Отмена политики DMARC: Объяснение
Время чтения: 7 мин
В этой статье подробно рассказывается о том, что такое переопределение политики DMARC, как оно работает, в чем разница между переопределением политики DMARC и отказом политики DMARC, а также о том, является ли переопределение записей DMARC законным или нет.
Ключевые выводы
- Переопределение политики DMARC происходит, когда принимающий почтовый сервер не соблюдает указанные политики DMARC отправителя.
- Получающий почтовый сервер может иметь свои собственные политики, которые могут привести к отмене более строгих настроек DMARC отправителя.
- Спецификация DMARC поощряет получателей почты соблюдать политики DMARC владельца домена в меру своих возможностей.
- Переопределения допустимы в соответствии с RFC 7489, но они противоречат духу DMARC.
- Отправителям важно отслеживать отмену политики DMARC, чтобы предотвратить подмену почты и обеспечить безопасность.
Отмена политики DMARC: Объяснение
Переопределение политики DMARC происходит, когда принимающий почтовый сервер переопределяет DMARC запись, установленную отправителем. Это происходит, когда отправитель указывает, что он хочет, чтобы его письмо было отклонено, если оно не соответствует политике сервера входящей почты, но принимающий сервер электронной почты решает, что оно не подходит для его собственного набора политик.
Например, если отправитель указал строгую политику (например, "p=reject all mail without SPF or DKIM"), а получающий почтовый сервер имеет смягченную или свободную политику (например, "accept all mail without SPF or DKIM"). В такой ситуации сервер-получатель может отменить DMARC-политику отправителя своей собственной локальной политикой и доставить сообщение в почтовый ящик получателя, даже если оно не прошло DMARC-проверку.
Упростите политику DMARC с помощью PowerDMARC!
Понимание механизма отмены политики DMARC
DMARC используется для передачи параметров политики, которые получатели электронной почты могут использовать для защиты от писем, отправленных из вашего домена.
Например, вы можете использовать политику DMARC, чтобы указать почтовому серверу получателя, что он должен делать (p=reject или p=none или p=quarantine), если проверка SPF или DKIM не проходит в письмах, отправленных с вашего домена.
Это практически полностью исчерпывает возможности DMARC, верно?
Но что если принимающий почтовый сервер имеет свой собственный набор локальных политик для обработки получаемых писем? Будет ли он соблюдать политики DMARC, установленные отправителем, ИЛИ он отменит политики отправителя своими собственными локальными политиками?
Ну...
Спецификация DMARC требует от получателей почты добросовестных усилий по соблюдению опубликованных политик DMARC владельцев доменов. Таким образом, если проверка заголовков SPF, DKIM и From отправителя не сработала в сообщении, это должно привести к тому, что указано в политике DMARC отправителя (p), например, карантин, отклонение или NONE.
Теперь предположим, что ситуация такова:
➜ Ваш домен (mypersonaldomain.org) имеет политику DMARC (p=none).
➜ Почтовый сервер получателя (theirdomain.org) отклоняет всю почту, не прошедшую проверку SPF. Это означает, что если письмо, отправленное на адрес (theirdomain.org), не пройдет проверку SPF, то оно будет отклонено. Верно?
Но...
Что произойдет, если письмо из вашего домена (mypersonaldomain.org) с политикой DMARC p=none будет получено на somedomain.org и не пройдет проверку SPF?
В этом случае от принимающего почтового сервера (как он настроен) будет зависеть, согласится ли он с политикой DMARC, установленной отправителем, или отклонит письмо, переопределив политику отправителя с помощью правил, определенных в его локальной политике p=reject при отказе проверки SPF.
Microsoft 365 является примером этого в реальном времени, поскольку он отправляет все письма с p=reject в папку нежелательной почты/спама пользователя вместо того, чтобы отклонить их. Это происходит потому, что O365 считает, что получатель должен сам принимать окончательное решение об окончательной утилизации.
Пять значений переопределения политики DMARC
пересылка - Письмо, вероятно, было переслано, на основе локальных алгоритмов, определяющих шаблоны пересылки. Можно ожидать, что аутентификация не пройдет.
локальная_политика - локальная политика почтового приемника освобождает письмо от действия, запрошенного владельцем домена. Например, если запрашиваемая политика установлена на "отклонить", но проверка ARC прошла, получатель почты может отменить это решение и выбрать не отклонять письмо.
| Что такое ARC?
ARC означает Аутентифицированная полученная цепочка (ARC). Благодаря ARC протоколы DKIM и SPF электронного письма больше не будут нарушаться пересылкой или списками рассылки. Это происходит потому, что ARC сохраняет результаты аутентификации электронной почты через маршрутизаторы, посредников и другие системы ("скачки"), которые могут изменять сообщение при его передаче от одного узла в Интернете к другому. Таким образом, если присутствует цепочка ARC, принимающий почтовый сервер, который в противном случае отбросил бы сообщения, может решить оценить результаты тестирования и сделать исключение, позволив легитимным сообщениям из этих непрямых почтовых потоков достичь своих мест назначения. |
список_рассылки - Письмо было отправлено из списка рассылки, поэтому программа фильтрации решила, что оно, вероятно, не является легитимным.
sampled_out - Сообщение не было применено к политике, потому что его параметр "pct" был установлен в записи DMARC.
trusted_forwarder - Сбой был предвиден благодаря доказательствам, которые связывали электронное письмо с локально поддерживаемым списком доверенных пересыльщиков.
другие - Некоторые политики содержат исключения, которые не были учтены в других позициях списка.
Переопределение политики DMARC: Допустимо ли это?
Раздел 6 RFC 7489 гласит, что почтовые серверы должны соблюдать и обрабатывать сообщения в соответствии с политикой отправителя. Хотя переопределение противоречит духу DMARC, поставщики почтовых ящиков оставляют за собой право переопределять политику любого отправителя. Поэтому да, серверу-получателю разрешается отменять политику DMARC своей локальной политикой.
Это означает, что сервер электронной почты может доставить поддельное сообщение, даже если политика, которой он должен следовать, говорит об обратном.
Должны ли вы отправлять отчеты о переопределении политики DMARC?
Переопределение политики DMARC в основном происходит, когда:
- эвристика получателя определяет сообщение, которое не прошло аутентификацию, но могло быть отправлено авторизованным источником.
- у провайдера почтовых ящиков есть сообщение, которое не прошло DMARC из-за переадресация почты но они достаточно уверены в его легитимности, они могут отменить политику и доставить его в любом случае.
Хотя переопределение политики DMARC допустимо, разделы 6 и 7.2 RFC 7489 гласят, что если получатель решает отклониться от опубликованной политики владельца домена, он должен сообщить об этом факте, а также о причинах, побудивших его сделать это (с использованием формата отчетности о совокупной обратной связи), владельцу домена.
Как допускается переопределение политики DMARC?
DMARC состоит из двух частей:
Политика DMARC - Она устанавливается организацией-отправителем (на публичном DNS организации-отправителя наряду с SPF и DKIM) и определяет, как принимающая сторона должна обрабатывать сообщения, которые не соответствуют ее политике.
Проверка DMARC - Используется организацией-получателем (на шлюзе безопасности электронной почты организации-получателя) и проверяет каждое сообщение, полученное от определенной организации, на соответствие политикам, перечисленным в записях DMARC этой компании. Однако возможность переопределить применение политики DMARC организацией-отправителем справедлива и для организаций-получателей.
Настройка политика DMARC это "ПРОСЬБА, А НЕ ОБЯЗАННОСТЬ": по сути это означает, что вы "запрашиваете почтовые серверы указать, как они должны обрабатывать почтовые сообщения, отправленные с вашего домена или выдающие себя за него.
Однако получатели электронной почты не обязаны следовать строгому набору рекомендаций при обработке входящей электронной почты. Они могут разработать свою политику в отношении сообщений, которые они принимают или отклоняют, и применять эти стандарты соответствующим образом.
Например, если получатель электронной почты считает сообщение действительным. Поэтому, если письмо не прошло проверку DMARC, получатель все равно может применить свою локальную политику и доставить его в почтовые ящики. Кроме того, политика получателя электронной почты может отменить политику владельца домена.
Как организация-получатель может отменить мою политику DMARC?
Другие организации могут переопределить вашу конфигурацию политики DMARC с помощью собственных инструментов проверки DMARC и определить свой собственный набор политик, как действовать в отношении входящих сообщений. В зависимости от системы, пользователь с правами администратора может иметь возможность переопределять все домены или только определенные.
Следует отметить, что политики DMARC устанавливаются владельцем домена, и каждая политика применяется только к доменам этой организации. Таким образом, политика DMARC не может повлиять на адреса других организаций или их сообщения.
Отказ политики DMARC в сравнении с отменой политики DMARC: В чем разница?
Сбой DMARC это когда почтовый сервер не реализует DMARC должным образом, что приводит к сбою проверки SPF и DKIM на стороне получателя. Неспособность проверить вашу легитимность может привести к тому, что почтовые ящики пометят вас как спам или отклонят ваши сообщения. В этом случае принимающий почтовый сервер соблюдает политику отправителя и не отменяет ее своей локальной политикой.
Переопределение политики DMARC происходит, когда принимающий почтовый сервер не соблюдает политику отправителя. Вместо этого он отменяет DMARC-политику отправителя своей локальной политикой. Это означает, что если сообщение отправителя имеет строгую политику p=reject без проверки SPF или DKIM, принимающий почтовый сервер отменит эту политику и все равно доставит сообщение в почтовый ящик.
Правильно отслеживайте переопределения политики DMARC с помощью PowerDMARC
Постоянное обновление данных о переопределении политики DMARC является важной частью предотвращения подделки электронной почты и выдачи себя за другого. Однако у большинства организаций нет времени или ресурсов для отслеживания отмены политик DMARC.
Вы не можете остановить отмену политики DMARC, но вы можете отслеживать ее с помощью нашей службы DMARC. Мы предоставим вам полные отчеты о том, какие организации отменяют режим вашей политики и какие сообщения от каких организаций и какие письма были разрешены на стороне получателя. Это поможет отправителю отслеживать и принимать необходимые меры в случае обнаружения подделки или самозванства.
Запишитесь на наш Бесплатная пробная версия DMARC сегодня и проверьте это сами!
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Правила отправки массовых писем для Google, Yahoo, Microsoft и Apple iCloud Mail - 14 апреля 2025 г.
- Атаки на засолку электронной почты: Как скрытый текст обходит защиту - 26 февраля 2025 г.
- Выравнивание SPF: Что это такое и зачем вам это нужно? - 26 февраля 2025 г.
