• Этапы развертывания DMARC: Что ожидать и как подготовиться

Этапы развертывания DMARC: Что ожидать и как подготовиться

Блог, DMARC

Освойте развертывание DMARC за 5 шагов. Научитесь настраивать SPF/DKIM, анализировать отчеты и постепенно внедрять политики.

Ахона Рудра

Время чтения: 6 мин
Этапы развертывания DMARC: Что ожидать и как подготовиться
Оглавление-

Если вы хотите повысить безопасность электронной почты и доставки, вам необходимо развернуть DMARC.

Domain-based Message Authentication, Reporting, and Conformance (DMARC) - это протокол аутентификации электронной почты, который предназначен для защиты доменных имен от атак на электронную почту. DMARC помогает проверять источники электронной почты с помощью SPF и/или DKIM и предотвращает доставку несанкционированных писем.

Компаниям необходимо знать, как правильно развернуть DMARC для своих доменов. Настройка DMARC это задача, которая требует времени и опыта, если вы новичок в аутентификации электронной почты. Чтобы упростить задачу, мы разделили процесс на 5 этапов развертывания DMARC, которые настроят вас на успех! Давайте начнем.

Как подготовиться к развертыванию DMARC?

Перед развертыванием DMARC необходимо подготовиться. Вот обзор того, что нужно сделать перед началом развертывания DMARC.

Настройка SPF и DKIM для вашего домена

До появления DMARC вашему домену необходим механизм политики отправителя (SPF) или DomainKeys Identified Mail (DKIM), настроенные для него. Электронные письма должны быть аутентифицированы с помощью SPF или DKIM, прежде чем они достигнут проверки DMARC. Развертывание DMARC без SPF или DKIM сделает вашу политику DMARC неэффективной.

Поскольку нет записей SPF или DKIM для проверки, все письма, отправленные с вашего домена, скорее всего, не пройдут проверку DMARC. В зависимости от политики DMARC (нет, карантин или отклонение), легитимные письма могут быть помечены как спам, помещены в карантин или даже отклонены принимающими почтовыми серверами. Более того, без SPF или DKIM развертывание DMARC не предотвратит подмену почты, так как нет механизма аутентификации, который бы помешал злоумышленникам отправлять письма, которые кажутся исходящими от вашего домена.

Создайте специальный почтовый ящик для получения отчетов

Вам следует создать отдельный почтовый ящик, на который вы хотите получать все свои отчеты DMARC. Отдельный почтовый ящик поможет хранить все отчеты DMARC в одном месте. Таким образом, вы сможете легко управлять ими и находить их в одном месте.

Для клиентов PowerDMARC этот шаг не является необходимым. Мы помогаем нашим клиентам управлять и отслеживать отчеты DMARC непосредственно на нашем облачном анализатор отчетов DMARC dashboard, без необходимости создавать отдельный почтовый ящик. Это не только предотвращает захламление почтового ящика, но и помогает упростить преобразование данных DMARC из XML в человекочитаемую информацию.

Получите данные для входа в систему у хостера вашего домена

Если вы не управляете хостингом своего домена, вам нужно получить доступ к консоли управления DNS и найти настройки DNS. Если у вас возникнут проблемы с выполнением этого шага, обратитесь за помощью к своему хостинг-провайдеру. 

Проверьте, существует ли уже запись DMARC

Обычно поставщики услуг электронной почты и хостеры доменов не настраивают DMARC по умолчанию. Тем не менее, рекомендуется проверить, была ли в вашем домене ранее установлена какая-либо DMARC-запись DNS TXT, используя инструмент поиска DMARC. Если в вашем домене уже была установлена DMARC, воздержитесь от создания нескольких записей для одного и того же домена. Вместо этого при необходимости отредактируйте существующую запись. 

Убедитесь, что сторонние поставщики электронной почты должным образом прошли проверку подлинности

Возможно, вы удивитесь, узнав, что большинство писем, отправленных через сторонних поставщиков электронной почты, не проходят проверки SPF и DKIM. Это происходит из-за отсутствия согласованности между поставщиками. Хотя некоторые поставщики могут включать автоматическую настройку безопасности для клиентов, избавляя их от необходимости вручную настраивать SPF или DKIM, не все это делают! Именно поэтому вы должны убедиться, что настроили SPF или DKIM (а лучше и то, и другое) для своих поставщиков электронной почты. 

Вот несколько руководств по настройке SPF и DKIM для некоторых основных поставщиков услуг электронной почты: 

  1. Настройка SPF и DKIM в Mailchimp
  2. Настройка SPF и DKIM в Cloudflare 
  3. Настройка SPF и DKIM в Sendgrid 
  4. Настройка SPF и DKIM в Godaddy 

Развертывание DMARC в 5 этапов

Теперь вы готовы к развертыванию DMARC. Вот подробное руководство по 5 наиболее важным этапам развертывания DMARC:

 

1. Примите решение о политике DMARC

Первым шагом в развертывании DMARC является выбор режима политики. Политики DMARC определяют действия, которые будут предприняты вашими получателями электронной почты, когда DMARC не работает для письма, отправленного с вашего домена. Давайте обсудим их вкратце: 

Нет 

Политика "p=none" - это политика бездействия. Поставщик почтового ящика пересылает письмо получателю в обычном режиме, даже если сообщение не прошло DMARC. В идеале "p=none" - это первая политика, которую вы должны развернуть. Если политика не установлена, владельцы доменов могут отслеживать отчеты DMARC.

Карантин

Эта политика подразумевает, что неаутентифицированные электронные письма должны отправляться в папку карантина получателя. Это помогает получателям проверять подозрительные письма, прежде чем принимать их за легитимные.

Отклонить

Это должно быть конечной целью вашего развертывания DMARC. Это означает, что сообщения, не прошедшие проверку подлинности с помощью DMARC, вообще не доставляются. Такие письма отклоняются, и отправителю возвращается сообщение об отказе.

2. Публикация/обновление записи TXT

После того как вы определились с политикой DMARC, вам нужно создать и опубликовать запись DMARC. Это самый важный этап развертывания DMARC. 

  • Первым шагом будет создание DMARC TXT-записи. Для этого шага вы можете использовать инструмент генератора DMARC-записей. Открыв инструмент, выберите политику DMARC:

Определите адрес электронной почты для выделенного почтового ящика для получения сводных отчетов DMARC:

Нажмите на кнопку "Создать DMARC-запись", чтобы создать свою TXT-запись. Скопируйте эту запись:

  • Зайдите в настройки DNS в консоли управления DNS.
  • Добавьте новую TXT-запись в DNS вашего домена. 

Тип записи: TXT

Хозяин: _dmarc

Значение:(вставьте значение записи)

  • Сохраните сделанные изменения.

Для клиентов PowerDMARC развертывание не требует особых усилий благодаря нашему мастеру настройки. Правильное развертывание протокола займет всего несколько минут, а помощь специалиста будет оказана на протяжении всего процесса.

3. Анализ и проверка ваших отчетов

После настройки DMARC-записи вы будете получать отчеты в свой почтовый ящик. Отчеты DMARC содержат исчерпывающую информацию о письмах, которые прошли или не прошли проверку подлинности SPF или DKIM.

Генерируемые отчеты представлены в виде необработанного Extensible Markup Language (XML), и их трудно читать. Их можно сделать более понятными с помощью инструмента анализатора DMARC от PowerDMARC. 

Вы должны использовать данные отчета DMARC для: 

  • Контролируйте источники отправки 
  • Контролируйте доставку электронной почты и трафик 
  • Обнаружение сбоев SPF, DKIM и DMARC и выяснение их причин

4. Постепенный переход к принудительной политике

Для эффективного развертывания DMARC политика должна меняться постепенно. Таким образом, вы сможете использовать время для сбора и анализа отчетов DMARC.

Начиная с "p=none", все сообщения электронной почты будут доставляться нормально. Однако это не дает защиты от мошенничества с электронной почтой. Вы можете просматривать отчеты в течение нескольких недель, прежде чем развернуть политику "p=карантин". Наконец, когда вы будете уверены, что начнете отклонять неаутентифицированные сообщения, вы можете установить политику "p=reject". Обратите внимание, что постепенное развертывание DMARC имеет решающее значение для обеспечения того, что вы не столкнетесь с проблемами доставки почты при использовании принудительных политик типа "reject". 

5. Постоянный мониторинг успешности аутентификации

Новые политики Google и Yahoo в области электронной почты привели к необходимости отслеживать успешность аутентификации. Без надлежащего развертывания протоколов аутентификации электронной почты ваша доставляемость электронной почты и репутация домена могут пострадать!

Важно использовать надежного поставщика услуг DMARC, такого как PowerDMARC, который помог более чем 2000 организациям успешно развернуть DMARC для всех своих доменов. Компании, прошедшие все вышеперечисленные этапы развертывания DMARC, обычно получают высокую рентабельность инвестиций от своих маркетинговых кампаний по электронной почте, предотвращают утечку данных и сохраняют доверие клиентов. 

Как PowerDMARC упрощает развертывание DMARC для MSP и пользователей

Эффективное развертывание DMARC необходимо организациям, стремящимся защитить свои почтовые домены от кибер-атак. Правильно выполнив все этапы, вы сможете постепенно, но эффективно настроить свой домен на борьбу с целым рядом сложных почтовых угроз! Поначалу этот процесс может показаться сложным и трудоемким, но благодаря нашему 5-этапному руководству и рекомендациям автоматизированных инструментов мы надеемся, что сделали его более доступным для вас.  

Чтобы начать работу с PowerDMARC, закажите демонстрацию с одним из наших экспертов по развертыванию DMARC уже сегодня!

Последние сообщения Ахона Рудра (см. все)
Настройка SPF-записей для Gmail и Google Workspacegmail spf записьThe-Role-of-Digital-Adoption-in-Email-Deliverability-&-SecurityРоль принятия цифровых технологий в обеспечении доставки и безопасности электронной почты