Выравнивание DMARC: Спокойный и строгий режимы выравнивания

Включение DMARC (Domain-based Message Authentication Reporting and Conformance) устанавливает ряд контрольных точек, чтобы определить, исходит ли электронное письмо от заявленного источника. DMARC предлагает невероятную гибкость в плане политик и режимов согласования, которые могут быть настроены владельцем домена для определения уровня безопасности, которого он хочет достичь.

DMARC Выравнивание идентификаторов подтверждает, что доменное имя, добавляемое к различным частям почтового сообщения, правильно выровнено, что указывает на то, что письмо является легитимным и не может быть частью фишинга или попыток подмены.

Что такое выравнивание DMARC?

Выравнивание DMARC - это процесс выравнивания (или сопоставления) доменов в различных разделах заголовка вашего письма во время проверки подлинности. DMARC выравнивает вашу почту, если сообщение проходит выравнивание идентификаторов SPF и DKIM или обоих.

Чтобы убедиться, что ваши электронные письма легитимны и защищены от различных атак, связанных с мошенничеством с использованием электронной почты, включая фишинг, спуфинг, выкупное ПО и т. д.

Протокол аутентификации DMARC проверяет соответствие идентификаторов DMARC, чтобы определить, является ли домен электронной почты потенциально поддельным. При проверке электронной почты DMARC проверяет 3 идентификатора:

• Заголовок From
• Адрес обратного пути
• Доменное имя в подписи DKIM

Если идентификаторы аутентификации SPF или DKIM совпадают, письмо достигает соответствия DMARC, проходит DMARC-аутентификацию и благополучно доставляется в почтовый ящик пользователя.

Упростите безопасность с помощью PowerDMARC!

Как работает согласование DMARC?

Чтобы понять, как выравнивать DMARC, нужно понять, как это работает. Когда вы внедряете DMARC, вы связываете результаты SPF и DKIM для аутентификации всех писем, приходящих с вашего домена. Для любого конкретного письма DMARC использует так называемую "центральную идентификацию", которая представляет собой домен, указанный в заголовке From. Он считается доменом происхождения вашего письма и содержит доменное имя вашей организации.

Когда письмо из вашего домена попадает на сервер-получатель, SPF проверяет обратный путь, а DKIM проверяет зашифрованную подпись. Обе эти проверки происходят отдельно на двух разных доменах. DMARC берет результат проверки подлинности каждого из них и проверяет, совпадает ли домен, используемый в SPF или DKIM, с доменом From (центральный идентификатор). Если и то, и другое верно, DMARC выравнивается.

Однако есть одна небольшая проблема. Любой человек, включая преступников, может купить домен и внедрить SPF и DKIM. Поэтому теоретически кто-то может отправить письмо с доменом вашей организации в адресе From: (центральный идентификатор), а в обратном пути указать свой собственный домен, чтобы пройти проверку подлинности SPF. Пользователи обычно видят только адрес From:, но не Return Path, поэтому они даже не догадаются, что между ними есть расхождение.

Роль согласования идентификаторов SPF и DKIM

Выравнивание идентификатора аутентификации определяет, имеет ли отправитель электронной почты право отправлять письмо от имени вашего домена. Это можно определить, проверив подлинность письма по SPF (Sender Policy Framework) или DKIM (DomainKeys Identified Mail). Выровненные электронные письма в конечном итоге проходят проверку подлинности отправителя, что может быть использовано принимающими почтовыми серверами в качестве базового примера для выделения вредоносных или неавторизованных писем и их фильтрации. 

В PowerDMARC мы делаем еще один шаг вперед, выравнивая ваши сообщения по идентификаторам SPF и DKIM, чтобы помочь вам достичь 100% соответствия DMARC для ваших писем при политике p=reject. Это поможет вам наблюдать видимые улучшения в доставляемости ваших писем и заметные различия в показателях спама и отказов всего за несколько недель при надлежащем мониторинге и помощи со стороны нашей специальной команды технической поддержки. 

Какие факторы могут повлиять на выравнивание идентификаторов SPF и DKIM? 

• Клиенты электронной почты сторонних поставщиков и поставщики услуг электронной почты могут внести осложнения и нарушить согласование.
• Ваши пересылаемые сообщения могут не выровняться.  

В чем заключается решение?

PowerDMARC поможет вам правильно и точно согласовать всех ваших сторонних поставщиков и легко изменять и обновлять записи на портале по мере добавления новых услуг и поставщиков, чтобы убедиться, что ваша легитимная электронная почта с наибольшей вероятностью дойдет до ваших клиентов. 

PowerDMARC поможет вам настроить SPF, DKIM и ARC вместе с DMARC, чтобы справиться со сложными сценариями пересылки почты, когда серверы-посредники могут вносить изменения в ваши письма, что приводит к нежелательным сбоям аутентификации. 

Интуитивно понятный интерфейс PowerDMARC поможет вам легко обновить запись политики до максимального уровня применения, что гарантирует надежную защиту вашего домена от подмены электронной почты и фишинговых атак. 

Типы выравнивания DMARC: Строгое и расслабленное выравнивание идентификаторов 

Выравнивание идентификаторов DMARC может быть двух типов в зависимости от уровня серьезности и точности, с которым вы хотите проводить проверку подлинности. Вот что это такое: 

1. Ослабленное выравнивание DMARC

Выравнивание SPF и DKIM имеет два вида: расслабленное и строгое. Если расслабленное выравнивание настроено для обоих, это означает, что вы внедрили расслабленное выравнивание для вашей общей реализации DMARC.

Для SPF и DKIM, в режиме расслабленного выравнивания, даже если домен в команде Mail From и домены в заголовке Return-path или адрес отправителя (для SPF) и подпись DKIM (для DKIM) организационно совпадают - выравнивание DMARC будет совпадать. Впоследствии, в этом сценарии, даже поддомены будут согласованы с DMARC.

Письмо должно пройти DMARC-аутентификацию на стороне получателя почты, если домен заголовка соответствует любому из требований выравнивания.

Пример выравнивания с ослабленным DMARC

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r

Настройки выравнивания расшифрованы: DMARC-теги "aspf" и "adkim" - это соответствующие теги выравнивания для определения выбранного вами режима, а "r" означает relaxed.

2. Строгое выравнивание DMARC

Если владельцы доменов включили строгое выравнивание для SPF и DKIM, это означает, что вы ввели строгий режим для общей реализации DMARC.

Для обоих протоколов, в режиме строгого выравнивания, только если домен в заголовке From и домены в заголовках Return-path (для SPF) и DKIM signature (для DKIM) являются точным совпадением - проверка выравнивания DMARC является совпадением. Таким образом, в этом сценарии поддомены не будут выравниваться по DMARC.

Строгое соответствие DMARC с примерами

v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s

Расшифровка настроек выравнивания: DMARC-теги "aspf" и "adkim" - это соответствующие теги режима выравнивания для определения выбранного вами режима, а "s" обозначает цель выравнивания, которая является строгой.

Какой режим выравнивания DMARC лучше?

Выбор между расслабленным и строгим режимами согласования DMARC зависит от политики протокола аутентификации электронной почты вашей организации, вашей терпимости к ложным срабатываниям и общих целей безопасности.

Режим Relaxed обеспечивает большую гибкость и меньшую вероятность ложных срабатываний. Он может быть полезен при наличии нескольких почтовых систем или служб, отправляющих сообщения от имени вашего домена, причем они могут использовать разные поддомены. Однако этот режим также менее строг и может допускать прохождение некоторых писем с незначительными несоответствиями, что может привести к попыткам подделки или фишинга.

Модель Strict применяет более строгую политику согласования, гарантируя, что точный домен в заголовке "From" соответствует доменам, указанным в SPF и DKIM. Хотя такая модель обеспечивает более надежную защиту от спуфинга и фишинга, она может быть менее щадящей, если в почтовой инфраструктуре используются различные поддомены для законных целей. Реализация строгого соответствия может потребовать тщательной настройки и мониторинга, чтобы избежать блокирования легитимной электронной почты.

Как контролировать письма на предмет строгого соответствия DMARC?

PowerDMARC поможет вам контролировать электронную почту, придерживаясь строгой политики согласования DMARC, с помощью нашего анализатор DMARC инструмента. Мы поможем вам отслеживать источники отправки электронной почты, проверять сбои в выравнивании и оптимизировать конфигурацию аутентификации прямо с нашей панели управления.

Свяжитесь с нами сегодня, чтобы начать работу!

Как проверить соответствие DMARC для электронных писем?

Чтобы проверить соответствие DMARC для ваших сообщений электронной почты, вы можете зарегистрироваться на портале PowerDMARC и выполнить следующие действия: 

• Перейдите к разделу Отчетность в главном меню 
• Нажмите на DMARC Aggregate Reports и раскройте выпадающий список
• Выберите результат из списка
• Отслеживайте источники отправки на основе каждого результата, чтобы просмотреть соответствие DMARC и детали согласования для каждого отдельного результата.

Когда согласование DMARC проходит 

Выравнивание DMARC будет пройдено для письма, если выравнивание идентификаторов DKIM или/и SPF пройдено, 

Почему не работает согласование DMARC 

Сбой выравнивания DMARC происходит, когда ни DKIM, ни SPF-идентификаторы не совпадают для письма. Обычно это происходит, когда домен в заголовке Mail From не совпадает ни с доменом в заголовке return-path, ни с доменом в заголовке подписи DKIM. 

Некоторая важная информация, связанная с выравниванием DMARC

Что такое домен обратного пути? 

Домен обратного пути, также известный как адрес возврата или домен Envelope From, - это домен, который получит ваши недоставленные или отбитые сообщения. В ситуациях, когда письмо отправляется обратно или не доставляется, скрытое поле заголовка содержит домен Envelope From, на который возвращается письмо. Даже если вы, как владелец домена, используете сторонние сервисы для маршрутизации сообщений электронной почты, письмо можно отследить до родительского домена по адресу возврата. Это четкое разграничение между сообщениями, отправленными плохими агентами, и реальным отправителем, имеющим добрые намерения.  

SPF-домен Выравнивание SPF при проверке DMARC определяется доменом в адресе обратного пути. 

Что такое домен подписи DKIM?

Домен подписи DKIM - это доменное имя, используемое при создании подписей DKIM для ваших сообщений, т. е. домен подписи. При проверке соответствия домена DKIM во время проверки DMARC отправитель проверяет, соответствует ли домен подписи DKIM домену From. Выравнивание DMARC пройдет в спокойном режиме DKIM, если организационный домен совпадает. В строгом режиме DKIM выравнивание DMARC проходит только при точном совпадении доменов. 

Как переадресация электронной почты влияет на согласование DMARC

Переадресация серверов электронной почты и списков обсуждения электронной почты создает сложности на пути выравнивания DMARC, переписывая адрес "заголовка from" на адрес сервера переадресации, а также включая новые элементы в тело и содержимое сообщения. Это приводит к сбоям в выравнивании SPF и DKIM из-за несоответствия идентификатора домена Mail From переписанному адресу пересылки и измененному содержимому сообщения. 

Как отслеживать сбои в выравнивании?

Для контроля выравнивания вы можете включить агрегированные отчеты и криминалистическую отчетность (отчетность о сбоях), что поможет вам контролировать и достигать целей выравнивания, а также быстрее устранять проблемы с доставляемостью.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Как создать и опубликовать запись DMARC - 3 марта 2025 г.
• Как исправить "Запись SPF не найдена" в 2025 году - 21 января 2025 г.
• Как читать отчет DMARC - 19 января 2025 г.