Ложные срабатывания DMARC: Причины, способы устранения и руководство по предотвращению
Время чтения: 6 мин
DMARC - это протокол аутентификации электронной почты, основанный на SPF и DKIM. Он помогает владельцам доменов определить, как принимающие почтовые серверы должны поступать с письмами, не прошедшими проверку подлинности. Ключевыми политиками DMARC являются "нет", "карантин" или "отклонить". Они позволяют контролировать, должны ли письма, не прошедшие проверку подлинности, доставляться, отправляться в спам или полностью блокироваться.
Ложное срабатывание DMARC происходит, когда легитимное письмо ошибочно помечается как "отказ". Это может быть вызвано неправильной конфигурацией и пробелами в настройках SPF, DKIM или DMARC. Распространенными причинами являются неправильное согласование доменов, отсутствие подписей DKIM или слишком строгие политики, применяемые без надлежащего контроля. Из-за этих пробелов деловая электронная почта может быть потеряна или перенаправлена в спам. Это может существенно повлиять на работу вашего бизнеса, эффективность коммуникаций и имидж вашего бренда.
Ключевые выводы
- Ложные срабатывания DMARC - это случаи, когда легитимные письма не проходят проверку DMARC из-за неправильной конфигурации или проблем с выравниванием.
- Эти сбои могут привести к проблемам с доставкой электронной почты, ухудшению репутации, снижению рентабельности инвестиций и т. д.
- Распространенными причинами ложных срабатываний DMARC являются несоответствие SPF или DKIM, переадресация почты, просроченные ключи DKIMи неавторизованные сторонние отправители.
- Признаки ложных срабатываний могут появляться в отчетах о сбоях DMARC, журналах отказов, а также в результате неожиданного отклонения внутренних или партнерских писем.
- Вы можете уменьшить или исключить ложные срабатывания, контролируя и настраивая политики DMARC, авторизуя сторонние службы и обрабатывая пересылку электронной почты.
Почему случаются ложные срабатывания DMARC?
Ложные срабатывания DMARC могут возникать из-за большого количества факторов.
Плохое управление записями DNS
Записи DNS служат инструкциями, которые помогают получателям электронной почты проверить подлинность SPF, DKIM и DMARC. Они позволяют DMARC находить нужные адреса для проверки подлинности и легитимности отправителей электронной почты. Правильное управление DNS-записями SPF, DKIM и DMARC гарантирует, что серверы-получатели смогут правильно проверить подлинность ваших писем. Без записи DMARC получатели электронной почты не будут применять политику DMARC, что сделает ваш домен уязвимым для подделки.
Несоответствие SPF/DKIM
DMARC требует, чтобы домен в заголовке "From" совпадал с доменами, используемыми при проверке подлинности SPF и DKIM. Если ваши политики выравнивания слишком строги, это может привести к тому, что легитимные электронные письма не будут приняты, если эти домены отличаются. Более конкретно, если домен, прошедший SPF-аутентификацию (обычно из Return-Path), или домен подписи DKIM не совпадают с адресом 'From', это может привести к сбою DMARC.
Переадресация электронной почты
Пересылаемые электронные письма часто проходят через промежуточные серверы, которые не указаны в SPF-записи отправителя. Это может привести к сбою SPF. Переадресация обычно нарушает SPF, но подписи DKIM обычно сохраняются, если переадресатор или список рассылки не изменяет сообщение (например, добавляет нижние или верхние колонтитулы). Пробелы в SPF или DKIM могут привести к сбою DMARC.
Списки рассылки
Рассылки иногда предполагают изменение писем путем добавления колонтитулов или заголовков. Они могут даже полностью переписать адрес "От". Такие изменения нарушают подписи DKIM и вызывают несоответствие SPF. Это происходит потому, что адрес отправителя рассылки отличается от адреса оригинального отправителя, поэтому DMARC не работает.
Просроченные или ротированные DKIM-ключи
Срок действия ключей DKIM не истекает автоматически, но их следует регулярно обновлять. Некоторые подписи DKIM могут включать тег x=, который устанавливает время истечения срока действия подписи, хотя это необязательно и не всегда соблюдается. Во время ротации ключей необходимо тщательно контролировать, чтобы публичные ключи оставались опубликованными до тех пор, пока не будут доставлены все электронные письма, подписанные старым ключом.
Использование динамического IP-адреса
Не удивительно, что DMARC лучше всего работает со стабильными IP-адресами. Динамические IP-адреса часто смещаются и затрудняют доставку до адресата. Именно поэтому динамический IP-адрес с большей вероятностью будет заблокирован службами проверки репутации электронной почты. Более того, динамические IP-адреса, скорее всего, будут иметь непоследовательные обратные записи DNS. Это, в свою очередь, делает их более проблематичными и отдает предпочтение стабильным IP-адресам.
Несанкционированные сторонние отправители
Письма, отправленные третьими лицами, которые не включены в SPF- или DKIM-записи домена, скорее всего, не пройдут аутентификацию. Это может привести к сбою DMARC и потенциально может вызвать ложные срабатывания, даже если эти отправители являются легитимными; если они не авторизованы должным образом, то быть легитимным недостаточно.
Как обнаружить ложные срабатывания DMARC
Вот некоторые способы обнаружения ложных срабатываний DMARC.
Агрегированные отчеты DMARC (RUA)
Когда вы просматриваете свои агрегированные отчеты DMARC (RUA) отчетывы можете легко увидеть и отследить тенденции прохождения и провала ваших почтовых сообщений. Эти отчеты в формате XML отправляются каждый день на адрес, который вы указали в своей записи DMARC. Они включают в себя сводку результатов проверки подлинности по SPF и DKIM, чтобы вы могли обнаружить любой необычный рост отказов. Такой неожиданный рост может быть хорошим индикатором ложных срабатываний.
Отчеты судебно-медицинской экспертизы (RUF)
Включив отчеты DMARC forensic (RUF), вы получите подробную диагностику в режиме реального времени всех писем, которые не прошли проверку DMARC. Отчеты достаточно полные и включают информацию на уровне сообщений. Они могут включать данные об отправителе, теме и результатах проверки подлинности. Благодаря глубине данных, содержащихся в этих сообщениях, становится гораздо проще определить, какие легитимные письма отправляются в спам или отклоняются.
Журналы отказов электронной почты
Проверка журналов отказов и отклонений вашего почтового сервера - еще один хороший метод выявления ложных срабатываний. Если отказы повторяются, или если вы часто отклоняете внутренние или партнерские письма, то ваша почтовая экосистема может страдать от ложных срабатываний DMARC.
Общие симптомы
Исчезают или отклоняются без причины ваши законные внутренние или партнерские электронные письма? Если вы по-прежнему сталкиваетесь с отказами в доставке даже при правильной настройке записей SPF, DKIM и DMARC, то это еще один признак ложных срабатываний.
Как исправить и предотвратить ложные срабатывания DMARC
Существует несколько эффективных методов предотвращения и/или устранения ложных срабатываний.
Обеспечение соответствия SPF/DKIM
Для SPF убедитесь, что домен Return-Path (MAIL FROM) совпадает с видимым адресом From. Для DKIM убедитесь, что домен d= совпадает с видимым адресом From. В качестве альтернативы рассмотрите возможность перехода от строгого выравнивания на расслабленное если вам нужно легко решить проблему ложных срабатываний.
Разрешить услуги третьих лиц
Еще один хороший метод - обновить записи SPF, чтобы включить в них всех легитимных сторонних отправителей. Для этого можно использовать механизм include или перечислить их IP-адреса отправителей. Убедитесь, что эти поставщики генерируют DKIM-ключи для вашего домена или поддомена и публикуют открытые ключи в вашем DNS.
Убедитесь, что ваши DNS-записи хорошо управляются
Чтобы правильно управлять записями DNS, вы всегда можете использовать инструмент поиска DNS для проверки наличия записи DMARC. Это должна быть TXT-запись с вашим реальным доменным именем.
Также полезно проверить синтаксис вашей DMARC-записи, чтобы все директивы были правильно отформатированы и использовали правильную пунктуацию (например, точки с запятой).
Управление переадресацией электронной почты
Мы уже узнали, что пересылка может нарушить SPF и DKIM. Чтобы избежать этой проблемы, следует внедрить ARC(Authenticated Received Chain). Это поможет сохранить результаты аутентификации при пересылке. Вы также можете настроить службы пересылки на добавлять подписи DKIMчто поможет избежать ложных срабатываний при пересылке.
Используйте правильное управление поддоменами
Хорошее развертывание DMARC охватывает не только домен, но и работу с субдоменами. Это означает, что вы должны настроить записи SPF, DKIM и DMARC для каждого из поддоменов и четко определить соответствующие политики DMARC.
Мониторинг и корректировка политик
Наконец, важно знать, что такое политика DMARC вы используете на том или ином этапе внедрения DMARC. Например, хотя строгая политика DMARC (например, p=reject) может потребоваться на более поздних этапах, рекомендуется начать со смягченной политики DMARC, например p=none. Начало работы со смягченной политикой поможет вам собрать данные и выявить ложные срабатывания.
Получив необходимую информацию, вы можете постепенно переходить к карантину и, в конце концов, к отклонению. Но делайте это только тогда, когда будете уверены, что все законные источники должным образом проверены на подлинность.
Лучшие практики для уменьшения количества ложных срабатываний
Вот краткий контрольный список, который можно использовать для уменьшения или даже полного исключения ложных срабатываний:
- Не стоит сразу переходить к p=reject, если вы еще не провели достаточный мониторинг и тестирование. Терпеливое, постепенное внедрение DMARC поможет вам избежать головной боли, связанной с попаданием легитимных писем в спам.
- Регулярно проверяйте и обновляйте записи DNS для SPF, DKIM и DMARC. Это обеспечит охват всех легитимных отправителей.
- Всегда проверяйте свою конфигурацию с помощью DMARC-чекеров, прежде чем применять строгие политики вроде p=reject. Помимо использования онлайн-программ проверки, внимательно изучайте отчеты, чтобы выявить любые ошибки или пробелы.
- Избегайте динамических IP-адресов (вы уже знаете, почему!).
- Сотрудничайте с сторонними поставщиками Сотрудничайте со сторонними поставщиками (например, CRM и ESP), чтобы убедиться, что их методы отправки соответствуют DMARC и авторизованы для вашего домена.
Подведение итогов
Ложные срабатывания могут быть действительно раздражающими, но на самом деле их легче исправить, чем вы можете себе представить. Правильное согласование, тщательный мониторинг и постепенное внедрение политик DMARC помогут вам вовремя обнаружить и предотвратить их. Кроме того, не забывайте проверять отчеты DMARC и корректировать конфигурации, чтобы внедрение DMARC и доставка электронной почты не вызывали затруднений.
Начните использовать PowerDMARC бесплатный DMARC Analyzer уже сегодня, чтобы контролировать все протоколы аутентификации электронной почты под одной крышей и избавиться от ложных срабатываний!
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Компрометация электронной почты поставщика (VEC): как предотвратить атаки со стороны доверенных поставщиков - 3 июля 2025 г.
- Маркетинговые электронные письма не доходят до почтовых ящиков клиентов - 2 июля 2025 г.
- Пример из практики DMARC MSP: Как S-IT автоматизировала управление аутентификацией электронной почты с помощью PowerDMARC - 29 июня 2025 г.
