Как защитить домен от спуфинга и спама с помощью DMARC

Используются три стандарта аутентификации электронных писем, которые помогают защитить электронную почту от спуфинга и фишинга, а также предотвратить попадание отправляемых из организации писем в папку "Спам" получателей.

• SPF (Sender Policy Framework) – определяет почтовые серверы и домены, которым разрешено отправлять электронную почту от имени вашей организации.
• DKIM (DomainKeys Identified Mail) – добавляет к каждому отправляемому письму цифровую подпись, с помощью которой принимающие серверы могут проверить, не было ли письмо подделано или изменено при доставке.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance) – сообщает принимающим почтовым серверам, что делать с полученными из организации письмами, которые не прошли проверку SPF или DKIM.

Прежде чем внедрять DMARC, настройте технологии DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework). Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC.

Проверить наличие записи DMARC можно при помощи утилиты dig. Введите _dmarc. и полное доменное имя. Например, для домена dieg.info укажите _dmarc.dieg.info

dig _dmarc.dieg.info txt @8.8.8.8 +short
"v=DMARC1; p=reject"

Не рекомендуется отключать DMARC для организации или домена. Без DMARC хакеры и другие злоумышленники смогут подделывать электронные письма, выдавая их за отправленные из вашей организации или домена. Отключение этого протокола подвергнет ваших пользователей и контакты риску спама, спуфинга и фишинга.

DMARC использует выравнивание доменов для аутентификации вашей электронной почты. Это означает, что DMARC проверяет, является ли домен, указанный в адресе From (в видимом заголовке), подлинным, сравнивая его с доменом, указанным в скрытом заголовке Return-path (для SPF) и заголовке подписи DKIM (для DKIM). Если оба домена совпадают, электронное письмо проходит DMARC, в противном случае это приводит к DMARC fail.

Таким образом, если ваша электронная почта не проходит DMARC, это может быть связано с несоответствием домена. То есть ни SPF, ни DKIM идентификаторы не совпадают, и электронное письмо кажется отправленным из неавторизованного источника.

Обратите внимание, что для того, чтобы электронная почта прошла проверку подлинности DMARC, необходимо соответствие либо SPF, либо DKIM.

Чтобы вам не ломать голову, приведем ниже четыре самые распространенные DMARC-записи. В примере для домена dieg.info создаем запись состоящая из 3 частей. В дальнейшем, в примерах будет указана только третья часть, но не забывайте о двух первых:) когда будите создавать запись в DNS.

1. Target / Host / Location: _dmarc
2. Record Type: TXT
3. Your DMARC Record is: v=DMARC1;p=none

Самая простая DMARC-запись. По сути, она не призывает сервер получателя ни к каким действиям по отношению к неаутентифицированным письмам. Мы рекомендуем её внести, чтобы проверить, что всё работает исправно.

v=DMARC1;p=none;rua=mailto:postmaster@yourdomain.com

Показывает получателю, что не надо отклонять никаких писем, но вам на указанный адрес будет отправляться письмо. В письме — агрегированный отчёт об отправленных письмах и серверах, откуда они ушли. Такая запись нужна, если вы хотите увидеть, идёт ли от вас нежелательный трафик. Ещё это промежуточный вариант перед включением политики reject (полного отклонения неаутентифицированных сообщений).

v=DMARC1;p=quarantine;rua=mailto:postmaster@yourdomain.com

Вариант-середнячок, один из самых распространённых. Письма, которые не аутентифицированы, будут помечаться вашим почтовым сервисом как спам или как нежелательные (зависит от сервиса).

v=DMARC1;p=reject;pct=25;rua=mailto:postmaster@yourdomain.com
"v=DMARC1; p=none; rua=mailto:darkfire@dieg.info"
"v=DMARC1; p=reject; sp=none; pct=100; ri=86400; rua=darkfire@dieg.info"

Это уже строгая политика DMARC относительно неаутентифицированных сообщений. Мы рекомендуем вам постепенно наращивать процент отклонения таких писем: начиная с 25%, понемногу переходить к 100%.

Читайте также: Настройка DMARC для защиты домена

Чтобы обнаружить сбой DMARC, используйте эту удобную функцию, предлагаемую вашим протоколом DMARC. Вы можете получать отчеты, содержащие ваши данные DMARC, от ESP, просто определив тег "rua" в вашей записи DMARC DNS. Ваш синтаксис может быть следующим:

v=DMARC1; ptc=100; p=reject; rua=mailto:infog@example.com;

Тег rua должен содержать адрес электронной почты, на который вы хотите получать отчеты.