В этой статье мы рассмотрим, как легко оптимизировать SPF-запись для вашего домена. Для предприятий и малого бизнеса, которые владеют почтовым доменом для отправки и получения сообщений среди своих клиентов, партнеров и сотрудников, весьма вероятно, что запись SPF существует по умолчанию, которая была настроена вашим поставщиком услуг входящей почты. Независимо от того, есть ли у вас уже существующая запись SPF или вам нужно создать новую, вам необходимо правильно оптимизировать запись SPF для вашего домена, чтобы она не вызывала проблем с доставкой электронной почты.

Некоторые получатели электронной почты строго требуют SPF, что указывает на то, что если у вас нет опубликованной для вашего домена записи SPF, ваша электронная почта может быть помечена как спам в почтовом ящике получателя. Более того, SPF помогает в обнаружении неавторизованных источников, посылающих электронную почту от имени вашего домена.

Давайте сначала поймем, что такое SPF и зачем он вам нужен?

Основы политики в отношении отправителей (ОП)

SPF, по сути, является стандартным протоколом аутентификации электронной почты, который определяет IP-адреса, которые авторизированы для отправки электронной почты с вашего домена. Он работает путем сравнения адресов отправителей со списком авторизованных хостов-отправителей и IP-адресов для определенного домена, который опубликован в DNS для этого домена.

SPF, наряду с DMARC (Domain-based Message Authentication, Reporting and Conformance), предназначен для обнаружения поддельных адресов отправителей во время доставки электронной почты и предотвращения атак подделки, фишинга и почтового мошенничества.

Важно знать, что хотя стандартный SPF, интегрированный в ваш домен хостинг-провайдером, гарантирует, что электронные письма, отправленные с вашего домена, будут проверены на подлинность по SPF, если у вас есть несколько сторонних поставщиков для отправки электронных писем с вашего домена, эту существующую запись SPF необходимо адаптировать и изменить в соответствии с вашими требованиями. Как вы можете это сделать? Давайте рассмотрим два наиболее распространенных способа:

  • Создание совершенно нового рекорда SPF
  • Оптимизация существующего рекорда ПСФ

Инструкции по оптимизации SPF-записи

Создать совершенно новую запись SPF

Создание SPF-записи - это простая публикация TXT-записи в DNS вашего домена для настройки SPF для вашего домена. Это обязательный шаг, который выполняется перед тем, как вы начнете оптимизировать SPF-запись. Если вы только начинаете работать с аутентификацией и не знаете синтаксиса, вы можете использовать наш бесплатный онлайн-генератор SPF-записей для создания SPF-записи для вашего домена.

Запись SPF с правильным синтаксисом будет выглядеть примерно так:

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1Определяет используемую версию SPF
ip4/ip6Этот механизм определяет действительные IP адреса, которые авторизованы для отправки электронной почты с вашего домена.
включатьЭтот механизм говорит принимающим серверам включать значения для записи SPF указанного домена.
-всеЭтот механизм предусматривает, что сообщения по электронной почте, не соответствующие требованиям ПСФ, будут отклоняться. Это рекомендуемый тег, который вы можете использовать во время публикации вашей записи SPF. Однако он может быть заменён на ~ для SPF Soft Fail (сообщения электронной почты, не соответствующие SPF, будут помечены как сообщения, не соответствующие SPF, но всё равно будут приняты) Или +, который указывает, что любому и каждому серверу будет позволено отправлять сообщения электронной почты от имени вашего домена, что настоятельно не рекомендуется.

Если у вас уже настроен SPF для вашего домена, вы также можете использовать нашу бесплатную SPF проверку записи для поиска и проверки вашей SPF записи и обнаружения проблем.

Общие проблемы и ошибки при настройке ПСФ

1) 10 Ограничение поиска DNS 

Самой распространенной проблемой, с которой сталкиваются владельцы доменов при настройке и принятии протокола SPF-аутентификации для своего домена, является то, что SPF поставляется с ограничением на количество DNS-поисков, которое не может превышать 10. Для доменов, полагающихся на несколько сторонних производителей, 10 DNS поиск пределов легко превышает, что в свою очередь нарушает SPF и возвращает SPF ошибку PermError. Принимающий сервер в таких случаях автоматически аннулирует вашу SPF запись и блокирует её.

Механизмы, которые инициируют DNS поиск: MX, A, INCLUDE, REDIRECT модификатор.

2) Поиск пустоты SPF 

Поиск по пустоте относится к поиску DNS, который возвращает либо ответ NOERROR, либо ответ NXDOMAIN (пустой ответ). При реализации SPF рекомендуется убедиться, что DNS поиск не возвращает пустой ответ.

3) рекурсивная петля SPF

Эта ошибка указывает на то, что SPF-запись для указанного вами домена содержит рекурсивные проблемы с одним или несколькими механизмами INCLUDE. Это происходит, когда один из доменов, указанных в теге INCLUDE, содержит домен, чья SPF-запись содержит тег INCLUDE исходного домена. Это приводит к бесконечному циклу, заставляющему почтовые серверы непрерывно выполнять DNS поиск SPF-записей. В конечном счёте это приводит к превышению лимита на поиск в 10 DNS, что приводит к тому, что сообщения электронной почты не будут иметь SPF.

4) Ошибки синтаксиса 

Запись SPF может существовать в DNS вашего домена, но она бесполезна, если содержит синтаксические ошибки. Если ваша запись SPF TXT содержит ненужные белые пробелы при наборе имени домена или механизма, то строка, предшествующая лишнему пространству, будет полностью проигнорирована принимающим сервером во время выполнения поиска, тем самым делая запись SPF недействительной.

5) Несколько записей SPF для одного и того же домена

Один домен может иметь только одну SPF TXT запись в DNS. Если ваш домен содержит более одной SPF записи, то принимающий сервер аннулирует их все, что приводит к отказу SPF электронной почты.

6) Длина записи SPF 

Максимальная длина записи SPF в DNS ограничена 255 символами. Однако этот предел может быть превышен, и запись TXT для SPF может содержать несколько строк, соединенных вместе, но не более 512 символов, чтобы соответствовать ответу на запрос DNS (согласно RFC 4408). Хотя позднее это требование было пересмотрено, получатели, полагающиеся на старые версии DNS, не могли подтвердить электронную почту, отправленную с доменов, содержащих длинную запись SPF.

Оптимизация записи SPF

Для того, чтобы быстро изменить вашу запись в SPF, вы можете использовать следующий передовой опыт SPF:

  • Попробуйте напечатать ваши источники электронной почты в порядке уменьшения важности слева направо в вашей записи SPF.
  • Удалить устаревшие источники электронной почты из вашего DNS
  • Используйте механизмы IP4/IP6 вместо A и MX
  • Держите ваше количество механизмов INCLUDE как можно меньше и избежать вложенных включает в себя
  • Не публикуйте более одной SPF-записи для одного и того же домена в вашем DNS.
  • Убедитесь, что ваша SPF запись не содержит лишних белых пробелов или синтаксических ошибок.

Примечание: SPF сплющивание не рекомендуется, так как это не одноразовая сделка. Если ваш поставщик услуг электронной почты меняет свою инфраструктуру, вам придется каждый раз вносить соответствующие изменения в записи SPF.

Оптимизация вашей записи SPF легко с помощью PowerSPF

Вы можете попробовать внедрить все вышеперечисленные модификации, чтобы оптимизировать вашу запись в SPF вручную, или вы можете забыть о сложностях и положиться на наш динамический PowerSPF, чтобы сделать все это за вас автоматически! PowerSPF поможет вам оптимизировать вашу запись в SPF одним щелчком мыши, где вы сможете это сделать:

  • Добавление или удаление источников отправки с легкостью
  • Обновлять записи легко без необходимости вносить изменения в DNS вручную.
  • Получить оптимизированную автоматическую SPF запись одним щелчком кнопки
  • Держитесь все время под 10 лимитом поиска DNS
  • Успешное устранение ПермОшибки
  • Забудьте о синтаксических ошибках записи SPF и проблемах конфигурации
  • Мы снимаем с вас бремя решения ограничений ПСФ.

Зарегистрируйтесь в PowerDMARC сегодня, чтобы навсегда отказаться от ограничений СПФ!  

Скорость, с которой электронная почта поступает в почтовые ящики получателей, называется скоростью доставки электронной почты. Эта скорость может замедляться или задерживаться или даже приводить к сбоям в доставке, когда электронная почта попадает в папку со спамом или блокируется принимающими серверами. По сути, это важный параметр для измерения успешности доставки писем, которые попадают в желаемые почтовые ящики получателей, не будучи помеченными как спам. Аутентификация электронной почты, безусловно, является одной из опций, к которой могут прибегнуть новички в области аутентификации, чтобы увидеть значительное улучшение в доставке электронной почты с течением времени.

В этом блоге мы здесь, чтобы поговорить с вами о том, как вы можете с легкостью улучшить скорость доставки электронной почты, а также обсудить лучшие отраслевые практики для обеспечения бесперебойного потока сообщений по всем вашим каналам электронной почты!

Что такое аутентификация электронной почты?

Аутентификация по электронной почте - это техника, используемая для проверки подлинности вашей электронной почты по отношению ко всем авторизованным источникам, которым разрешено отправлять электронную почту из вашего домена. Она также помогает в проверке подлинности домена любого Mail Transfer Agent (MTA), участвующего в передаче или изменении электронной почты.

Зачем нужна аутентификация электронной почты?

Simple Mail Transfer Protocol (SMTP), являющийся интернет-стандартом для передачи электронной почты, не содержит функции проверки подлинности входящей и исходящей почты, что позволяет злоумышленникам использовать отсутствие безопасных протоколов в SMTP. Он может использоваться злоумышленниками для совершения почтовых фишинговых атак, атак BEC и подделок домена, в результате которых они могут выдать себя за ваш бренд и нанести вред его репутации и доверию. Аутентификация электронной почты повышает безопасность вашего домена от подражания и мошенничества, указывая принимающим серверам, что ваша электронная почта соответствует DMARC и поступает из достоверных и аутентичных источников. Она также служит контрольным пунктом для выявления несанкционированных и вредоносных IP-адресов, отправляющих электронную почту с вашего домена.

Чтобы защитить имидж вашего бренда, минимизировать киберугрозы, BEC и обеспечить более высокую скорость доставки, аутентификация электронной почты является обязательным условием!

Аутентификация по электронной почте Лучшие практики

Основы политики в отношении отправителей (ОП)

SPF присутствует в вашем DNS в качестве записи TXT, отображая все действительные источники, которые авторизованы для отправки электронной почты из вашего домена. Каждое электронное сообщение, которое покидает ваш домен, имеет IP-адрес, который идентифицирует ваш сервер и поставщика услуг электронной почты, используемого вашим доменом, который занесен в ваш DNS в качестве записи SPF. Почтовый сервер получателя проверяет электронную почту на соответствие записям SPF и, соответственно, помечает электронную почту как прошедшую или не прошедшую SPF.

Обратите внимание, что SPF имеет 10 лимитов DNS поиска, превышение которых может вернуть результат PermError и привести к сбою SPF. Это можно смягчить, используя PowerSPF, чтобы всегда оставаться под лимитом поиска!

Доменные ключи идентифицированной почты (DKIM)

DKIM - это стандартный протокол аутентификации электронной почты, который назначает криптографическую подпись, созданную с помощью закрытого ключа, для проверки электронных писем на принимающем сервере, где получатель может получить открытый ключ из DNS отправителя для проверки подлинности сообщений. Подобно SPF, открытый ключ DKIM также существует в виде TXT-записи в DNS владельца домена.

Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC)

Простого внедрения SPF и DKIM просто недостаточно, так как владельцы доменов не могут контролировать, как принимающие серверы реагируют на сообщения электронной почты, которые не прошли проверку подлинности.

DMARC является наиболее широко используемым стандартом почтовой аутентификации в настоящее время, который разработан для того, чтобы дать владельцам доменов возможность указывать принимающим серверам, как они должны обрабатывать сообщения, которые не работают в SPF или DKIM, или и то, и другое. Это, в свою очередь, помогает защитить их домен от неавторизованного доступа и атак подмены электронной почты.

Как DMARC может улучшить доставку электронной почты?

  • При публикации DMARC-записи в DNS вашего домена, владелец домена запрашивает принимающие серверы, поддерживающие DMARC, для отправки обратной связи по электронной почте, которую они получают для этого домена, автоматически указывая принимающим серверам, что ваш домен расширяет поддержку безопасных протоколов и стандартов аутентификации для электронной почты, таких как DMARC, SPF и DKIM.
  • Совокупные отчеты DMARC помогают вам получить более полное представление об экосистеме электронной почты, позволяя просматривать результаты аутентификации электронной почты, обнаруживать сбои в аутентификации и устранять проблемы, связанные с доставкой.
  • Применяя свою политику DMARC, вы можете блокировать вредоносные электронные письма, выдающие себя за ваш бренд, от посадки в почтовые ящики ваших получателей.

Дополнительные советы по улучшению доставки электронной почты:

  • Включите визуальную идентификацию вашего бренда в почтовых ящиках ваших приемников с помощью BIMI
  • Обеспечьте TLS-шифрование электронной почты во время транзита с помощью MTA-STS .
  • Выявление проблем с доставкой электронной почты и реагирование на них путем создания обширного механизма отчетности с помощью TLS-RPT.

PowerDMARC - это единая почтовая SaaS-платформа для аутентификации, которая объединяет под одной крышей все лучшие методы аутентификации электронной почты, такие как DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT. Зарегистрируйтесь сегодня в PowerDMARC и убедитесь в значительном улучшении доставки электронной почты с помощью нашего улучшенного пакета безопасности и аутентификации электронной почты.

Business Email Compromise или BEC - это форма нарушения безопасности электронной почты или атаки под видом самозванца, которая затрагивает коммерческие, государственные, некоммерческие организации, малый бизнес и стартапы, а также ТНК и предприятия с целью извлечения конфиденциальных данных, которые могут негативно повлиять на бренд или организацию. Атаки фишинга на копье, мошенничество со счетами и спуфинг - все это примеры BEC.

Киберпреступники - это опытные интриганы, которые намеренно выбирают в качестве мишени конкретных людей в организации, особенно тех, кто занимает авторитарные должности, например, генерального директора или кого-то подобного, или даже доверенного клиента. Финансовые последствия BEC в мире огромны, особенно в США, которые стали основным центром. Подробнее о глобальном объеме мошенничества BEC. Решение? Переходите на DMARC!

Что такое ДМАРК?

Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC) - это промышленный стандарт для аутентификации электронной почты. Этот механизм аутентификации указывает принимающим серверам, как реагировать на электронные письма, не прошедшие проверки подлинности SPF и DKIM. DMARC может свести к минимуму вероятность того, что ваш бренд станет жертвой BEC-атак на значительную долю, и поможет защитить репутацию, конфиденциальную информацию и финансовые активы вашего бренда.

Обратите внимание, что перед публикацией записи DMARC, вам нужно применить SPF и DKIM для вашего домена, поскольку DMARC аутентификация использует эти два стандартных протокола аутентификации для проверки сообщений, отправленных от имени вашего домена.

Вы можете использовать наши бесплатные SPF Record Generator и DKIM Record Generator для генерации записей для публикации в DNS вашего домена.

Как оптимизировать записи DMARC для защиты от BEC?

Для защиты вашего домена от Компромисса деловой почты, а также для обеспечения расширенного механизма отчетности для отслеживания результатов аутентификации и получения полной видимости вашей экосистемы электронной почты, мы рекомендуем вам опубликовать следующий синтаксис записи DMARC в DNS вашего домена:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Понимание тегов, используемых при генерации записи DMARC:

v (обязательно)Этот механизм определяет версию протокола.
p (обязательно)Этот механизм определяет используемую политику DMARC. Вы можете установить вашу политику DMARC:

p=none (DMARC при мониторинге только тех писем, которые не прошли проверку подлинности, все равно попадут в почтовые ящики получателей). p=quarantine (DMARC при внедрении, где письма, не прошедшие проверку подлинности, будут помещены в карантин или в папку для спама).

p=reject (DMARC при максимальном применении, в котором сообщения по электронной почте, не прошедшие проверку подлинности, будут отбрасываться или не доставляться вообще).

Для новичков в аутентификации рекомендуется начинать с политики только с мониторинга (p=none), а затем медленно переходить к внедрению. Однако для целей этого блога, если вы хотите защитить свой домен от BEC, p=reject является рекомендуемой политикой для вас, чтобы обеспечить максимальную защиту.

(опционально) Этот тег определяет политику поддоменов, которая может быть установлена на sp=none/carantine/reject запрос политики для всех поддоменов, в которых сообщения электронной почты не проходят проверку подлинности DMARC.

Этот тег полезен только в том случае, если вы хотите установить другую политику для вашего основного домена и субдоменов. Если не указать одну и ту же политику, она будет применяться ко всем вашим субдоменам по умолчанию.

адким (опционально)Этот механизм задает режим выравнивания DKIM-идентификатора, который может быть установлен в s (строгий) или r (расслабленный).

Строгое выравнивание указывает, что поле d= в DKIM подписи почтового заголовка должно быть выровнено и точно совпадать с доменом, найденным в заголовке from.

Тем не менее, для расслабленного выравнивания эти два домена должны разделять только один и тот же организационный домен.

галька (опциональная) Этот механизм определяет режим выравнивания идентификатора SPF, который может быть установлен в s (строгий) или r (расслабленный).

Строгое выравнивание указывает, что домен в заголовке "Return-path" должен быть выровнен и точно совпадать с доменом, найденным в заголовке from.

Тем не менее, для расслабленного выравнивания эти два домена должны разделять только один и тот же организационный домен.

руа (необязательно, но рекомендуется)Этот тег определяет DMARC агрегированные отчеты, которые отправляются по адресу, указанному после поля mailto:, обеспечивая понимание прохождения и отказа DMARC электронной почты.
руф (необязательно, но рекомендуется)Этот тег указывает DMARC-отчеты о криминалистике, которые должны быть отправлены по адресу, указанному после поля mailto:. Судебно-медицинские отчёты - это отчёты на уровне сообщений, которые предоставляют более подробную информацию об ошибках аутентификации. Так как эти отчеты могут содержать содержимое электронной почты, их шифрование является лучшей практикой.
пункт (необязательно)Этот тег определяет процент сообщений электронной почты, к которым применима политика DMARC. Значение по умолчанию установлено на 100.
fo (необязательно, но рекомендуется)Для вашей записи DMARC можно настроить параметры криминалистики:

->DKIM и СПФ не проходят и не выравниваются (0).

->DKIM или СПФ не проходят и не выравниваются (1).

->DKIM не проходит и не выравнивается (d)

->SPF не проходит и не выравнивается (ы).

Рекомендуемый режим fo=1, указывающий, что отчеты криминалистов должны генерироваться и отправляться в ваш домен всякий раз, когда электронная почта не проходит проверку DKIM или SPF-аутентификации.

Вы можете сгенерировать свою запись DMARC с помощью бесплатного DMARC Record Generator от PowerDMARC, в котором вы можете выбрать поля в соответствии с желаемым уровнем исполнения.

Обратите внимание, что только политика внедрения отклонения может минимизировать BEC и защитить ваш домен от атак спуфинга и фишинга.

Хотя DMARC может быть эффективным стандартом для защиты вашего бизнеса от BEC, правильное внедрение DMARC требует усилий и ресурсов. Независимо от того, являетесь ли вы новичком в аутентификации или любителем аутентификации, как пионеры в аутентификации электронной почты, PowerDMARC представляет собой единую SaaS-платформу для аутентификации электронной почты, которая сочетает в себе все лучшие методы аутентификации электронной почты, такие как DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT, под одной крышей для вас. Мы поможем вам:

  • Перейти от мониторинга к правоприменению в кратчайшие сроки, чтобы удержать BEC на расстоянии.
  • Наши сводные отчеты генерируются в виде упрощенных диаграмм и таблиц, чтобы помочь вам легко их понять без необходимости читать сложные XML-файлы.
  • Мы шифруем ваши криминалистические отчеты для защиты конфиденциальности вашей информации.
  • Просмотр результатов аутентификации в 7 различных форматах (по результату, по источнику отправки, по организации, по хосту, подробная статистика, отчеты о геолокации, по стране) на нашей удобной приборной панели для оптимального восприятия пользователем
  • Получите 100% DMARC соответствие, выравнивая свою электронную почту по SPF и DKIM так, чтобы электронная почта, не прошедшая ни одну из контрольных точек аутентификации, не попадала в почтовые ящики ваших получателей.

Как DMARC защищает от BEC?

Как только вы устанавливаете политику DMARC на максимальное применение (p=reject), DMARC защищает ваш бренд от мошенничества с электронной почтой, снижая шансы атак на выдачу себя за другое лицо и злоупотребление доменом. Все входящие сообщения проверяются на SPF и DKIM проверку подлинности электронной почты, чтобы убедиться, что они исходят из достоверных источников.

SPF присутствует в вашем DNS в виде TXT-записи, отображающей все действительные источники, которые имеют право отправлять электронную почту с вашего домена. Почтовый сервер получателя проверяет электронное письмо по вашей записи SPF, чтобы подтвердить его подлинность. DKIM присваивает криптографическую подпись, созданную с помощью закрытого ключа, для проверки электронной почты на сервере-получателе, где получатель может получить открытый ключ из DNS отправителя для проверки подлинности сообщений.

С вашей политикой отклонения электронные письма вообще не доставляются в почтовый ящик получателя, если проверка подлинности не прошла, что указывает на то, что ваш бренд выдается за другой. В конечном итоге это предотвращает такие атаки BEC, как спуфинг и фишинг.

Базовый план PowerDMARC для малого бизнеса

Наш базовый план начинается всего с 8 долларов США в месяц, поэтому малый бизнес и стартапы, пытающиеся внедрить защищенные протоколы, такие как DMARC, могут легко его использовать. Преимущества, которые вы получите с помощью этого плана, следующие:

  • Экономьте 20% на вашем годовом плане
  • До 2 000 000 электронных писем в соответствии с DMARC
  • До 5 доменов
  • История данных за 1 год
  • 2 Пользователи платформы
  • Хостинг BIMI
  • Хостинг МТА-СТС
  • TLS-RPT

Зарегистрируйтесь в PowerDMARC сегодня и защитите домен вашего бренда, минимизируя шансы на компрометацию деловой почты и мошенничество с электронной почтой!

В 1982 году, когда SMTP был впервые указан, он не содержал никакого механизма обеспечения безопасности на транспортном уровне для защиты связи между агентами по пересылке почты. Однако в 1999 году в SMTP была добавлена команда STARTTLS, которая в свою очередь поддерживала шифрование электронной почты между серверами, обеспечивая возможность преобразования небезопасного соединения в безопасное, зашифрованное с помощью протокола TLS.

Однако, шифрование является необязательным в SMTP, что подразумевает, что электронная почта может быть отправлена даже в виде простого текста. Агент по пересылке почты - Окружная транспортная безопасность (MTA-STS) Это относительно новый стандарт, позволяющий провайдерам почтовых услуг внедрять Transport Layer Security (TLS) для обеспечения безопасности SMTP-соединений, а также указывающий, должны ли отправляющие SMTP-серверы отказывать в доставке электронной почты на MX-хосты, которые не предлагают TLS с надежным сертификатом сервера. Было доказано, что она успешно смягчает TLS атаки на понижение и атаки Man-In-The-Middle (MITM). Отчетность SMTP TLS (TLS-RPT) Это стандарт, позволяющий сообщать о проблемах в соединении TLS, с которыми сталкиваются приложения, отправляющие электронную почту и обнаруживающие неправильные настройки. Он позволяет сообщать о проблемах с доставкой электронной почты, которые возникают, когда электронная почта не зашифрована с помощью TLS. В сентябре 2018 года стандарт был впервые задокументирован в RFC 8460.

Почему ваша электронная почта требует шифрования при транзите?

Основной целью является улучшение безопасности на транспортном уровне во время SMTP-коммуникации и обеспечение конфиденциальности почтового трафика. Кроме того, шифрование входящих и исходящих сообщений повышает безопасность информации, используя криптографию для защиты электронной информации. Кроме того, в последнее время все большую популярность приобретают криптографические атаки, такие как Man-In-The-Middle (MITM) и TLS Downgrade, от которых киберпреступники могут уклониться, применяя TLS-шифрование и расширяя поддержку безопасных протоколов.

Как запущена атака MITM?

Поскольку шифрование должно было быть модернизировано в протокол SMTP, обновление для зашифрованной доставки должно полагаться на команду STARTTLS, которая посылается в чистом тексте. MITM-атакующий может легко воспользоваться этой функцией, выполнив атаку на SMTP-соединение с помощью взлома команды апгрейда, заставляя клиента вернуться к отправке электронной почты в чистом тексте.

После перехвата сообщения MITM-атакующий может легко украсть расшифрованную информацию и получить доступ к содержимому электронной почты. Это происходит потому, что SMTP, являющийся отраслевым стандартом передачи почты, использует оппортунистическое шифрование, которое подразумевает, что шифрование является необязательным, а электронная почта все равно может доставляться в чистом виде.

Как запускается атака TLS Downgrade?

Поскольку шифрование должно было быть модернизировано в протокол SMTP, обновление для зашифрованной доставки должно полагаться на команду STARTTLS, которая посылается в чистом тексте. MITM-атакующий может воспользоваться этой функцией, выполнив атаку на SMTP-соединение с помощью взлома команды апгрейда. Атакующий может просто заменить STARTTLS на строку, которую клиент не может идентифицировать. Таким образом, клиент легко возвращается к отправке электронной почты открытым текстом.

Короче говоря, атака на понижение часто запускается как часть MITM-атаки, чтобы создать путь для включения атаки, которая была бы невозможна в случае соединения, зашифрованного по последней версии протокола TLS, путем замены или удаления команды STARTTLS и отката соединения на чистый текст.

Помимо повышения уровня информационной безопасности и уменьшения числа распространенных атак мониторинга, шифрование транзитных сообщений также решает многочисленные проблемы безопасности SMTP.

Достижение принудительного шифрования TLS электронной почты с помощью MTA-STS

Если вы не сможете пересылать электронную почту по защищенному соединению, ваши данные могут быть скомпрометированы или даже изменены и подделаны киберпреступником. Именно здесь MTA-STS устраняет эту проблему, обеспечивая безопасную транспортировку вашей электронной почты, а также успешно смягчая криптографические атаки и повышая информационную безопасность путем внедрения TLS-шифрования. Проще говоря, MTA-STS обеспечивает передачу электронной почты по зашифрованному TLS пути, и в случае невозможности установить зашифрованное соединение электронная почта не доставляется вообще, а доставляется в виде чистого текста. Кроме того, MTA хранит файлы политики MTA-STS, что усложняет атакующим запуск атаки подделки DNS.

 

MTA-STS предлагает защиту от :

  • нападения даунграйдов
  • Атаки "Человек-в-среде" (MITM)
  • Он решает многочисленные проблемы безопасности SMTP, включая просроченные TLS сертификаты и отсутствие поддержки защищенных протоколов.

Основные поставщики почтовых услуг, такие как Microsoft, Клятва и Google поддерживают MTA-STS. Google, будучи крупнейшим игроком отрасли, достигает центральной стадии при принятии любого протокола, и принятие MTA-STS от Google указывает на расширение поддержки безопасных протоколов и подчеркивает важность шифрования электронной почты при транспортировке.

Устранение неполадок при доставке электронной почты с помощью TLS-RPT

SMTP TLS Reporting предоставляет владельцам доменов диагностические отчеты (в формате JSON файла) с подробной информацией о сообщениях электронной почты, которые были отправлены на ваш домен и сталкиваются с проблемами доставки, или не могут быть доставлены из-за атаки понижения рейтинга или других проблем, так что вы можете исправить проблему проактивно. Как только вы включите TLS-RPT, агенты Mail Transfer Agents начнут посылать диагностические отчеты о проблемах с доставкой почты между сообщающимися серверами в указанный почтовый домен. Отчеты обычно отправляются один раз в день, охватывая и передавая политики MTA-STS, наблюдаемые отправителями, статистику трафика, а также информацию о сбоях или проблемах с доставкой электронной почты.

Необходимость развертывания TLS-RPT :

  • В случае, если электронное письмо не будет отправлено получателю из-за какой-либо проблемы с доставкой, вы получите уведомление.
  • TLS-RPT обеспечивает улучшенную видимость на всех ваших каналах электронной почты, так что вы получаете лучшее представление обо всем, что происходит в вашем домене, включая сообщения, которые не могут быть доставлены.
  • TLS-RPT предоставляет подробные диагностические отчеты, которые позволяют определить и добраться до корня проблемы с доставкой электронной почты и исправить ее без каких-либо задержек.

Принятие MTA-STS и TLS-RPT сделано легко и быстро PowerDMARC

MTA-STS требует веб-сервер с поддержкой HTTPS с действительным сертификатом, DNS-записями и постоянным обслуживанием. PowerDMARC делает вашу жизнь намного проще, управляя всем этим для вас, полностью в фоновом режиме - от создания сертификатов и файла политики MTA-STS до внедрения политики, мы поможем вам избежать огромных сложностей, связанных с принятием протокола. Как только мы поможем вам настроить его всего несколькими щелчками мыши, вам даже не придется думать об этом снова.

С помощью службы PowerDMARC Email Authentication Services вы можете развернуть Hosted MTA-STS в своей организации без лишних хлопот и в очень быстром темпе, с помощью которых вы сможете внедрить электронную почту, отправляемую в ваш домен по зашифрованному TLS соединению, тем самым сделав ваше соединение безопасным и не допуская MITM-атак.

PowerDMARC облегчает вам жизнь, делая процесс внедрения SMTP TLS отчётности (TLS-RPT) простым и быстрым, под рукой! Как только вы регистрируетесь в PowerDMARC и включаете SMTP TLS Reporting для вашего домена, мы берем на себя боль преобразования сложных JSON файлов, содержащих ваши отчеты о проблемах с доставкой электронной почты, в простые, читаемые документы (по результату и по источнику отправки), которые вы можете легко просмотреть и понять! Платформа PowerDMARC автоматически обнаруживает и впоследствии передает проблемы, с которыми вы сталкиваетесь при доставке электронной почты, чтобы вы могли оперативно их решить и устранить в кратчайшие сроки!

Зарегистрируйтесь, чтобы получить ваш бесплатный DMARC сегодня!

Если вы находитесь здесь, читая этот блог, есть шанс, что вы столкнулись с одним из трех общих подсказок:

  • Нет записи DMARC 
  • Записей DMARC не найдено 
  • Запись DMARC пропала
  • Запись DMARC не найдена 
  • Записей DMARC не опубликовано 
  • Политика DMARC не включена
  • Не могу найти запись DMARC

В любом случае, это означает, что ваш домен не настроен в соответствии с наиболее известным и популярным стандартом аутентификации электронной почты - Domain-based Message Authentication, Reporting, and Conformance или DMARC. Давайте рассмотрим, что это такое:

Что такое DMARC и зачем нужна почтовая аутентификация для вашего домена?

Для того чтобы узнать, как исправить проблему "Запись DMARC не найдена", давайте узнаем, что такое DMARC. DMARC - это наиболее широко используемый в настоящее время стандарт аутентификации электронной почты, который разработан для того, чтобы дать владельцам доменов возможность указать принимающим серверам, как они должны обрабатывать сообщения, не прошедшие проверку подлинности. Это, в свою очередь, помогает защитить домен от несанкционированного доступа и атак, подменяющих электронную почту. DMARC использует популярные стандартные протоколы аутентификации для проверки входящих и исходящих сообщений вашего домена.

Защитите свой бизнес от атак типа "выдача себя за другое лицо" и подделки с помощью DMARC.

Знаете ли вы, что электронная почта - это самый простой способ, которым злоумышленники могут злоупотреблять вашим брендом?

Используя ваш домен и выдавая себя за ваш бренд, хакеры могут рассылать вредоносные фишинговые электронные письма вашим собственным сотрудникам и клиентам. Поскольку SMTP не оснащен безопасными протоколами против фальшивых полей "From", злоумышленник может подделывать заголовки электронной почты для отправки мошеннических электронных сообщений с вашего домена. Это не только поставит под угрозу безопасность вашей организации, но и нанесет серьезный вред репутации вашего бренда.

Подделка электронной почты может привести к BEC (Business Email Compromise), потере ценной информации компании, несанкционированному доступу к конфиденциальным данным, финансовым потерям и негативно отразиться на имидже вашего бренда. Даже после внедрения SPF и DKIM для вашего домена вы не сможете предотвратить выдачу злоумышленниками вашего домена за свой. Вот почему вам необходим протокол аутентификации электронной почты, такой как DMARC, который проверяет подлинность писем с помощью обоих упомянутых протоколов и указывает принимающим серверам ваших клиентов, сотрудников и партнеров, как реагировать, если письмо получено от неавторизованного источника и не прошло проверку подлинности. Это обеспечивает максимальную защиту от атак с использованием точного домена и помогает вам полностью контролировать домен вашей компании.

Кроме того, с помощью эффективного стандарта аутентификации электронной почты, такого как DMARC, вы можете повысить скорость доставки электронной почты, расширить охват и повысить уровень доверия.

 


Добавление пропущенной записи DMARC для вашего домена

При проверке записи DMARC домена с помощью онлайн-инструментов может быть раздражающе и запутанно наткнуться на подсказки "Имя хоста вернуло недостающую или недействительную DMARC-запись".

Для исправления проблемы "Запись DMARC не найдена" для вашего домена все, что вам нужно сделать, это добавить запись DMARC для вашего домена. Добавление записи DMARC - это, по сути, публикация текстовой (TXT) записи в DNS вашего домена, в строке _dmarc.example.com поддомен в соответствии со спецификациями DMARC. Запись TXT DMARC в вашей DNS может выглядеть примерно так:

v=DMARC1; p=none; rua=mailto:[email protected]

И Вуаля! Вы успешно разрешили запрос "Запись DMARC не найдена", так как ваш домен теперь настроен с помощью DMARC аутентификации и содержит запись DMARC.

Но достаточно ли этого? Ответ - нет. Простое добавление записи DMARC TXT в вашу DNS может разрешить недостающую DMARC-запрос, но этого просто недостаточно, чтобы смягчить атаки подражания и подделки.

Реализуйте DMARC правильный путь с PowerDMARC

PowerDMARC поможет вашей организации достичь 100% соответствия DMARC путем согласования стандартов аутентификации и поможет вам перейти от мониторинга к применению в кратчайшие сроки, решая проблему "запись DMARC не найдена" в кратчайшие сроки! Кроме того, наша интерактивная и удобная в использовании приборная панель автоматически генерирует:

  • Агрегированные отчеты (RUA) для всех зарегистрированных вами доменов, которые упрощены и преобразованы в удобочитаемые таблицы и графики из сложного формата XML файла для вашего понимания.
  • Судебно-медицинские заключения (RUF) с шифрованием

Чтобы смягчить проблему "запись DMARC не найдена", все, что вам нужно сделать, это:

Политика DMARC может быть установлена на :

  • p=none (DMARC настроен только на мониторинг, при этом письма, не прошедшие аутентификацию, все равно будут доставлены в почтовые ящики ваших получателей, однако вы будете получать сводные отчеты, информирующие вас о результатах аутентификации)
  • p=карантин (DMARC установлен на уровне принудительного исполнения, при этом письма, не прошедшие аутентификацию, будут доставляться в ящик для спама, а не в почтовый ящик получателя)
  • p=отклонить (DMARC установлен на максимальный уровень применения, при котором письма, не прошедшие аутентификацию, будут либо удалены, либо вообще не доставлены)

Почему PowerDMARC?

PowerDMARC - это единая SaaS-платформа аутентификации электронной почты, которая объединяет все лучшие практики аутентификации электронной почты, такие как DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT, под одной крышей. Мы обеспечиваем оптимальную видимость вашей экосистемы электронной почты с помощью подробных сводных отчетов и помогаем вам автоматически обновлять изменения на вашей приборной панели без необходимости обновлять DNS вручную.

Мы настраиваем решения для вашего домена и работаем с ними полностью в фоновом режиме, начиная с настройки и заканчивая мониторингом. Мы поможем вам правильно внедрить DMARC, чтобы избежать атак на выдачу себя за другое лицо!

Так что запишитесь в PowerDMARC, чтобы правильно настроить DMARC для вашего домена уже сегодня!

Domain-based Message Authentication, Reporting and Conformance (Аутентификация, отчетность и соответствие сообщениям на основе домена) - это наиболее широко известный протокол аутентификации электронной почты за последнее время, который может помочь как малым предприятиям, так и многонациональным корпорациям, смягчить атаки на выдачу себя за другое лицо, подделку электронной почты, а также BEC. DMARC использует два существующих стандартных протокола в области аутентификации электронной почты, а именно SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail). Решения DMARC могут помочь в проверке подлинности каждой входящей и исходящей почты и смягчают атаки на основе электронной почты и нарушения безопасности.

При выборе лучшего программного решения DMARC для вашего бизнеса, вам нужно искать несколько основных функций, которые должно включать это решение! Давайте обсудим, что они собой представляют:

Удобная панель управления

Удобная инструментальная панель, обеспечивающая полную видимость экосистемы электронной почты и эффективно отображающая отчеты о прохождении почты и сбоях DMARC-аутентификации с вашего домена в читабельном и понятном формате, является обязательным условием. Это один из ключевых моментов, на который вы должны обратить внимание при выборе лучшего программного решения DMARC для вашей компании.

Подробный агрегат и судебно-медицинская отчетность

Крайне важно, чтобы ваше решение DMARC имело обширный механизм отчетности. Совокупные и судебно-медицинские отчеты необходимы для мониторинга угроз и настройки протоколов аутентификации.

Подробные агрегированные отчеты DMARC генерируются в формате XML. Для нетехнического человека эти записи могут показаться неразборчивыми. Лучшее программное решение DMARC для вашей организации скрывает эти непонятные агрегированные отчеты из сложных XML файлов в информацию, которую вы можете легко понять, что позволяет вам анализировать ваши результаты и вносить необходимые изменения.

Для малых и средних предприятий, а также для крупных корпораций отчеты Forensic предоставляют ценную информацию о вашей экосистеме электронной почты, которая генерируется каждый раз, когда письмо, отправленное с вашего домена, не проходит DMARC. Они предоставляют подробную информацию об отдельных письмах, которые не прошли аутентификацию, что позволяет обнаружить попытки подделки и быстро устранить проблемы с доставкой электронной почты.

Шифрование судебно-медицинских заключений DMARC

Отчеты криминалистов DMARC содержат данные о каждом электронном сообщении, которое не прошло проверку DMARC. Это подразумевает, что они могут потенциально включать конфиденциальную информацию, которая присутствовала в этих сообщениях. Вот почему, выбирая лучшее программное решение DMARC для вашего бизнеса, вы должны выбрать поставщика услуг, который ценит вашу конфиденциальность, и позволяет вам шифровать ваши криминалистические отчеты так, чтобы только авторизованные пользователи имели доступ к ним.

Выравнивание SPF и DKIM

Хотя соответствие DMARC может быть достигнуто путем согласования SPF или DKIM, предпочтительнее согласовывать ваши электронные письма с обоими стандартами аутентификации. Если ваши электронные письма не согласованы и не аутентифицированы по протоколам аутентификации SPF и DKIM, а при проверке полагаются только на SPF, существует вероятность того, что легитимные электронные письма все равно не пройдут проверку подлинности DMARC (как в случае с пересылаемыми сообщениями). Это происходит потому, что IP-адрес сервера-посредника может быть не включен в SPF-запись вашего домена, тем самым не пройдя проверку SPF.

Однако, если тело письма не изменяется при пересылке, подпись DKIM сохраняется в письме, что может быть использовано для подтверждения его подлинности. Лучшее программное решение DMARC для вашего бизнеса обеспечит соответствие всех ваших входящих и исходящих сообщений как SPF, так и DKIM.

Пребывание в пределах 10 DNS Lookup Limit

Записи SPF имеют ограничение на 10 DNS-поисков. Если ваша организация имеет широкую базу операций или вы полагаетесь на сторонних поставщиков для отправки электронной почты от вашего имени, ваша SPF запись может легко превысить этот предел и поразить злоумышленников. Это делает недействительной реализацию SPF и неизбежно приводит к тому, что ваша электронная почта терпит неудачу SPF. Вот почему вы должны искать решение, которое поможет вам мгновенно оптимизировать вашу SPF запись, чтобы всегда оставаться в пределах 10 DNS поискового лимита, чтобы смягчить пермеррор SPF!

Интерактивный и эффективный мастер настройки

выбирая лучшее программное решение DMARC для вашей организации, не следует забывать о процессе установки. Интерактивный и эффективный мастер настройки, разработанный с учетом простоты и удобства использования, проведет вас через процесс ввода вашего доменного имени для установки вашей политики DMARC для генерации вашей собственной записи DMARC синхронным и методичным способом, - это необходимость часа! Это поможет вам легко освоиться и понять все настройки и функции на вашей панели инструментов в кратчайшие сроки.

Планирование отчетов в формате PDF

С помощью эффективного решения DMARC для вашей организации вы можете конвертировать ваши отчеты DMARC в удобные, легко читаемые документы в формате PDF, которыми можно поделиться со всей вашей командой. В зависимости от ваших потребностей, вы можете запланировать их регулярную отправку по электронной почте или просто сгенерировать их по требованию.

 

Hosted BIMI Record

Brand Indicators for Message Identification или BIMI, позволяет получателям электронной почты визуально идентифицировать уникальный логотип вашего бренда в своих почтовых ящиках и быть уверенными в том, что электронная почта исходит из аутентичного источника. Эффективный поставщик услуг может подключить вас к реализации BIMI вместе со стандартными протоколами аутентификации, такими как DMARC, SPF и DKIM, тем самым улучшая отзыв бренда и поддерживая репутацию и целостность вашего бренда.

Безопасность платформы и конфигурация

Эффективное решение DMARC упростит вашу работу благодаря автоматическому обнаружению всех ваших поддоменов, а также обеспечению двухфакторной аутентификации для обеспечения абсолютной безопасности вашей платформы аутентификации.

Угрожающий интеллект

Для лучшей видимости и лучшего понимания, вам нужен движок Threat Intelligence (TI), управляемый ИИ, который активно инициирует подозрительные IP-адреса, сверяя их с живым, обновленным черным списком известных злоумышленников, чтобы вы могли их удалить. Это защитит вас от вредоносных действий и неоднократных случаев злоупотребления доменом в будущем.

Проактивная группа поддержки

При внедрении DMARC в вашей организации и генерации сводных отчетов, вам нужна упреждающая команда поддержки, доступная круглосуточно, чтобы помочь вам смягчить проблемы с конфигурацией даже после включения в сеть, в течение всего времени, пока вы пользуетесь их услугами.

Инструмент анализа PowerDMARC

Наш инструмент DMARC Analyzer достаточно эффективен, чтобы провести вас через весь процесс внедрения и помочь вам перейти от мониторинга к внедрению DMARC и 100% соблюдению DMARC в кратчайшие сроки. Наше передовое программное решение DMARC поможет вам сконфигурировать ваш домен, политику DMARC и сводные отчеты, а также поможет вам получить полную видимость вашей экосистемы электронной почты в кратчайшие сроки. От хостинговой генерации BIMI-записей до криминалистической отчетности с шифрованием - PowerDMARC - это ваш универсальный пакет для обеспечения безопасности электронной почты.

При выборе решения DMARC для вашей организации важно доверять поставщику услуг, который предлагает технологии премиум-класса по разумным ценам. Зарегистрируйтесь и получите бесплатную пробную версию DMARC уже сегодня с PowerDMARC!