Знаете ли вы, что можете получать отчёты DMARC за пределами вашего домена? Да, можно отправлять отчеты DMARC на адрес электронной почты, который не входит в сферу действия вашего собственного домена, с помощью DMARC External Destination Verification. Если вы владеете доменом company.comто вы можете отправлять отчеты на адрес (пример) rua@mailreports.netгде company.com не имеет никаких полномочий по отношению к mailreports.net, и это два совершенно разных домена.
Однако, чтобы добиться этого, домен, принимающий отчеты (mailreports.net) должен предоставить подтверждение того, что он согласен получать отчеты, содержащие данные DMARC вашего домена (company.com).
Метод, который делает это возможным, называется "Проверка внешнего домена", и сегодня мы обсудим, что это такое и как это поможет вам в вашем пути аутентификации.
Проверка внешнего домена DMARC - объяснение
Допустим, вы владеете доменом company.com и у вас включен DMARC для вашего домена. Теперь вы хотите получать информацию о ваших источниках отправки электронной почты через сводные отчеты DMARC, но чтобы избежать спама в почтовых ящиках ваших внутренних доменов и поддоменов, вы хотите перенаправить эти отчеты на внешний адрес, например mailreports.net.
Это обычная тактика, применяемая компаниями, которые имеют несколько зарегистрированных доменов, третьих лиц и массовый поток информации на и с их доменов.
Для этого последующая DMARC-запись будет выглядеть примерно так:
v=DMARC1; p=карантин; rua=mailto:rua@mailreports.net
[Чтобы бесплатно создать свою пользовательскую запись, воспользуйтесь нашим генератор DMARC-записей инструмент]
В теге rua указывается адрес электронной почты, на который вы будете получать отчеты DMARC. Обратите внимание, что если в DNS опубликована запись с запросом на отправку данных на mailreports.net, это еще не значит, что так и будет. Все не так просто.
Домен, получающий отчеты, должен предоставить цифровое согласие на получение отчетов от company.comиначе они не могут быть отправлены. Это известно как верификация внешнего домена или верификация внешнего назначения (как указано в разделе RFC 7489 7.1).
Почему требуется внешняя проверка назначения? Потенциальные угрозы и уязвимости
Следующие причины могут заставить вас сделать выбор в пользу внешней проверки домена:
- Вы владеете доменом, в котором не используются почтовые серверы
- Без проверки внешнего домена злоумышленники могут легко создать запись DMARC с упоминанием внешнего домена (жертвы) для получения отчетов. Отчеты обо всех плохих письмах, отправленных злоумышленником, теперь будут поступать в почтовый ящик жертвы.
Благодаря проверке внешнего адресата можно помешать субъектам угроз совершать свои злонамеренные действия, а владельцы доменов могут направлять сообщения во внешний домен, в котором работают почтовые серверы.
Как работает проверка внешнего домена?
Проверка внешних мест назначения отчетов
Когда домен с опубликованной записью DMARC отправляет электронное письмо, сервер, принимающий почту, проверяет, является ли организационный домен, в котором опубликована запись, точным совпадением с организационным доменом, указанным в теге rua (или ruf) записи DMARC.
Если он не совпадает, а внешний домен был указан для получения отчетов, запускается процесс проверки.
Для этого DNS узла, получающего отчет, запрашивается, чтобы проверить, дал ли он согласие на получение отчетов. Если в DNS найдена DMARC-запись, подтверждающая это, проверка проходит, и отчеты отправляются на внешний домен. В случае неудачи отчеты не доставляются.
Иногда из-за тайм-аута DNS и других мелких проблем может возникнуть временная ошибка, не позволяющая принимающим серверам временно завершить процесс проверки внешнего назначения. Однако позже эта попытка повторяется.
Конфигурации проверки внешнего назначения для определенных доменов (и поддоменов)
Давайте рассмотрим наш предыдущий пример, чтобы определить, как убедиться, что ваш процесс проверки внешнего назначения не возвращает результат ошибки для ваших конкретных доменов и поддоменов.
Пример доменного имени: company.com
Пример домена получения внешнего отчета: mailreports.net
На домене mailreports.net должна быть опубликована DNS-запись DMARC со следующей информацией:
| Поле | Описание | Значение |
| Хост | Здесь вы публикуете запись на | company.com._report._dmarc.mailreports.net |
| Значение | Значение вашей TXT-записи | v=DMARC1; |
Заметка: Замените имена доменов на ваш собственный домен и любой внешний домен, на который вы хотите получать отчеты. Эта запись должна быть опубликована НЕ на вашем домене, а на внешнем домене, на который вы хотите отправлять отчеты.
И все готово! Теперь во время проверки внешнего назначения вы будете сообщать серверам, принимающим почту, что ваш предпочтительный внешний домен, указанный в теге rua или ruf, действительно согласен получать отчеты DMARC от имени вашего домена.
Дополнительные конфигурации для проверки внешнего назначения
Вместо публикации вышеупомянутой записи, чтобы дать разрешение определенным доменам на отправку отчетов на их адрес, внешние домены часто используют подстановочная запись (которая начинается со звездочки "*").
Это просто короткий путь, чтобы избежать дополнительных усилий, поскольку запись с подстановочным знаком означает, что внешний домен дает согласие на получение отчетов DMARC от ЛЮБОГО домена (а не только вашего конкретного домена).
Ниже приведен синтаксис (пример) записи подстановочного знака, используемой для проверки внешнего домена:
| Поле | Описание | Значение записи с подстановочным знаком |
| Хост | Здесь вы публикуете запись на | *._report._dmarc.domain.com |
| Значение | Значение вашей TXT-записи | v=DMARC1; |
Потенциальные риски, связанные с использованием подстановочных знаков
Использование записей подстановочных знаков для проверки внешних доменов не рекомендуется и связано с потенциальными рисками. Это связано с тем, что когда домен дает согласие на получение отчетов от любого домена, злоумышленники могут использовать это для рассылки спама на почтовые ящики с массой отчетов от вредоносных доменов без какого-либо механизма регулирования или фильтрации отчетов. Это может нанести потенциальный вред домену, получающему отчеты, а также создать проблемы для вас, использующих этот домен для получения собственных отчетов.
Как мы работаем с проверкой внешнего домена в PowerDMARC?
Для клиентов, которые создали учетную запись PowerDMARC и получают отчеты на анализатор отчетов DMARC dashboard не нужно беспокоиться о проверке внешнего домена, поскольку мы делаем это за вас. Все отчеты, отправленные получателями, автоматически направляются и отправляются на нашу платформу, аккуратно разбираются и организуются для просмотра без необходимости публикации записей, чтобы упростить процесс проверки внешнего адресата. Все, что вам нужно сделать, это указать наш пользовательский адрес rua (или ruf) в вашей записи DMARC.
Зарегистрируйтесь сейчас, чтобы сделать процесс проверки внешних адресатов и внедрения DMARC простым и удобным с помощью бесплатной пробная версия DMARC.
- Рост числа налоговых мошенничеств и атак, выдающих себя за сотрудников налоговой службы по электронной почте, в период налогового сезона - 2 мая 2024 г.
- Безопасность электронной почты 101 для борьбы с криптовалютными мошенниками - 30 апреля 2024 г.
- Как найти лучшего поставщика решений DMARC для вашего бизнеса? - 25 апреля 2024 г.