Понимание SPF, DKIM и DMARC: полное руководство

Блог

Защитите свои почтовые сообщения с помощью SPF, DKIM и DMARC. Защититесь от подделки электронной почты и обеспечьте безопасное и надежное взаимодействие. Приступайте к работе уже сегодня!

Ахона Рудра

Время чтения: 9 мин
Понимание SPF, DKIM и DMARC: полное руководство
Оглавление-

Что такое SPF, DKIM и DMARC?

SPF, DKIM и DMARC - это три основных протокола аутентификации электронной почты. Вместе SPF, DMARC и DKIM не позволяют неавторизованным источникам использовать ваш домен для отправки мошеннических писем вашим потенциальным клиентам, сотрудникам, сторонним поставщикам, заинтересованным лицам и т. д. SPF и DKIM помогают продемонстрировать легитимность письма, а DMARC инструктирует почтовый сервер получателя о том, что делать с письмами, не прошедшими проверку подлинности.

  • Sender Policy Framework (SPF): Проверяет IP-адрес отправителя, чтобы убедиться, что он имеет право отправлять электронные письма от имени вашего домена.
  • DomainKeys Identified Mail (DKIM): Добавляет цифровую подпись к электронным письмам, проверяя личность отправителя и предотвращая фальсификацию сообщений.
  • Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC): Предоставляет рамки политики для обеспечения проверок SPF и DKIM и создания отчетов о результатах проверки подлинности электронной почты.

Ключевые выводы

  1. SPF, DKIM и DMARC - это важные протоколы, которые работают вместе для повышения безопасности электронной почты и предотвращения несанкционированного использования вашего домена.
  2. Аутентификация электронной почты имеет решающее значение для защиты от фишинга и подмены, на которые приходится значительный процент кибератак.
  3. Внедрение этих протоколов может привести к заметному снижению числа попыток подмены, что повысит общую безопасность вашего домена.
  4. Поддержание и регулярное обновление настроек SPF, DKIM и DMARC обеспечивает их эффективность в защите ваших почтовых сообщений.
  5. Такие передовые технологии, как MTA-STS и BIMI, могут еще больше укрепить вашу стратегию аутентификации электронной почты, повысив безопасность и узнаваемость бренда.


Понимание аутентификации электронной почты

Проверка подлинности электронной почты это процесс проверки легитимности источников электронной почты. Это важная мера безопасности, принимаемая организациями для обеспечения того, чтобы только легитимные отправители могли отправлять электронные сообщения от имени своего домена. SPF, DKIM и DMARC составляют основу аутентификации электронной почты, проверяя источники отправки, содержимое электронной почты и определяя, как реагировать на сообщения, не прошедшие аутентификацию.

В отчете DBIR компании Verizon говорится, что 94 % всех кибератак начинаются с электронной почты! Это еще раз подчеркивает растущую угрозу спуфинга и его распространенность. 

Почему аутентификация электронной почты имеет значение

Проверка подлинности электронной почты - это первая линия защиты от подделки электронной почты. Подделка электронной почты - это процесс подделки доменных имен и адресов электронной почты со злым умыслом. Поддельные электронные письма отправляются злоумышленниками, выдающими себя за легитимные компании, чтобы обмануть ничего не подозревающих жертв. Проверка подлинности источников отправки предотвращает доставку поддельных писем. Клиенты отмечают более чем 90-процентное снижение числа попыток подмены почты из их собственного домена после внедрения протоколов аутентификации электронной почты. 

Роль SPF, DKIM и DMARC

Проверка подлинности электронной почты важна для защиты вашего бренда от кибератак на основе электронной почты с использованием методов фишинга и самозванства. Аутентификация электронной почты в основном опирается на протоколы SPF, DKIM и DMARC, а также на дополнительные протоколы, такие как MTA-STS, BIMI и ARC, которые могут еще больше усилить вашу безопасность! Вот почему вам необходимо их внедрить:

  • Они гарантируют, что ваше доменное имя не может быть подделано и использовано не по назначению.
  • Они помогут вам предотвратить фишинговые атаки, рассылку спама, атаки с использованием программ-выкупов и т.д., запланированные и предпринятые от имени вашего предприятия.
  • Они повышают коэффициент доставки электронной почты вашего домена. Низкий показатель доставки электронной почты негативно сказывается на внутренних коммуникациях, маркетинговых и PR-кампаниях, уровень удержания клиентови т. д.

Упростите проверку подлинности электронной почты с помощью PowerDMARC!

15-дн. пр. версияЗаказать демо

Где можно выполнить проверку SPF, DKIM и DMARC?

Проверку SPF, DKIM и DMARC можно осуществить, проверив, хранятся ли эти записи в вашей системе доменных имен или DNS. DNS принято называть телефонной книгой Интернета, преобразующей доменные имена в соответствующие им IP-адреса. DNS используется как база данных для хранения информации о вашем домене в виде записей DNS. 

Проверка SPF, DKIM и DMARC используется для просмотра существующих записей DNS, которые вы можете опубликовать и сохранить в своем DNS. Во время проверки подлинности электронной почты принимающие MTA запрашивают ваш DNS для поиска этих записей и предпринимают действия, основанные на инструкциях или информации, определенной в них. Вы можете использовать бесплатные программы PowerDMARC для проверки SPF-записей, DKIM-записей и DMARC-записей, чтобы мгновенно проверить, содержит ли ваш DNS эти записи!

Как настроить SPF, DKIM и DMARC?

Следуйте этим инструкциям, чтобы настроить SPF, DKIM и DMARC для защиты вашего домена и электронной почты.

  1. Создайте DNS-запись SPF.
  2. Создайте открытый ключ DKIM.
  3. Создайте свою политика DMARC запись и включение отчетов DMARC
  4. Установите специальный почтовый ящик для получения отчетов DMARC или используйте платформу для анализа отчетов DMARC.
  5. Опубликуйте записи SPF, DKIM и DMARC в DNS

SPF: проверка отправителей электронной почты

Sender Policy Framework SPF - это протокол аутентификации электронной почты, в котором владельцы доменов перечисляют все серверы, которым разрешено отправлять электронную почту с использованием их домена. Это делается путем создания TXT запись SPF которая публикуется в DNS. Если IP-адреса отправителя нет в списке, аутентификация не проходит, и письмо может быть помечено как спам или подозрительное. Однако у SPF есть несколько ограничений: он ломается, когда сообщение пересылается или превышен лимит в 10 DNS-поисков.

Если у вас уже есть SPF-запись, вы можете воспользоваться нашим программа проверки SPF-записей чтобы убедиться, что в ней нет ошибок.

Настройка SPF 

  1. Определите все источники отправки электронной почты (включая сторонних поставщиков).
  2. Создайте SPF-запись с помощью бесплатного генератор SPF инструмент. Запись должна разрешать все ваши источники рассылки.
  3. Скопируйте синтаксис записи.
  4. Войдите в консоль управления DNS.
  5. Вставьте запись в раздел DNS-записей под типом ресурса "TXT".

Подождите несколько часов, пока изменения не будут внесены. После этого вы можете использовать наш поиск записей SPF инструмент чтобы убедиться, что запись не содержит ошибок.

Общие проблемы с SPF

Изучая проблемы, связанные с SPF, DKIM и DMARC, стоит отметить, что есть несколько общих проблем, с которыми владельцы доменов сталкиваются именно при внедрении SPF. Они заключаются в следующем: 

  • Превышение лимита DNS-поиска в 10 раз нарушает SPF
  • Превышение ограничения на поиск пустоты в 2 раза может привести к поломке SPF
  • Записи SPF имеют ограничение по длине в 255 символов 
  • SPF не справляется с пересылкой сообщений 

Чтобы устранить эти ошибки, записи SPF следует оптимизировать с помощью Макросы чтобы не превышать установленные ограничения. Сочетание SPF с DKIM и DMARC также обеспечивает более гладкую аутентификацию и доставку.

DKIM: защита содержимого электронной почты

DomainKeys Identified Mail или DKIM, позволяет владельцам доменов автоматически подписывать электронные письма, отправленные с их домена. DKIM работает подобно тому, как вы подписываете банковские чеки, чтобы подтвердить их подлинность. Подписи DKIM гарантируют, что содержимое ваших писем останется безопасным и неизменным в процессе доставки.

Для этого открытый ключ хранится в DNS-записи DKIM. Получающий почтовый сервер может обратиться к этой записи, чтобы получить открытый ключ. С другой стороны, существует закрытый ключ, тайно хранящийся у отправителя, который подписывает им заголовок письма. Получающие почтовые серверы проверяют закрытый ключ отправителя, сравнивая его с легкодоступным открытым ключом.

Настройка DKIM 

  1. Вы можете легко настроить DKIM, сгенерировав DKIM-запись с помощью бесплатной программы PowerDMARC генератор DKIM-записей.
  2. Введите имя вашего домена в поле инструментов и нажмите на кнопку Сгенерировать DKIM-запись кнопку.
  3. Вы получите пару закрытого и открытого ключей DKIM. 
  4. Опубликуйте открытый ключ на DNS вашего домена.
  5. Настройте свой почтовый сервер на использование закрытого ключа DKIM для подписи заголовков всех исходящих сообщений электронной почты. Этот процесс подписи добавляет DKIM-подпись к каждому письму, которую почтовые серверы получателей будут проверять с помощью соответствующего открытого ключа DKIM, опубликованного в вашем DNS. Убедитесь, что вы храните свой закрытый ключ в безопасности, не публикуйте его публично и не разглашайте. 

Наконец, проверьте свой открытый ключ DKIM с помощью DKIM lookup чтобы убедиться в его правильности.

Преимущества DKIM

При добавлении аутентификации по SPF, DKIM и DMARC, DKIM имеет ряд преимуществ в аутентификации электронной почты, включая:

  • В большинстве случаев DKIM правильно проверяет подлинность пересылаемых сообщений. 
  • DKIM не позволяет злоумышленникам изменять содержимое электронной почты.
  • DKIM позволяет каждому домену самостоятельно управлять своими парами открытых и закрытых ключей, обеспечивая организациям более детальный контроль над безопасностью электронной почты.

DMARC: предотвращение фишинга и подделки электронной почты

Аутентификация, отчетность и соответствие сообщений на основе домена или DMARC указывает серверу получателя, что делать с письмами, не прошедшими проверку SPF, DKIM или обеих. Действия получателя зависят от политики DMARC, настроенной отправителем: не принимать, поместить в карантин или отклонить.

Политики DMARC устанавливаются в запись DMARC в которой также хранятся инструкции по отправке отчетов администраторам домена обо всех письмах, прошедших или не прошедших проверку на валидность. Если вы уже внедрили политика DMARCвоспользуйтесь нашим бесплатным инструмент поиска записей DMARC чтобы проверить ее правильность.

Настройка DMARC

  1. Вы можете создать свою DMARC-запись, используя бесплатный генератор DMARC.
  2. Выберите политику DMARC (например, p=quarantine) и включите DMARC-отчетность, указав адрес электронной почты в теге "rua" (например, rua=mailto:[email protected]).
  3. Нажмите на кнопку Сгенерировать.
  4. Скопируйте TXT-запись в буфер обмена и вставьте ее в DNS, чтобы активировать протокол.

Проверьте свою реализацию DMARC с помощью DMARC checker для проверки ваших конфигураций.

Генератор записей DMARC

Политики и действия по обеспечению соблюдения DMARC

Существует 3 типа политик DMARC, которые владельцы доменов могут настроить для принятия мер против неаутентифицированных писем. Они следующие: 

  1. None: Обозначаемая p=none, политика none - это политика бездействия, которая доставляет неаутентифицированные сообщения, не предпринимая никаких действий против них. Лучше всего подходит для новичков.
  2. Карантин: Обозначается p=quarantine, политика карантина - это принудительная политика DMARC, которая помещает в карантин неаутентифицированные сообщения электронной почты.
  3. Отклонять: Обозначается p=reject, политика reject - это максимальная политика применения DMARC, которая отклоняет неаутентифицированные сообщения.

Ваш политика DMARC действия играют важную роль в предотвращении угроз, связанных с электронной почтой. При соблюдении политик владельцы доменов лучше защищены от спуфинга и фишинговых атак.

Передовые методы проверки подлинности электронной почты

Проверка подлинности электронной почты не заканчивается на SPF, DKIM и DMARC. Чтобы еще больше повысить безопасность домена и электронной почты, вы можете применить расширенные методы аутентификации. Давайте обсудим некоторые из них: 

MTA-STS, BIMI и ARC

Протокол MTA-STS для аутентификации обеспечивает TLS-зашифрованную доставку сообщений электронной почты в ваш почтовый ящик. Он предотвращает атаки типа "человек посередине" и DNS-спуфинг, согласовывая зашифрованное SMTP-соединение между взаимодействующими почтовыми серверами. 

BIMI, или Brand Indicators for Message Identification, помогает компаниям прикреплять логотипы своих брендов к электронным письмам. Они служат для визуальной проверки и аутентификации, улучшая запоминаемость бренда и повышая доверие к нему. 

ARC(Authenticated Received Chain) создает резервный механизм при пересылке электронной почты, помогая сохранять оригинальные заголовки аутентификации SPF и DKIM. Это предотвращает ненужные сбои аутентификации при пересылке сообщений. 

Когда применять эти техники?

Как только вы убедитесь, что DMARCвы сможете применить эти методы на втором этапе пути к аутентификации электронной почты.

Эти расширенные настройки идеально подходят для всех организаций, которые хотят укрепить доверие к своему бренду и еще больше улучшить репутацию электронной почты. Они обеспечивают дополнительную защиту поверх базовой аутентификации, что позволяет лучше противостоять сложным кибератакам. 

Внедрение и поддержание настройки аутентификации электронной почты

После того как вы внедрили протоколы SPF, DKIM и DMARC, настало время контролировать и поддерживать их, чтобы убедиться, что все работает правильно. Вот несколько способов поддержания настроек аутентификации: 

Использование инструментов мониторинга

Средства мониторинга DMARC Инструменты представляют собой облачные платформы на базе искусственного интеллекта, которые позволяют мгновенно и легко контролировать реализацию аутентификации электронной почты с помощью единого интерфейса.

Анализ отчетов DMARC

Анализ отчетов DMARC может предоставить множество информации о результатах проверки подлинности электронной почты и источниках отправки вашего домена. Это поможет обнаружить несоответствия и предотвратить попытки подмены. 

Регулярное обновление и обслуживание

Важно регулярно проверять SPF, DKIM, DMARC и расширенные методы аутентификации, чтобы убедиться в их правильном функционировании. SPF может требовать периодического обновления для включения новых источников отправки, ключи DKIM необходимо часто менять для повышения безопасности, а политики DMARC должны соблюдаться для предотвращения кибератак. Без обновлений или надлежащего обслуживания ваши внедрения могут оказаться неэффективными. 

Подведение итогов

После того как вы настроите эти протоколы безопасности для своего домена, вам нужно начать отслеживать отчеты, чтобы заметить подозрительные действия. Правильная настройка и управление этими протоколами позволят вам значительно повысить безопасность домена и эффективность доставки. 

Помните, что все эти протоколы аутентификации могут снизить риск фишинга, но они не защищают от всех киберпреступлений, связанных с электронной почтой. Поэтому важно проводить обучение и информирование сотрудников.

Общие вопросы о SPF, DKIM и DMARC

Можно ли создать DMARC без SPF и DKIM?

Ответ - нет. Чтобы настроить DMARC, сначала необходимо внедрить SPF или DKIM. Без SPF или DKIM ваша конфигурация DMARC не будет работать.

Требуется ли для DMARC наличие SPF и DKIM? 

DMARC не требует наличия SPF и DKIM. Любой из этих протоколов может быть установлен до настройки DMARC. Однако мы рекомендуем использовать оба протокола для повышения безопасности.

Использует ли Gmail SPF или DKIM?

Да. Обновленные рекомендации Gmail по отправке требуют, чтобы все отправители внедряли SPF или DKIM для успешной отправки писем в почтовые ящики Gmail.

Может ли домен иметь 2 записи DKIM?

Домен может иметь 2 или более DKIM-записей с разными селекторами, чтобы принимающие серверы могли легко найти нужную DKIM-запись при аутентификации.

Как узнать, включены ли протоколы?

Чтобы узнать, включены ли протоколы аутентификации для вашего домена, вы можете использовать наши инструменты проверки DNS-записей в Powertoolbox или проанализировать заголовки электронной почты.

Последние сообщения Ахона Рудра (см. все)
Основные риски компьютерной безопасности и способы защитыриски компьютерной безопасностиЧто такое глубокоэшелонированная защита?Что такое глубокоэшелонированная защита?