• DMARC для государственных и общественных организаций

DMARC для государственных и общественных организаций

Блог

DMARC для государственных учреждений помогает ведомствам предотвращать подделку электронных писем, обеспечивать безопасность публичной электронной почты и укреплять доверие граждан. Узнайте о его важности, политиках и шагах по обеспечению соответствия.

Ахона Рудра

Последнее обновление:
6 Время чтения: 6 минут
DMARC для государственных и общественных организаций
Оглавление-

Ключевые выводы

  • DMARC для правительственных доменов защищает доверие к официальным сообщениям и обеспечивает национальное цифровое доверие.
  • Проблемы DMARC в государственном секторе уникальны, включая децентрализованный контроль и зависимость от поставщиков, что делает внедрение более сложным.
  • Плохое внедрение несет в себе риски национального масштаба. Поддельные правительственные электронные письма могут привести к дезинформации, общественной панике и потере доверия среди граждан.
  • Лучше всего работает поэтапный, централизованно координируемый подход. Начните с доменов с высокой степенью воздействия, контролируйте их и переходите к полному внедрению, обеспечивая надлежащую видимость и управление.
  • PowerDMARC упрощает внедрение DMARC в правительстве. От унифицированных информационных панелей до отслеживания соблюдения требований, он позволяет агентствам безопасно, быстро и прозрачно добиваться соблюдения требований.

Как граждане, когда мы получаем электронное письмо от правительства государства, наш первый инстинкт - принять меры. Предупреждения о стихийных бедствиях, налоговые уведомления и подтверждения записи на прием к врачу - вот лишь несколько примеров правительственных уведомлений, которые привлекают наше внимание. А теперь представьте себе фишинговую кампанию, которая подделывает эти сообщения. Это может вызвать серьезную общенациональную панику и хаос! Именно для этого DMARC (Domain-based Message Authentication, Reporting & Conformance - аутентификация, отчетность и соответствие на основе домена).

Это руководство рассказывает государственным учреждениям о том, почему безопасность электронной почты имеет значение, о потенциальных рисках, связанных со слабым внедрением DMARC в государственных учреждениях. 

Почему безопасность электронной почты имеет решающее значение для государственных учреждений

В отличие от частных компаний, правительства:

  • Владейте "универсальными доменами доверия". Граждане могут проигнорировать подозрительно выглядящее электронное письмо, но обычно они не станут игнорировать сообщение с правительственного домена.
  • Масштабные операции. Одно поддельное медицинское предупреждение или предупреждение о налогах может затронуть миллионы людей за один день.
  • Имеют геополитический вес. Поддельные правительственные сообщения могут быть использованы злоумышленниками для распространения дезинформации или даже для имитации поддельных кризисных инструкций.
  • Влияние на критически важные службы. В таких сферах, как здравоохранение, налогообложение, оборона, иммиграция или ликвидация последствий стихийных бедствий, одно вредоносное электронное письмо может нарушить стабильность страны.

Правительственные адреса электронной почты имеют вес. Граждане, предприятия и другие государственные органы воспринимают сообщения с доменов .gov, .gov.uk, .eu и подобных им как авторитетные. Это делает их ценными целями для злоумышленников, которые выдают себя за официальных отправителей:

  • Кража конфиденциальных данных граждан 
  • Обманом заставляют сотрудников переводить деньги или раскрывать учетные данные.
  • Распространять дезинформацию, которая наносит ущерб общественной безопасности или приводит к потере доверия

Одно успешное поддельное сообщение может вызвать цепную реакцию, например, замешательство в чрезвычайных ситуациях, кражу личных данных, мошенничество и репутационный ущерб. DMARC, используемый вместе с SPF и DKIMпозволяет получателям проверить, действительно ли письмо, выдаваемое за официальное, пришло от авторизованного отправителя, и указывает почтовым серверам, как обрабатывать сообщения, не прошедшие проверку. Это снижает влияние атак на выдачу себя за другого.

Риски плохого внедрения DMARC в правительстве

Когда государственные учреждения не имеют политики DMARC или неправильно настраивают DMARC, последствия могут быть следующими:

  • Фишинг и мошенничество: Злоумышленники могут убедить получателей в том, что вредоносное письмо является легитимным, что увеличивает количество переходов и краж учетных данных.
  • Нарушение операционной деятельности: Мошеннические электронные письма могут спровоцировать сбой в работе служб экстренной помощи, налоговых и льготных служб, а также большое количество обращений в службу поддержки.
  • Потеря доверия среди граждан: Повторяющиеся подмены заставляют граждан постепенно терять доверие к официальным сообщениям, что влечет за собой дорогостоящие и долгосрочные последствия.
  • Нормативно-правовое воздействие: Многие государственные домены теперь обязаны внедрять политику безопасной электронной почты. Неспособность обеспечить соблюдение DMARC может привести к несоблюдению требований.
  • Оружейная дезинформация: Злоумышленники подделывают правительственные оповещения во время стихийных бедствий, пандемий или выборов, создавая хаос, который быстро распространяется.
  • Экономические последствия: Фальшивые налоговые требования или поддельные государственные счета могут нанести финансовый ущерб в разных отраслях.
  • Международные риски: Многие правительственные учреждения взаимодействуют на международном уровне. Скомпрометированный правительственный домен может подорвать доверие к внешним связям или мировой торговле.

Правительственные требования и рекомендации DMARC

В разных странах были приняты различные мандаты или четкие рекомендации по аутентификации электронной почты в государственном секторе. Ниже приведены несколько ярких примеров: 

  • Соединенные Штаты: Обязательная оперативная директива МНБ (BOD) 18-01 предписывает гражданским федеральным агентствам внедрить SPF, DKIM и DMARC и использовать агрегированную отчетность.
  • Великобритания: В 2016 году правительство Великобритании сделало новаторский шаг, введя обязательную политику p=reject DMARC во всех своих доменах для борьбы с угрозами самозванства. Тем не менее, с NCSC прекратила выпуск сводных отчетов Mail Check в марте 2025 года, агентства лишились критически важного уровня понимания активности аутентификации электронной почты, что увеличивает риск необнаружения неправильных конфигураций или проблем с доставкой.
  • Германия: Начиная с июня 2018 года, Германия предприняла активные шаги для ограничения распространения вредоносного ПО и спама, призвав интернет-провайдеров принять SPF, DKIM и DMARC - основополагающие стандарты аутентификации электронной почты, предназначенные для проверки легитимности отправителя и повышения доверия к цифровой коммуникации.
  • Новая Зеландия: В Новой Зеландии Безопасная правительственная электронная почта (SGE) Framework, все правительственные домены, использующие электронную почту, должны принять политику DMARC p=reject, внедрить SPF с жестким отказом (-all) и обеспечить подписание DKIM на всю исходящую почту.
  • Нидерланды: Голландцы Forum Standaardisatie (Форум стандартизации) сделал DMARC частью "открытых стандартов" и включил его в список "Pas toe of leg uit" ("соблюдай или объясни"). Согласно "Совместному заявлению об амбициях" и связанным с ним соглашениям, все правительственные организации Нидерландов должны были внедрить антифишинговые стандарты электронной почты (SPF, DKIM, DMARC) и стандарты безопасности электронной почты (такие как STARTTLS и DANE) к концу 2019 года.

Кроме того, некоторые отрасли, включая финансы и здравоохранение, все чаще используют DMARC или аутентификацию электронной почты в качестве базового уровня безопасности. 

Как настроить DMARC для государственных и общественных доменов 

Ниже приведен простой пошаговый подход к реализации DMARC для правительственного домена. Вы можете заменить имена доменов и адреса, где это необходимо.

Set-Up-DMARC-for-Government-and-Public-Sector-Domains

1. Инвентаризация: составить карту каждого отправителя

  • Составьте список всех служб, включая поставщиков облачных вычислений и сторонних отправителей, которые используют ваш домен или поддомены.
  • Запишите IP-адреса и источники подписи DKIM.

2. Обеспечение базовой линии SPF и DKIM

  • Публикуйте точную SPF-запись, в которой перечислены только авторизованные отправляющие IP-адреса/сервисы и исключены избыточные включения.
  • Убедитесь, что для исходящих сообщений электронной почты включена подпись DKIM; публикуйте открытые ключи DKIM (DNS TXT) и периодически меняйте ключи для повышения безопасности.
  • Проверьте SPF/DKIM для каждого источника с помощью нашего программа проверки SPF и программа проверки DKIM инструменты.

3. Публикация контролируемой записи DMARC

Начните с мониторинга, чтобы вы могли безопасно собирать отчеты:

Имя: _dmarc.example.gov

Тип: TXT

Value: "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s; fo=1"

  • p=none собирает отчеты, не влияя на доставку.
  • Используйте rua для получения сводных XML-отчетов и ruf для получения информации о сбоях (предварительно проверьте юридическую политику).
  • Используйте adkim=s и aspf=s для строгого выравнивания в чувствительных средах (на начальном этапе это необязательно).

4. Сбор и анализ отчетов

  • Централизация сводных отчетов (rua) в управляемую приборную панель для разбора отчетов, такую как наш анализатор отчетов DMARC. Отчеты показывают, с каких IP-адресов отправляется почта, количество проходов/провалов и сбои в выравнивании.
  • Определите категории легитимных отправителей и неавторизованных источников и соответствующим образом обновите SPF. При проблемах с пересылаемой почтой используйте DKIM, авторизуйте серверы пересылки или настройте ARC на сохранение заголовков аутентификации.

5. Переходить к принудительному исполнению постепенно

  • Переход на p=карантин для подмножества доменов.
  • Отслеживайте показатели отказов/жалоб и доставляемость.
  • Если вы уверены, переходите к p=reject при pct=100. Продолжайте строго следить за исполнением.

Пример:

Первоначальная запись: v=DMARC1; p=карантин; pct=50; rua=mailto:[email protected]; adkim=s; aspf=s

Обновленная запись: v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; adkim=s; aspf=s

Общие проблемы и способы их решения

  1. Вера в то, что p=none защищает от подмены: Режим мониторинга (p=none) только собирает данные и не предотвращает спуфинг. Вы должны четко спланировать путь и сроки перехода к режимам p=quarantine и p=reject.
  2. Устаревший инвентарь: Недокументированные сторонние отправители вызывают сбои при применении политик. Чтобы решить эту проблему, убедитесь, что сторонние отправители авторизованы в вашей записи SPF, и обновляйте запись каждый раз, когда добавляете нового отправителя.
  3. Несколько записей DMARC/SPF: Публикация более одной записи DMARC или SPF для домена нарушает аутентификацию. Всегда следите за тем, чтобы на каждый домен-отправитель приходилась ровно одна запись.
  4. Превышена длина SPF-записей / DNS-поиска: SPF имеет ограничения на поиск (10 механизмов, вызывающих поиск DNS). Чтобы не превысить лимит, вы можете использовать наш Инструмент сглаживания SPF или Макросы SPF оптимизация.
  5. Переадресация нарушает SPF: Переадресация почты может привести к сбою SPF даже для легитимных писем. Лучше полагаться на DKIM, где это возможно, и использовать ARC для сохранения оригинальных заголовков аутентификации.
  6. Экспертные отчеты и вопросы конфиденциальности/правовые аспекты: В некоторых случаях криминалистические отчеты могут содержать конфиденциальные данные и содержимое электронной почты. Мы рекомендуем вам проконсультироваться с юридическим отделом перед включением ruf и использовать сервисы, предлагающие шифрование криминалистических отчетов, такие как PowerDMARC.
  7. Неправильная интерпретация сводных отчетов: Агрегатные отчеты в формате XML не дружелюбны к человеку и могут быть сложными для нетехнического читателя. Гораздо удобнее использовать автоматические парсеры или панель управления DMARC для перевода отчетов в удобочитаемый формат.

Как PowerDMARC помогает государственным учреждениям

Государственные учреждения часто предпочитают работать с надежным партнером, чтобы ускорить развертывание DMARC и при этом не нарушить требования законодательства. PowerDMARC предлагает следующие удобные для государственного сектора возможности:

  • Автоматизированный разбор отчетов: Ваши сводные и криминалистические отчеты автоматически анализируются и представляются в виде красочных, удобных для навигации приборных панелей с четкими фильтрами.
  • Развертывание SPF и DKIM: Мы предлагаем размещенные инструменты и услуги для упрощения и оптимизации SPF-записей и управления ротацией ключей DKIM.
  • Оповещения и оперативная поддержка: Наша платформа поддерживает оповещения в режиме реального времени о всплесках спуфинга, новых неавторизованных отправителях или проблемах с доставкой, а команда поддержки поможет быстро исправить ситуацию.
  • Мгновенные проверки на соответствие: Вы можете выполнять быстрый анализ состояния домена и проверку соответствия требованиям для мгновенного мониторинга общего уровня безопасности электронной почты.

PowerDMARC также является поставщиком, сертифицированным по стандартам SOC2 Type 2, SOC3, ISO 27001 и GDPR. 

SOC2-Type-2-SOC3-ISO-27001-Certified-GDPR

Заключительные слова

Для правительственных агентств DMARC - это не просто пункт действий. Он требует постоянного управления и мониторинга. В результате сократится количество фишинговых атак, выдающих себя за официальные каналы, снизится нагрузка на службу поддержки, повысится доверие граждан и улучшится соответствие нормативным требованиям.

Если вашему агентству нужна помощь, чтобы проанализировать десятки тысяч сводных отчетов, обнаружить неизвестных отправителей или безопасно связаться с правоохранительными органами, свяжитесь с PowerDMARC уже сегодня!

Последние сообщения Ахона Рудра (см. все)
Последнее обновление:
Месяц осведомленности о кибербезопасностиCyber-Security-Awareness-Month-Что такое кибергигиена? Важность, практика и преимущества