Выравнивание DMARC: Строгий и расслабленный режимы согласования

Согласование DMARC

Включение DMARC позволяет установить ряд проверочных критериев для определения того, что письмо исходит от заявленного источника. DMARC предоставляет невероятную гибкость в плане политик и режимов согласования, которые могут быть настроены владельцем домена для определения уровня безопасности, которого он хочет достичь. 

DMARC Выравнивание идентификаторов подтверждает, что доменное имя, добавляемое к различным частям почтового сообщения, правильно выровнено, что свидетельствует о том, что письмо является легитимным и не может быть частью попыток фишинга или подделки.

Что такое выравнивание DMARC?

Согласование DMARC - это процесс согласования (или сопоставления) доменов в различных разделах заголовка электронной почты при проверке подлинности для обеспечения легитимности писем и защиты от различных атак почтового мошенничества, включая фишинг, спуфинг, ransomware и др.

spf dkim

Протокол аутентификации DMARC проверяет соответствие идентификаторов DMARC, чтобы определить, является ли домен электронной почты потенциально поддельным. При проверке электронной почты DMARC проверяет 3 идентификатора:

  • От: заголовок
  • Адрес обратного пути
  • Доменное имя в подписи DKIM

Если идентификаторы SPF или DKIM совпадают, то письмо достигает соответствия DMARC, проходит DMARC-аутентификацию и благополучно доставляется в почтовый ящик пользователя.

Как работает согласование DMARC?

заголовок spf dkim

Чтобы понять выравнивание DMARC, нужно понять, как оно работает. Когда вы внедряете DMARC, вы связываете результаты SPF и DKIM для проверки подлинности всех электронных писем, приходящих из вашего домена. Для любого конкретного письма DMARC использует так называемую "центральную идентификацию", которая представляет собой домен, указанный в заголовке From:. Этот домен считается доменом происхождения вашей электронной почты, и в нем будет указано доменное имя вашей организации.

Когда письмо из вашего домена попадает на сервер-получатель, SPF проверяет его обратный путь, а DKIM проверяет зашифрованную подпись. Обе эти проверки происходят отдельно на двух разных доменах. DMARC берет результат проверки подлинности каждого из них и проверяет, совпадает ли домен, используемый в SPF или DKIM, с доменом From: (центральный идентификатор). Если и то, и другое верно, то DMARC достигает соответствия.

Однако здесь есть одна небольшая проблема. Любой человек, включая преступников, может купить домен и внедрить SPF и DKIM. Таким образом, теоретически можно отправить письмо с доменом вашей организации в адресе From: (центральный идентификатор), а в обратном пути указать свой собственный домен, чтобы пройти SPF-аутентификацию. Пользователи обычно видят только адрес From:, но не Return Path, поэтому они даже не догадываются о наличии расхождений между этими двумя адресами.

Расслабленное выравнивание DMARC: Настройка совпадений доменов верхнего уровня 

Выравнивание SPF и DKIM имеет два вида: расслабленное и строгое. Если для обоих настроено расслабленное выравнивание, то это означает, что в вашей общей реализации DMARC реализовано расслабленное выравнивание. 

В случае SPF и DKIM, в расслабленном варианте, даже если домен в заголовке From и домены в заголовках Return-path (для SPF) и DKIM signature (для DKIM) организационно совпадают - выравнивание по DMARC будет совпадать. Впоследствии, при таком сценарии, даже поддомены будут выравниваться по DMARC. 

Пример выравнивания с ослабленным DMARC 

v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r

DMARC-теги "aspf" и "adkim" - это соответствующие теги выравнивания для определения выбранного вами режима, а "r" означает relaxed. 

Строгое согласование DMARC: Настройка точных доменных соответствий 

Если владельцы доменов включат строгое согласование для SPF и DKIM, это будет означать, что вы обеспечили строгое согласование для всей реализации DMARC. 

Для обоих протоколов при строгой настройке только если домен в заголовке From и домены в заголовках Return-path (для SPF) и DKIM signature (для DKIM) являются точным совпадением - выравнивание по DMARC является совпадением. Поэтому в данном сценарии поддомены не будут выравниваться по DMARC. 

Пример выравнивания с ослабленным DMARC 

v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

DMARC-теги "aspf" и "adkim" - это соответствующие теги выравнивания для определения выбранного вами режима, а "s" означает strict. 

Расслабленный и строгий: Какой режим выравнивания DMARC лучше?

Выбор между расслабленным и строгим режимами согласования DMARC зависит от политики аутентификации электронной почты в вашей организации, вашей терпимости к ложным срабатываниям и общих целей безопасности.

Режим Relaxed обеспечивает большую гибкость и меньшую вероятность ложных срабатываний. Он может быть полезен при наличии нескольких почтовых систем или служб, отправляющих сообщения от имени вашего домена, причем они могут использовать разные поддомены. Однако этот режим также менее строг и может допускать прохождение некоторых писем с незначительными несоответствиями, что может привести к попыткам подделки или фишинга.

Модель Strict применяет более строгую политику согласования, гарантируя, что точный домен в заголовке "From" соответствует доменам, указанным в SPF и DKIM. Хотя такая модель обеспечивает более надежную защиту от спуфинга и фишинга, она может быть менее щадящей, если в почтовой инфраструктуре используются различные поддомены для законных целей. Реализация строгого соответствия может потребовать тщательной настройки и мониторинга, чтобы избежать блокирования легитимной электронной почты.

Как контролировать письма на предмет строгого соответствия DMARC?

PowerDMARC помогает контролировать электронную почту при соблюдении строгой политики согласования DMARC с помощью нашего DMARC-анализатора инструмент. Мы помогаем отслеживать источники отправки электронной почты, проверять ошибки согласования и оптимизировать конфигурацию аутентификации прямо с нашей панели управления.

Свяжитесь с нами сегодня, чтобы начать работу!

Согласование DMARC

Последние сообщения Ахона Рудра (см. все)
/по адресу
Это то, что фишинг по электронной почте может сделать с вашим изображением брендаблог об имидже брендасудебно-экспертное заключение руф блогМертвы ли судебно-медицинские заключения DMARC о неисправностях (RUF)? Ты упускаешь этот угол...