Чтобы защитить свой домен и онлайн-идентификацию от мошенников, пытающихся выдать себя за вас, вам необходимо настроить DMARC для своих почтовых доменов. DMARC работает на основе совокупных усилий протоколов SPF и DKIM по проверке подлинности электронной почты. Впоследствии пользователи DMARC также получают выгоду от получения отчетов о проблемах доставки, аутентификации и сбоях выравнивания их электронной почты. Подробнее о том, что такое DMARC, можно узнать здесь.

Если в вашем совокупном отчете DMARC говорится "SPF alignment failed", давайте обсудим, что значит "SPF alignment" и как решить эту проблему.

Что такое выравнивание SPF?

Сообщение электронной почты состоит из нескольких различных заголовков. Каждый заголовок содержит информацию об определенных атрибутах электронного сообщения, включая дату отправки, откуда оно было отправлено и кому оно было отправлено. SPF работает с двумя типами заголовков электронной почты:

  • The <From:> header
  • Заголовок Return-Path

Если домен в заголовке From: и домен в заголовке return-path совпадают для письма, SPF-выравнивание проходит для этого письма. Однако, если эти два домена не совпадают, выравнивание SPF не проходит. Выравнивание SPF является важным критерием, определяющим, является ли сообщение электронной почты легитимным или поддельным.

Выше показан пример, в котором заголовок From: соответствует (точно совпадает) заголовку Return-path (Mail From), следовательно, SPF-выравнивание для этого письма пройдет.

Почему выравнивание SPF не работает?

Дело 1: Ваш режим выравнивания SPF установлен на строгий

Хотя режим выравнивания SPF по умолчанию является расслабленным, установка строгого режима выравнивания SPF может привести к сбоям выравнивания, если домен обратного пути окажется поддоменом корневого организационного домена, в то время как заголовок From: включает организационный домен. Это происходит потому, что для выравнивания SPF в строгом режиме домены в двух заголовках должны точно совпадать. Однако при расслабленном выравнивании, если два домена имеют один и тот же домен верхнего уровня, выравнивание SPF пройдет.

Выше показан пример письма, которое имеет один и тот же домен верхнего уровня, но доменное имя не является точным совпадением (домен Mail From является поддоменом организационного домена company.com). В этом случае, если ваш режим выравнивания SPF установлен на "расслабленный", ваше письмо пройдет выравнивание SPF, однако при строгом режиме оно также не пройдет. 

Дело 2: Ваш домен был подделан

Очень распространенной причиной сбоев в выравнивании SPF является подмена домена. Это явление, когда киберпреступник заменяет вашу личность, подделывая ваше доменное имя или адрес для отправки электронной почты вашим получателям. В то время как домен From: по-прежнему содержит вашу личность, заголовок Return-path отображает оригинальную личность поддельщика. Если у вас установлена SPF-аутентификация для вашего поддельного домена, электронное письмо неизбежно не пройдет согласование на стороне получателя.

Исправление "SPF выравнивание не удалось"

Для устранения сбоев выравнивания SPF вы можете: 

  • Установите режим выравнивания "расслабленный" вместо "строгого" 
  • Настройте DMARC для вашего домена, сверху SPF и DKIM, чтобы даже если ваше письмо не пройдет согласование заголовков SPF и пройдет согласование DKIM, оно пройдет DMARC и будет доставлено вашему получателю

Наш Анализатор отчетов DMARC поможет вам добиться 100% соответствия DMARC ваших исходящих сообщений электронной почты и предотвратить попытки подмены или сбои выравнивания из-за неправильной конфигурации протокола. Наслаждайтесь более безопасной и надежной аутентификацией, воспользовавшись бесплатной пробной версией DMARC уже сегодня!

DMARC это стандартный протокол аутентификации электронной почты, который при настройке поверх существующих записей SPF и DKIM помогает вам подтвердить, что одна или обе проверки аутентификации не прошли. Почему DMARC важен? Допустим, кто-то отправляет электронное письмо от имени вашей компании, и оно не проходит проверку DMARC, что означает, что вы можете предпринять уполномоченные действия. DMARC был разработан для того, чтобы остановить спам и фишинг на корню, помогая компаниям решать вопросы безопасности электронной почты. Одна из главных целей - помочь компаниям защитить свои бренды и сохранить репутацию. DMARC защищает электронную почту при передаче и помогает предотвратить спуфинг и фишинговые атаки, отклоняя сообщения, не соответствующие определенным стандартам. Почтовые серверы также могут сообщать о сообщениях, которые они получают от других почтовых серверов, чтобы помочь отправителю устранить любые проблемы.

Защита электронной почты важна для обеспечения безопасности ваших клиентов от киберпреступников, которые могут украсть их личную информацию. В этой статье блога мы расскажем о важности DMARC и о том, что вы можете сделать, чтобы правильно внедрить его для своего домена.

Почему DMARC важен и почему вы должны использовать DMARC?

Если вы все еще не уверены в том, стоит ли вам использовать DMARC, давайте рассмотрим несколько преимуществ, которые он дает:

  • DMARC - это безопасность электронной почты и возможность ее доставки. Он обеспечивает надежную проверку подлинности, минимизирует фишинг и снижает количество ложных срабатываний.
  • Повышение доставляемости и снижение количества отказов
  • Получение полных отчетов о том, как проверяется подлинность сообщений
  • Протокол DMARC помогает выявлять спамеров и предотвращает попадание фиктивных сообщений в почтовые ящики
  • DMARC помогает снизить вероятность того, что ваши электронные письма будут помечены или отмечены как спам
  • Обеспечивает лучшую видимость и авторитет ваших доменов и каналов электронной почты

Кто может использовать DMARC?

DMARC поддерживается Microsoft Office 365, Google Workspace и другими популярными облачными решениями. С 2010 года DMARC является частью процесса аутентификации электронной почты. Его целью было усложнить злоумышленникам отправку спама с действительного адреса, помогая бороться с эпидемией фишинговых атак. Эксперты отрасли рекомендуют владельцам доменов малых предприятий, а также корпораций создать запись DMARC, чтобы предоставить инструкции о том, как должен быть защищен их почтовый домен. Это, в свою очередь, помогает защитить репутацию и идентичность их бренда. 

Как создать DMARC-запись вашего домена? 

Шаги по настройке вашего домена с протоколами аутентификации электронной почты следующие: 

  • Создайте запись SPF и проверьте ее с помощью программы проверки SPF, чтобы убедиться, что запись работоспособна и не содержит возможных синтаксических ошибок
  • Включите аутентификацию DKIM для вашего домена
  • Наконец, настройте свой домен с DMARC и включите DMARC отчетность, настроив наш бесплатный анализатор отчетов DMARC

DMARC не только приобрел существенное значение в последние годы, но и некоторые компании стремятся сделать его обязательным для своих сотрудников, чтобы предотвратить потерю конфиденциальных данных и ресурсов. Следовательно, пришло время принять во внимание его различные преимущества и перейти к более безопасной работе с электронной почтой с помощью DMARC. 

DMARC-записи представляют собой совокупность различных механизмов или DMARC-тегов, которые передают определенные инструкции серверам-получателям электронной почты во время передачи почты. Каждый из этих тегов DMARC содержит значение, которое определяется владельцем домена. Сегодня мы обсудим, что такое теги DMARC и что означает каждый из них. 

Типы тегов DMARC

Здесь перечислены все доступные DMARC-теги, которые владелец домена может указать в своей DMARC-записи:

Метка DMARC Введите . Значение по умолчанию Что это значит
v обязательный Тег v представляет версию протокола DMARC и всегда имеет значение v=DMARC1 
pct дополнительно 100 Этот тег представляет процент писем, к которым применим режим политики. Подробнее о теге DMARC pct
p обязательный Этот тег определяет режим политики DMARC. Вы можете выбрать из отклонения, карантина и отсутствия. Узнайте больше о что такое политика DMARC чтобы понять, какой режим выбрать для вашего домена.
sp дополнительно Режим политики, настроенный для вашего основного домена (p) Задавая политику субдомена, тег sp настраивается для определения режима политики для ваших субдоменов. Узнайте больше о теге sp DMARC, чтобы понять, когда его следует настраивать. 
rua Необязательно, но рекомендуется Тег rua - это необязательный тег DMARC, который указывает адрес электронной почты или веб-сервер, на который отчитывающиеся организации должны отправлять свои сообщения. DMARC агрегированные данные rua

Пример: rua=mailto:[email protected];

ruf Необязательно, но рекомендуется Аналогично, механизм ruf определяет адрес, на который Отчет о судебной экспертизе DMARC ruf должен быть отправлен. В настоящее время не каждая отчитывающаяся организация отправляет данные судебной экспертизы. 

Пример: ruf=mailto:[email protected]

fo дополнительно 0 Тег fo относится к доступным вариантам отчетов о сбоях/криминалистических экспертизах, которые могут выбрать владельцы доменов. Если вы не включили ruf для своего домена, вы можете игнорировать этот тег. 

На выбор предлагаются следующие варианты: 

0: отчет об отказе DMARC/криминалистической экспертизе отправляется вам, если ваше письмо не прошло согласование SPF и DKIM.

1: отчет о сбое DMARC/криминалистической экспертизе отправляется вам, когда ваша почта не прошла согласование SPF или DKIM.

d: отчет о неудаче DKIM отправляется, если подпись DKIM электронной почты не прошла проверку, независимо от выравнивания

s: отчет о неудаче SPF отправляется, если письмо не прошло оценку SPF, независимо от выравнивания.

aspf дополнительно Этот тег DMARC обозначает режим выравнивания SPF. Значение может быть либо строгим (s), либо расслабленным (r).
адким дополнительно Аналогично, тег adkim DMARC обозначает режим выравнивания DKIM, значение которого может быть либо строгим (s), либо расслабленным (r). 
rf дополнительно afrf Тег DMARC rf определяет различные форматы для отчетов судебной экспертизы.
ri дополнительно 86400 В теге ri указывается интервал времени в секундах между двумя последовательными агрегированными отчетами, отправленными отчитывающейся организацией владельцу домена.

Чтобы мгновенно создать запись для DMARC, воспользуйтесь нашим бесплатным генератор DMARC инструмент. Кроме того, если у вас есть существующая запись, проверьте ее действительность, выполнив следующие действия поиск DMARC.

Зарегистрируйтесь сегодня для бесплатной испытание DMARC чтобы получить советы экспертов по защите вашего домена от спуферов.

Метка DMARC pct является частью этой записи и сообщает получателю электронной почты, какой процент сообщений, подпадающих под эту политику, будет затронут. Если вы, как владелец домена, хотите указать, что делать с письмами, которые не прошли аутентификацию, записи DMARC помогут вам в этом. Компания может опубликовать текстовую запись в DNS и указать, что она хочет сделать с электронной почтой, которая не прошла согласование с источником, определив, доставить ли ее, поместить в карантин или даже полностью отклонить. 

Что означает pct в DMARC?

TXT-запись для любого протокола аутентификации электронной почты содержит набор механизмов или тегов, которые обозначают инструкции, предназначенные для серверов, принимающих электронную почту. В DMARC-записи pct - это сокращение от percentage, которое включается для указания процента писем, к которым применяется политика DMARC, определенная владельцем домена.

Зачем вам нужен тег DMARC pct?

Метка pct - это часто упускаемый из виду, но, тем не менее, эффективный способ настройки и тестирования DMARC-политики вашего домена. DMARC-запись с процентным тегом выглядит следующим образом: 

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected];

В DNS-записи DMARC, показанной выше, процент писем, к которым применима политика отказа DMARC, составляет 100%. 

Время, которое требуется домену, чтобы перейти от неиспользования DMARC вообще к использованию наиболее ограничительных настроек, является периодом наращивания. Он предназначен для того, чтобы дать доменам время освоиться с новыми настройками. Для некоторых компаний это может занять несколько месяцев. Домены могут обновляться мгновенно, но это редкость из-за риска возникновения ошибок или жалоб. Метка pct была разработана как способ постепенного внедрения политик DMARC, чтобы сократить период развертывания для онлайн-предприятий. Цель состоит в том, чтобы иметь возможность сначала развернуть его для меньшей партии писем, прежде чем полностью развернуть его для всего почтового потока, как в случае, показанном ниже: 

v=DMARC1; p=reject; pct=50; rua=mailto:[email protected];

В этой DNS-записи DMARC политика отклонения DMARC применяется только к 50% писем, а к другой половине объема применяется политика карантина DMARC, которая является второй по строгости политикой в очереди. 

Что произойдет, если вы не включите тег pct в запись DMARC?

При создании DMARC-записи с помощью генератора DMARC-записейвы можете не определять тег pct и оставить этот критерий пустым. В этом случае значение по умолчанию для pct будет равно 100, что означает, что определенная вами политика будет применяться ко всем вашим письмам. Следовательно, если вы хотите определить политику для всех ваших писем, более простым способом будет оставить критерий pct пустым, как в этом примере:

v=DMARC1; p=карантин; rua=mailto:[email protected];

Предупреждение: Если вам нужна принудительная политика для DMARC, не публикуйте запись с параметром pct=0

Логика здесь проста: если вы хотите определить политику отклонения или карантина в своей записи, вы, по сути, хотите, чтобы эта политика применялась к вашим исходящим сообщениям. Установка pct на 0 сводит на нет ваши усилия, так как ваша политика теперь применяется к нулевым письмам. Это то же самое, что установить режим политики на p=none. 

Заметка: Чтобы защитить ваш домен от атак спуфинга и предотвратить любые шансы того, что ваш домен будет выдан за ваш злоумышленниками, идеальная политика должна быть следующей DMARC при p=reject; pct=100;

Переходите к безопасному применению DMARC, начав свое путешествие по DMARC с PowerDMARC. Воспользуйтесь бесплатной пробная версия DMARC сегодня!

Атрибут "sp" является сокращением от subdomain policy и в настоящее время не является широко используемым атрибутом. Он позволяет домену указать, что для поддоменов указанного DNS-домена должна использоваться другая DMARC-запись. Для упрощения ситуации мы рекомендуем опустить атрибут 'sp' в самом организационном домене. Это приведет к созданию резервной политики по умолчанию, которая предотвращает спуфинг на поддоменах. Важно помнить, что поведение поддоменов всегда определяется главенствующей организационной политикой. 

Поддомены наследуют политику родительского домена, если она явно не отменена записью политики поддомена. Атрибут 'sp' может отменить это наследование. Если поддомен имеет явную запись DMARC, эта запись будет иметь приоритет над политикой DMARC для родительского домена, даже если поддомен использует настройку по умолчанию p=none. Например, если политика DMARC определена для приоритета 'all', элемент 'sp' будет влиять на обработку DMARC на поддоменах, не охваченных какой-либо конкретной политикой.

Зачем вам нужен тег DMARC sp?

Если ваша запись DMARC имеет вид: 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected];

В этом случае, хотя ваш корневой домен защищен от атак спуфинга, ваши поддомены, даже если вы не используете их для обмена информацией, все равно будут уязвимы для атак самозванства.

Если ваша запись DMARC имеет вид: 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected];

В этом случае, хотя вы не принимаете на себя обязательства по политике отказа для корневого домена, который вы используете для отправки писем, ваши неактивные поддомены все еще защищены от имперсонации. 

Если вы хотите, чтобы политика вашего домена и поддомена была одинаковой, вы можете оставить критерий тега sp пустым или отключенным при создании записи, и ваши поддомены автоматически унаследуют политику, установленную для основного домена. 

В случае, если вы используете наш генератор DMARC-записей для создания DMARC-записи для вашего домена, вам нужно вручную включить кнопку политики поддомена и определить желаемую политику, как показано ниже:

 

После создания DMARC-записи важно проверить ее действительность с помощью нашего Инструмент поиска записи DMARC чтобы убедиться, что ваша запись не содержит ошибок и действительна.

Начните свой путь DMARC с PowerDMARC, чтобы максимально повысить безопасность электронной почты вашего домена. Возьмите бесплатную пробную версию DMARC сегодня!

В связи с угрозами, скрывающимися в Интернете, предприятия должны доказывать свою легитимность, используя надежные методы аутентификации. Распространенным методом является DomainKeys Identified Mail (DKIM), технология аутентификации электронной почты, которая использует ключи шифрования для проверки домена отправителя. DKIM наряду с SPF и DMARC радикально повысил уровень безопасности электронной почты в организациях по всему миру.

Подробнее о что такое DKIM.

При настройке DKIM для вашей электронной почты одним из основных решений, которые вам нужно принять, является определение длины ключа DKIM. В этой статье мы расскажем вам о рекомендуемой длине ключа для лучшей защиты и о том, как обновлять ключи в Exchange Online Powershell.

Важность обновления длины ключа DKIM

Выбор 1024 бит или 2048 бит - это важное решение, которое необходимо принять при выборе ключа DKIM. В течение многих лет PKI (инфраструктура открытых ключей) использовала 1024-битные ключи DKIM для обеспечения своей безопасности. Однако, поскольку технологии становятся все более сложными, хакеры стараются найти новые методы, чтобы подорвать безопасность. В связи с этим длина ключа становится все более важной.

Поскольку хакеры продолжают изобретать все более совершенные способы взлома ключей DKIM. Длина ключа напрямую коррелирует с тем, насколько сложно взломать аутентификацию. Использование 2048-битного ключа обеспечивает повышенную защиту и улучшенную безопасность от текущих и будущих атак, что подчеркивает важность повышения битности.

Ручное обновление ключей DKIM в Exchange Online Powershell

  • Начните с подключения к Microsoft Office 365 PowerShell в качестве администратора (убедитесь, что ваша учетная запись Powershell настроена для запуска подписанных сценариев Powershell).
  • В случае если DKIM предварительно настроен, для обновления ключей до 2048 бит выполните следующую команду в Powershell: 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid существующей конфигурации подписи}

  • Если вы не внедрили DKIM ранее, выполните следующую команду в Powershell: 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • Наконец, чтобы убедиться, что вы успешно настроили DKIM с обновленной разрядностью 2048 бит, выполните следующую команду:

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

Заметка: Убедитесь, что вы подключены к Powershell во время выполнения процедуры. Внесение изменений может занять до 72 часов.

DKIM недостаточно для защиты вашего домена от спуфинга и BEC. Повысьте безопасность электронной почты вашего домена, настроив DMARC для office 365.