Отмена политики DMARC: Объяснение

В этой статье подробно объясняется, что такое переопределение политики DMARC, как оно работает, в чем разница между переопределением политики DMARC и сбоем политики DMARC, а также законно ли переопределение записей DMARC или нет.

Отмена политики DMARC: Объяснение

Переопределение политики DMARC происходит, когда принимающий почтовый сервер переопределяет DMARC запись, установленную отправителем. Это происходит, когда отправитель указывает, что он хочет, чтобы его письмо было отклонено, если оно не соответствует политике сервера входящей почты, но принимающий сервер электронной почты решает, что оно не подходит для его собственного набора политик.

Например, если отправитель указал строгую политику (например, "p=отклонять всю почту без SPF или DKIM"), а принимающий почтовый сервер имеет смягченную или свободную политику (например, "принимать всю почту без SPF или DKIM"). В этой ситуации сервер-получатель может отменить DMARC-политику отправителя своей собственной локальной политикой и доставить сообщение в почтовый ящик получателя, даже если оно не прошло проверку DMARC.

Понимание механизма отмены политики DMARC

DMARC используется для передачи параметров политики, которые получатели электронной почты могут использовать для защиты от писем, отправленных из вашего домена.

Например, вы можете использовать политику DMARC, чтобы указать почтовому серверу получателя, что он должен делать (p=отклонить или p=нет или p=карантин), если проверка SPF или DKIM не прошла в письмах, отправленных с вашего домена.

Это практически полностью исчерпывает возможности DMARC, верно?

Но что если принимающий почтовый сервер имеет свой собственный набор локальных политик для обработки получаемых писем? Будет ли он соблюдать политики DMARC, установленные отправителем, ИЛИ он отменит политики отправителя своими собственными локальными политиками?

Ну...

Спецификация DMARC требует от получателей почты добросовестных усилий по соблюдению опубликованных политик DMARC владельцев доменов. Таким образом, если проверка заголовков SPF, DKIM и From отправителя не сработала в сообщении, это должно привести к тому, что указано в политике DMARC отправителя (p), например, карантин, отклонение или NONE.

Теперь предположим, что ситуация такова:

➜ Ваш домен (mypersonaldomain.org) имеет политику DMARC (p=none).

➜ Сервер электронной почты получателя (theirdomain.org) отклоняет всю почту, которая не прошла проверку SPF. Это означает, что если письмо, отправленное на (theirdomain.org), не прошло проверку SPF, оно будет отклонено. Верно?

Но...

Что произойдет, если письмо из вашего домена (mypersonaldomain.org) с политикой DMARC p=none будет получено на somedomain.org и не пройдет проверку SPF?

В этом случае от принимающего почтового сервера (как он настроен) будет зависеть, согласится ли он с политикой DMARC, установленной отправителем, или отклонит письмо, переопределив политику отправителя с помощью правил, определенных в его локальной политике p=reject on SPF check failure.

Microsoft 365 является примером этого в реальном времени, поскольку он отправляет все письма с p=reject в папку нежелательной почты/спама пользователя вместо того, чтобы отклонить их. Это происходит потому, что O365 считает, что получатель должен сам принимать окончательное решение об окончательной утилизации.

Пять значений переопределения политики DMARC

пересылка - Письмо, вероятно, было переслано, на основе локальных алгоритмов, определяющих шаблоны пересылки. Можно ожидать, что аутентификация не пройдет.

локальная_политика - локальная политика почтового приемника освобождает письмо от действия, запрошенного владельцем домена. Например, если запрашиваемая политика установлена на "отклонить", но проверка ARC прошла, получатель почты может отменить это решение и выбрать не отклонять письмо.

список_рассылки - Письмо было отправлено из списка рассылки, поэтому программа фильтрации решила, что оно, вероятно, не является легитимным.

sampled_out - Сообщение не было применено к политике, поскольку его параметр "pct" был установлен в записи DMARC.

trusted_forwarder - Сбой был предвиден благодаря доказательствам, которые связывали электронное письмо с локально поддерживаемым списком доверенных пересыльщиков.

другие - Некоторые политики содержат исключения, которые не были учтены в других позициях списка.

Переопределение политики DMARC: Допустимо ли это?

Раздел 6 RFC 7489 гласит, что почтовые серверы должны соблюдать и обрабатывать сообщения в соответствии с политикой отправителя. Хотя переопределение противоречит духу DMARC, поставщики почтовых ящиков оставляют за собой право переопределять политику любого отправителя. Поэтому да, серверу-получателю разрешается отменять политику DMARC своей локальной политикой.

Это означает, что сервер электронной почты может доставить поддельное сообщение, даже если политика, которой он должен следовать, говорит об обратном.

Должны ли вы отправлять отчеты о переопределении политики DMARC?

Переопределение политики DMARC в основном происходит, когда:

• эвристика получателя определяет сообщение, которое не прошло аутентификацию, но могло быть отправлено авторизованным источником.
• у провайдера почтовых ящиков есть сообщение, которое не прошло DMARC из-за переадресация почты но они достаточно уверены в его легитимности, они могут отменить политику и доставить его в любом случае.

Хотя переопределение политики DMARC допустимо, разделы 6 и 7.2 RFC 7489 гласят, что если получатель решает отклониться от опубликованной политики владельца домена, он должен сообщить об этом факте, а также о причинах, побудивших его сделать это (с использованием формата отчетности о совокупной обратной связи), владельцу домена.

Как допускается переопределение политики DMARC?

DMARC состоит из двух частей:

Политика DMARC - Она устанавливается организацией-отправителем (на публичном DNS организации-отправителя наряду с SPF и DKIM) и определяет, как принимающая сторона должна обрабатывать сообщения, которые не соответствуют ее политике.

Проверка DMARC - Используется принимающей организацией (на шлюзе безопасности электронной почты принимающей организации) и проверяет каждое сообщение, полученное от конкретной организации, на соответствие политикам, перечисленным в записях DMARC этой компании. Однако возможность переопределения применения политики DMARC организацией-отправителем справедлива и для организаций-получателей.

Настройка политика DMARC это "ПРОСЬБА, А НЕ ОБЯЗАННОСТЬ": по сути это означает, что вы "запрашиваете почтовые серверы указать, как они должны обрабатывать почтовые сообщения, отправленные с вашего домена или выдающие себя за него.

Однако получатели электронной почты не обязаны следовать строгому набору рекомендаций при обработке входящей электронной почты. Они могут разработать свою политику в отношении сообщений, которые они принимают или отклоняют, и применять эти стандарты соответствующим образом.

Например, если получатель электронной почты считает сообщение действительным. Поэтому, если письмо не прошло проверку DMARC, получатель все равно может применить свою локальную политику и доставить его в почтовые ящики. Кроме того, политика получателя электронной почты может отменить политику владельца домена.

Как организация-получатель может отменить мою политику DMARC?

Другие организации могут переопределить вашу конфигурацию политики DMARC с помощью собственных инструментов проверки DMARC и определить свой собственный набор политик, как действовать в отношении входящих сообщений. В зависимости от системы, пользователь с правами администратора может иметь возможность переопределять все домены или только определенные.

Следует отметить, что политики DMARC устанавливаются владельцем домена, и каждая политика применяется только к доменам этой организации. Таким образом, политика DMARC не может повлиять на адреса других организаций или их сообщения.

Отказ политики DMARC в сравнении с отменой политики DMARC: В чем разница?

Сбой DMARC это когда почтовый сервер не реализует DMARC должным образом, что приводит к сбою проверки SPF и DKIM на стороне получателя. Неспособность проверить вашу легитимность может привести к тому, что почтовые ящики пометят вас как спам или отклонят ваши сообщения. В этом случае принимающий почтовый сервер соблюдает политику отправителя и не отменяет ее своей локальной политикой.

Переопределение политики DMARC происходит, когда принимающий почтовый сервер не соблюдает политику отправителя. Вместо этого он отменяет DMARC-политику отправителя своей локальной политикой. Это означает, что если сообщение отправителя имеет строгую политику p=reject без проверки SPF или DKIM, принимающий почтовый сервер отменит эту политику и все равно доставит сообщение в почтовый ящик.

Правильно отслеживайте переопределения политики DMARC с помощью PowerDMARC

Постоянное обновление данных о переопределении политики DMARC является важной частью предотвращения подделки электронной почты и выдачи себя за другого. Однако у большинства организаций нет времени или ресурсов для отслеживания отмены политик DMARC.

Вы не можете остановить переопределения политики DMARC, но вы можете отслеживать их с помощью нашей службы DMARC. Мы предоставим вам полные отчеты о том, какие организации отменяют режим вашей политики и сообщения какого типа и какие электронные письма были разрешены на стороне получателя. Это поможет отправителю отслеживать и принимать необходимые меры в случае обнаружения спуфинга или самозванства.

Запишитесь на наш Бесплатная пробная версия DMARC сегодня и проверьте это сами!

• О сайте
• Последние сообщения

Ахона Рудра

Менеджер по цифровому маркетингу и написанию контента в PowerDMARC

Ахона работает менеджером по цифровому маркетингу и контент-писателем в PowerDMARC. Она страстный писатель, блогер и специалист по маркетингу в области кибербезопасности и информационных технологий.

Последние сообщения Ахона Рудра (см. все)

• Как исправить "DNS-запись типа 99 (SPF) была устаревшей"? - 9 марта 2023 г.
• SPF DKIM DMARC: основополагающие элементы аутентификации электронной почты - 9 марта 2023 года
• Что такое атака грубой силы и как она работает? - 9 марта 2023 года