификацию отправителя электронных писем и сообщает, как поступать с емейлами, которые не прошли проверку. С DMARC злоумышленники не смогут эффективно отправлять письма от вас — они не доставятся или получат специальную пометку.

Вот почему DMARC полезен:

• Вы контролируете все сообщения, отправленные с вашего домена, и убеждаетесь, что они корректно подтверждены SPF и/или DKIM.
• Вы защищаете свою репутацию и пресекаете рассылки мошенников, которые подорвут доверие клиентов к вашей компании.
• Вы не позволяете злоумышленникам обмануть ваших пользователей фишинговыми письмами, которые ставят под угрозу безопасность клиентов.

Как функционирует DMARC

DMARC смотрит, кто отправил емейл. Протокол сверяет домен с данными отправителя.

• Всё совпадает? Письмо благополучно доходит.
• Возникли сомнения? DMARC руководствуется заранее заданной политикой, чтобы понять, что делать с подозрительным письмом.

Вот какие политики существуют:

p=none. Если все проверки пройдены, письмо успешно доставляется получателю. Одновременно с отправкой письма формируется отчёт. Он выдаёт сведения об отправителе, использующем домен, авторизации письма и его обработке. Проанализируйте эти данные, чтобы выявить мошеннические действия и улучшить настройки.

p=quarantine. Email-сообщение, которое не прошло проверку, попадает в спам. Но отчёт о доставке всё равно отправится.

Спамное емейл-сообщение

p=reject. Все почтовые сообщения, которые не пройдут проверку, автоматически отклонятся и не попадут ни во «Входящие», ни в какую-либо другую папку получателя. Включив такую политику, обязательно добавьте в список разрешённых отправителей все нужные сторонние сервисы. В противном случае их письма также заблокируют.

Что такое DKIM и SPF?

DKIM — это способ проверки подлинности емейлов. При отправке сообщения оно подписывается секретным ключом, а затем проверяется с помощью открытого ключа, размещённого в DNS. Эта процедура гарантирует, что емейл не изменили в процессе передачи.

Благодаря DKIM интернет-провайдеры (например, Gmail) просматривают сообщения и определяют, соответствует ли их состояние тому, какое было при отправке. Другими словами, DKIM препятствует перехвату, изменению и последующей рассылке писем с новой (возможно, мошеннической) информацией.

Менее известным преимуществом DKIM является формирование у провайдеров репутации вашего домена. Хорошие практики отправки (низкий уровень спама, отказов, высокая вовлечённость) повышают доверие и положительную репутацию у интернет-провайдеров.

SPF даёт понять, кто имеет право отправлять емейлы от вашего имени. SPF работает через настройки DNS.

Из чего состоит запись DMARC

Запись DMARC — это специальная информация, хранящаяся в DNS для вашего домена. Она определяет, как поступать с емейлами, которые якобы отправили с вашего адреса, и включает настройки отчётов об этих письмах.

Дальше разберём пример такой записи.

_dmarc.company.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@company.com; ruf=mailto:forensics@company.com; adkim=rf=1; aspf=1; sp=none.

Разбор:

• _dmarc.primer.com определяет домен, для которого делается запись. Здесь это primer.com.
• IN TXT значит, что запись текстовая.
• v=DMARC1 — используется версия «один» протокола.
• p=quarantine — здесь емейлы, которые не прошли проверку, попадут в спам.
• rua=mailto:dmarc-reports@primer.com показывает, что на емаил-адрес отправляют отчёты.
• ruf=mailto:forensics@primer.com — адрес получит результаты исследований.
• adkim=rf=1 сообщает принимающим серверам, что они должны использовать результаты аутентификации DKIM, если таковые имеются, даже если они не совпадают с доменом отправителя.
• aspf=1 сообщает принимающим серверам, что они должны использовать результаты аутентификации SPF, если таковые имеются, даже если они не совпадают с доменом отправителя.
• sp=none устанавливает политику поддомена на none. К поддоменам не применяется политика DMARC.

Ниже разберёмся чуть подробнее, какие есть теги и что они означают.

aspf и adkim помогают проверить подлинность писем. Их можно настроить на два режима: мягкую и жёсткую проверку. Начните с мягкой. В этом режиме при несоответствии SPF или DKIM письмо не блокируется, а вы получаете уведомление о проблеме. Позже, после анализа отчётов, переключайтесь на строгий режим для повышения безопасности.

Параметр pct в протоколе DMARC отвечает за долю писем, подлежащих фильтрации. Неуказанный pct означает фильтрацию всех входящих писем. Например, pct=30 будет фильтровать только 30% писем. Так вы оцените работу DMARC на части трафика, прежде чем включать его для всех сообщений.

sp — это политика для субдоменов, которая функционирует аналогично политике для основного домена. В случае массовой рассылки письма отправляются с различных поддоменов. Через sp вы индивидуально настроите правила обработки писем для каждого из них.

rua — это почта емейл для получения ежедневных отчётов в формате XML. Такие выписки — это ваш ключ к пониманию того, кто и какие емейлы отсылает от вашего имени. Они содержат сведения о почтовых серверах, отправляющих емейлы под вашим именем, а также результаты проверок SPF и DKIM для этих писем. Кроме того, отчёт покажет, как поступили с каждым письмом (отправили ли эмаил-сообщение в спам или заблокировали).

rf отвечает за формат отчётов о не прошедших аутентификацию письмах.

fo показывает, какие типы отчётов о неудачных проверках SPF/DKIM отправляются.

Тут доступны следующие варианты:

• 0: отчёты отправляются только в том случае, если механизмы аутентификации не прошли проверку.
• 1: выписки отправляются, если хотя бы один из механизмов аутентификации (SPF или DKIM) не прошёл проверку.
• d: отчёты о неудачной проверке DKIM отправляются всегда, независимо от результата проверки SPF.
• s: выписки о неудачной проверке SPF отправляются всегда, независимо от результата проверки DKIM.

Как проверяются емейлы

Вы отправили емейл-рассылку. При получении письма провайдер подписчика выполняет ряд проверок:

• Оценивается надёжность домена, с которого отослали письмо. DKIM расшифровывается и верифицируется.
• Адрес электронной почты и домен отправителя проверяются на наличие в списках спама и других вредоносных рассылок.
• Поверяется SPF. Провайдер анализирует IP-адреса серверов, с которых отправили письмо.

Вот что происходит с емейлом дальше:

• Если сообщение проходит все необходимые проверки, оно доставляется получателю.
• При несоответствии DKIM и/или не прохождении спам-фильтров письмо помещается в спам.
• Письмо не доставляется адресату по ряду причин, характерных для конкретного пользователя. Например, это может быть переполненный почтовый ящик.

Подозрительное письмо в gmail

После этого отправитель получает отчёт.

Как настроить DMARC

Чтобы защититься от мошенников, нужно поработать над записью DMARC. Далее анализируйте отчёты и настройте политику таким образом, чтобы только авторизованные сообщения попадали в эмэйл-ящики получателей.

Ниже вкратце разберём, как настроить DMARC.

1. Сделайте DMARC-запись. Она добавляется к вашему DNS-провайдеру. Когда емейлы отправляются от вашего имени, почтовые серверы адресатов проверяют эту запись, чтобы понять, как им поступить с сомнительными сообщениями.

В записи используются специальные метки, которые содержат необходимую серверам информацию.

В целом, единственное значение, которое вам нужно изменить, это емейл-адрес, указанный после метки rua=. Поставьте туда тот адрес, к которому у вас есть доступ, чтобы вам приходили DMARC-отчёты.

2. Добавьте запись в настройки DNS-провайдера вашего домена. Каждый DNS-провайдер имеет свои особенности, поэтому универсальной инструкции здесь не существует. Ниже приблизительное руководство:

• В настройках управления DNS-записями вашего домена создайте новую запись типа TXT. В поле «хост» укажите _dmarc, а в поле «значение» вставьте непосредственно вашу DMARC-запись. Если возникают затруднения, то просто обратитесь в поддержку вашего провайдера.

3. Проанализируйте отчёты. После создания записи DMARC и добавления её к DNS-провайдеру вашего домена, вы начнёте получать отчёты DMARC от почтовых серверов адресатов. С этими сведениями вы разберётесь, какие источники отправляют письма с вашего домена (легитимные или фишинговые).

Получив отчёты, изучите их, чтобы понять, кто используют ваш домен для отправки емейлов, и проходят ли эти сообщения проверку DMARC. Обратите внимание, что отчёты предоставляются в формате XML. Чтобы понять таблицы, можно использовать сервисы вроде Dmarcian.

Заключение

DMARC — это не просто техническая настройка, а комплексный инструмент для повышения безопасности вашего домена электронной почты. Его внедрение решает сразу несколько важных задач.

Во-первых, DMARC выявляет несанкционированную рассылку писем якобы от вашего имени. Это защищает подписчиков от фишинговых атак, цель которых — завладеть конфиденциальной информацией или даже деньгами.

Во-вторых, внедрение DMARC положительно влияет на репутацию вашего домена в глазах почтовых сервисов. Снижение количества фишинговых писем, ассоциируемых с вашим доменом, гарантирует более высокую доставку настоящих рассылок.

В-третьих, благодаря DMARC улучшается контроль над почтовым трафиком. С подробными отчётами вы получаете информацию, кто и какие письма отправляет с домена. Это даёт возможность своевременно реагировать на подозрительную активность и принимать обоснованные решения по её устранению.

Подписывайтесь на наш Telegram-канал. Там вы найдёте самые интересные тренды и новости в сфере digital-маркетинга и технологий. Будьте в теме вместе с нами!