Что такое DMARC "Проверка внешнего назначения"? | Получение отчетов DMARC за пределами вашего домена
Время чтения: 5 мин
Если внешние домены в вашем DMARC не дают разрешения на отправку им ваших отчетов - это руководство для вас. Знаете ли вы, что можете получать отчёты DMARC за пределами вашего собственного домена? Можно отправлять отчеты DMARC на адрес электронной почты, который не входит в сферу действия вашего собственного домена, с помощью DMARC External Destination Verification. Если вы владеете доменом company.comто вы можете отправлять свои отчеты на адрес (пример) [email protected]где company.com не имеет никаких полномочий по отношению к mailreports.net, и это два совершенно разных домена.
Однако, чтобы добиться этого, домен, принимающий отчеты (mailreports.net) должен предоставить подтверждение того, что он согласен получать отчеты, содержащие данные DMARC вашего домена (company.com).
Метод, который делает это возможным, называется "Проверка внешнего домена", и сегодня мы обсудим, что это такое и как это поможет вам в вашем пути аутентификации.
Ключевые выводы
- Вы можете получать отчеты DMARC на внешний адрес электронной почты, не связанный с вашим собственным доменом, с помощью проверки внешнего домена.
- Проверка внешнего домена требует явного согласия от домена-получателя отчета для предотвращения несанкционированного доступа к отчетам DMARC.
- Без проверки внешнего домена злоумышленники могут перехватывать записи DMARC для отправки конфиденциальных сообщений нежелательным адресатам.
- Публикация определенных DMARC-записей на внешнем домене помогает эффективно облегчить процесс проверки внешнего адресата.
- Использование записей с подстановочными знаками для внешней доставки может быть сопряжено с риском, поскольку они позволяют любому домену отправлять сообщения, что может привести к переполнению получающего домена спамом.
Проверка внешнего домена DMARC - объяснение
Допустим, вы владеете доменом company.com и у вас включен DMARC для вашего домена. Теперь вы хотите получать информацию о ваших источниках отправки электронной почты через сводные отчеты DMARC, но чтобы избежать спама в почтовых ящиках ваших внутренних доменов и поддоменов, вы хотите перенаправить эти отчеты на внешний адрес, например mailreports.net.
Это обычная тактика, применяемая компаниями, которые имеют несколько зарегистрированных доменов, третьих лиц и массовый поток информации на и с их доменов.
Для этого последующая DMARC-запись будет выглядеть примерно так:
v=DMARC1; p=карантин; rua=mailto:[email protected]
[Чтобы бесплатно создать свою пользовательскую запись, воспользуйтесь нашим генератор DMARC-записей инструмент]
В теге rua указывается адрес электронной почты, на который вы будете получать отчеты DMARC. Обратите внимание, что если в DNS опубликована запись с запросом на отправку данных на mailreports.net, это еще не значит, что так и будет. Все не так просто.
Домен, получающий отчеты, должен предоставить цифровое согласие на получение отчетов от company.comиначе они не могут быть отправлены. Это известно как верификация внешнего домена или верификация внешнего назначения (как указано в RFC 7489 7.1).
Упростите верификацию внешнего назначения с помощью PowerDMARC!
Почему требуется внешняя проверка назначения? Потенциальные угрозы и уязвимости
Следующие причины могут заставить вас сделать выбор в пользу внешней проверки домена:
- Внешние домены в вашем DMARC не дают разрешения на отправку им ваших отчетов.
- Вы владеете доменом, в котором не используются почтовые серверы
- Без проверки внешнего домена злоумышленники могут легко создать запись DMARC с упоминанием внешнего домена (жертвы) для получения отчетов. Отчеты обо всех плохих письмах, отправленных злоумышленником, теперь будут поступать в почтовый ящик жертвы.
Благодаря проверке внешнего адресата можно помешать субъектам угроз совершать свои злонамеренные действия, а владельцы доменов могут направлять сообщения во внешний домен, в котором работают почтовые серверы.
Как работает проверка внешнего домена?
Проверка внешних мест назначения отчетов
Когда домен с опубликованной записью DMARC отправляет электронное письмо, сервер, принимающий почту, проверяет, является ли организационный домен, в котором опубликована запись, точным совпадением с организационным доменом, указанным в теге rua (или ruf) записи DMARC.
Если он не совпадает, а внешний домен был указан для получения отчетов, запускается процесс проверки.
Для этого DNS узла, получающего отчет, запрашивается, чтобы проверить, дал ли он согласие на получение отчетов. Если в DNS найдена DMARC-запись, подтверждающая это, проверка проходит, и отчеты отправляются на внешний домен. В случае неудачи отчеты не доставляются.
Иногда из-за тайм-аута DNS и других мелких проблем может возникнуть временная ошибка, не позволяющая принимающим серверам временно завершить процесс проверки внешнего назначения. Однако позже эта попытка повторяется.
Конфигурации проверки внешнего назначения для определенных доменов (и поддоменов)
Давайте рассмотрим наш предыдущий пример, чтобы определить, как убедиться, что ваш процесс проверки внешнего назначения не возвращает результат ошибки для ваших конкретных доменов и поддоменов.
Пример доменного имени: company.com
Пример домена получения внешнего отчета: mailreports.net
На домене mailreports.net должна быть опубликована DNS-запись DMARC со следующей информацией:
| Поле | Описание | Значение |
| Хост | Здесь вы публикуете запись на | company.com._report._dmarc.mailreports.net |
| Значение | Значение вашей TXT-записи | v=DMARC1; |
Заметка: Замените имена доменов на ваш собственный домен и любой внешний домен, на который вы хотите получать отчеты. Эта запись должна быть опубликована НЕ на вашем домене, а на внешнем домене, на который вы хотите отправлять отчеты.
И все готово! Теперь во время проверки внешнего назначения вы будете сообщать серверам, принимающим почту, что ваш предпочтительный внешний домен, указанный в теге rua или ruf, действительно согласен получать отчеты DMARC от имени вашего домена.
Дополнительные конфигурации для проверки внешнего назначения
Вместо публикации вышеупомянутой записи, чтобы дать разрешение определенным доменам на отправку отчетов на их адрес, внешние домены часто используют подстановочная запись (которая начинается со звездочки "*").
Это просто короткий путь, чтобы избежать дополнительных усилий, поскольку запись с подстановочным знаком означает, что внешний домен дает согласие на получение отчетов DMARC от ЛЮБОГО домена (а не только вашего конкретного домена).
Ниже приведен синтаксис (пример) записи подстановочного знака, используемой для проверки внешнего домена:
| Поле | Описание | Значение записи с подстановочным знаком |
| Хост | Здесь вы публикуете запись на | *._report._dmarc.domain.com |
| Значение | Значение вашей TXT-записи | v=DMARC1; |
Потенциальные риски, связанные с использованием подстановочных знаков
Использование записей подстановочных знаков для проверки внешних доменов не рекомендуется и связано с потенциальными рисками. Это связано с тем, что когда домен дает согласие на получение отчетов от любого домена, злоумышленники могут использовать это для рассылки спама на почтовые ящики с массой отчетов от вредоносных доменов без какого-либо механизма регулирования или фильтрации отчетов. Это может нанести потенциальный вред домену, получающему отчеты, а также создать проблемы для вас, использующих этот домен для получения собственных отчетов.
Как мы работаем с проверкой внешнего домена в PowerDMARC?
Для клиентов, которые создали учетную запись PowerDMARC и получают отчеты на анализатор отчетов DMARC dashboard не нужно беспокоиться о проверке внешнего домена, поскольку мы делаем это за вас. Все отчеты, отправленные получателями, автоматически направляются и отправляются на нашу платформу, аккуратно разбираются и организуются для просмотра без необходимости публикации записей, чтобы упростить процесс проверки внешнего адресата. Все, что вам нужно сделать, это указать наш пользовательский адрес rua (или ruf) в вашей записи DMARC.
Зарегистрируйтесь сейчас, чтобы сделать процесс проверки внешних адресатов и внедрения DMARC простым и удобным с помощью бесплатной пробная версия DMARC.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Настройка DKIM: Пошаговое руководство по настройке DKIM для обеспечения безопасности электронной почты (2025) - 31 марта 2025 г.
- PowerDMARC признана лидером в области грид-технологий DMARC в G2 Spring Reports 2025 - 26 марта 2025 г.
- Как распознать поддельные письма с подтверждением заказа и защитить себя - 25 марта 2025 г.
