В этой статье подробно рассказывается о том, что такое переопределение политики DMARC, как оно работает, в чем разница между переопределением политики DMARC и отказом политики DMARC, а также о том, является ли переопределение записей DMARC законным или нет.
Отмена политики DMARC: Объяснение
Переопределение политики DMARC происходит, когда принимающий почтовый сервер переопределяет DMARC запись, установленную отправителем. Это происходит, когда отправитель указывает, что он хочет, чтобы его письмо было отклонено, если оно не соответствует политике сервера входящей почты, но принимающий сервер электронной почты решает, что оно не подходит для его собственного набора политик.
Например, если отправитель указал строгую политику (например, "p=отклонять всю почту без SPF или DKIM"), а принимающий почтовый сервер имеет смягченную или свободную политику (например, "принимать всю почту без SPF или DKIM"). В этой ситуации сервер-получатель может отменить DMARC-политику отправителя своей собственной локальной политикой и доставить сообщение в почтовый ящик получателя, даже если оно не прошло проверку DMARC.
Понимание механизма отмены политики DMARC
DMARC используется для передачи параметров политики, которые получатели электронной почты могут использовать для защиты от писем, отправленных из вашего домена.
Например, вы можете использовать политику DMARC, чтобы указать почтовому серверу получателя, что он должен делать (p=отклонить или p=нет или p=карантин), если проверка SPF или DKIM не прошла в письмах, отправленных с вашего домена.
Это практически полностью исчерпывает возможности DMARC, верно?
Но что если принимающий почтовый сервер имеет свой собственный набор локальных политик для обработки получаемых писем? Будет ли он соблюдать политики DMARC, установленные отправителем, ИЛИ он отменит политики отправителя своими собственными локальными политиками?
Ну...
Спецификация DMARC требует от получателей почты добросовестных усилий по соблюдению опубликованных политик DMARC владельцев доменов. Таким образом, если проверка заголовков SPF, DKIM и From отправителя не сработала в сообщении, это должно привести к тому, что указано в политике DMARC отправителя (p), например, карантин, отклонение или NONE.
Теперь предположим, что ситуация такова:
➜ Ваш домен (mypersonaldomain.org) имеет политику DMARC (p=none).
➜ Почтовый сервер получателя (theirdomain.org) отклоняет всю почту, не прошедшую проверку SPF. Это означает, что если письмо, отправленное на адрес (theirdomain.org), не пройдет проверку SPF, то оно будет отклонено. Верно?
Но...
Что произойдет, если письмо из вашего домена (mypersonaldomain.org) с политикой DMARC p=none будет получено на somedomain.org и не пройдет проверку SPF?
В этом случае от принимающего почтового сервера (как он настроен) будет зависеть, согласится ли он с политикой DMARC, установленной отправителем, или отклонит письмо, переопределив политику отправителя с помощью правил, определенных в его локальной политике p=reject on SPF check failure.
Microsoft 365 является примером этого в реальном времени, поскольку он отправляет все письма с p=reject в папку нежелательной почты/спама пользователя вместо того, чтобы отклонить их. Это происходит потому, что O365 считает, что получатель должен сам принимать окончательное решение об окончательной утилизации.
Пять значений переопределения политики DMARC
пересылка - Письмо, вероятно, было переслано, на основе локальных алгоритмов, определяющих шаблоны пересылки. Можно ожидать, что аутентификация не пройдет.
локальная_политика - локальная политика почтового приемника освобождает письмо от действия, запрошенного владельцем домена. Например, если запрашиваемая политика установлена на "отклонить", но проверка ARC прошла, получатель почты может отменить это решение и выбрать не отклонять письмо.
| Что такое ARC?
ARC означает Аутентифицированная полученная цепочка (ARC). Благодаря ARC протоколы DKIM и SPF электронного письма больше не будут нарушаться пересылкой или списками рассылки. Это происходит потому, что ARC сохраняет результаты аутентификации электронной почты через маршрутизаторы, посредников и другие системы ("скачки"), которые могут изменять сообщение при его передаче от одного узла в Интернете к другому. Таким образом, если присутствует цепочка ARC, принимающий почтовый сервер, который в противном случае отбросил бы сообщения, может решить оценить результаты тестирования и сделать исключение, позволив легитимным сообщениям из этих непрямых почтовых потоков достичь своих мест назначения. |
список_рассылки - Письмо было отправлено из списка рассылки, поэтому программа фильтрации решила, что оно, вероятно, не является легитимным.
sampled_out - Сообщение не относится к политике, поскольку в DMARC-записи установлен параметр "pct".
trusted_forwarder - Сбой был предвиден благодаря доказательствам, которые связывали электронное письмо с локально поддерживаемым списком доверенных пересыльщиков.
другие - Некоторые политики содержат исключения, которые не были учтены в других позициях списка.
Переопределение политики DMARC: Допустимо ли это?
Раздел 6 RFC 7489 гласит, что почтовые серверы должны соблюдать и обрабатывать сообщения в соответствии с политикой отправителя. Хотя переопределение противоречит духу DMARC, поставщики почтовых ящиков оставляют за собой право переопределять политику любого отправителя. Поэтому да, серверу-получателю разрешается отменять политику DMARC своей локальной политикой.
Это означает, что сервер электронной почты может доставить поддельное сообщение, даже если политика, которой он должен следовать, говорит об обратном.
Должны ли вы отправлять отчеты о переопределении политики DMARC?
Переопределение политики DMARC в основном происходит, когда:
- эвристика получателя определяет сообщение, которое не прошло аутентификацию, но могло быть отправлено авторизованным источником.
- у провайдера почтовых ящиков есть сообщение, которое не прошло DMARC из-за переадресация почты но они достаточно уверены в его легитимности, они могут отменить политику и доставить его в любом случае.
Хотя переопределение политики DMARC допустимо, разделы 6 и 7.2 RFC 7489 гласят, что если получатель решает отклониться от опубликованной политики владельца домена, он должен сообщить об этом факте, а также о причинах, побудивших его сделать это (с использованием формата отчетности о совокупной обратной связи), владельцу домена.
Как допускается переопределение политики DMARC?
DMARC состоит из двух частей:
Политика DMARC - Она устанавливается организацией-отправителем (на публичном DNS организации-отправителя наряду с SPF и DKIM) и определяет, как принимающая сторона должна обрабатывать сообщения, которые не соответствуют ее политике.
DMARC Verification - Она используется организацией-получателем (на шлюзе безопасности электронной почты организации-получателя) и проверяет каждое сообщение, полученное от конкретной организации, на соответствие политикам, перечисленным в DMARC-записях этой компании. Однако возможность отменить применение политики DMARC организацией-отправителем существует и для организаций-получателей.
Настройка политика DMARC это "ПРОСЬБА, А НЕ ОБЯЗАННОСТЬ": по сути это означает, что вы "запрашиваете почтовые серверы указать, как они должны обрабатывать почтовые сообщения, отправленные с вашего домена или выдающие себя за него.
Однако получатели электронной почты не обязаны следовать строгому набору рекомендаций при обработке входящей электронной почты. Они могут разработать свою политику в отношении сообщений, которые они принимают или отклоняют, и применять эти стандарты соответствующим образом.
Например, если получатель электронной почты считает сообщение действительным. Поэтому, если письмо не прошло проверку DMARC, получатель все равно может применить свою локальную политику и доставить его в почтовые ящики. Кроме того, политика получателя электронной почты может отменить политику владельца домена.
Как организация-получатель может отменить мою политику DMARC?
Другие организации могут переопределить вашу конфигурацию политики DMARC с помощью собственных инструментов проверки DMARC и определить свой собственный набор политик, как действовать в отношении входящих сообщений. В зависимости от системы, пользователь с правами администратора может иметь возможность переопределять все домены или только определенные.
Следует отметить, что политики DMARC устанавливаются владельцем домена, и каждая политика применяется только к доменам этой организации. Таким образом, политика DMARC не может повлиять на адреса других организаций или их сообщения.
Отказ политики DMARC в сравнении с отменой политики DMARC: В чем разница?
Сбой DMARC это когда почтовый сервер не реализует DMARC должным образом, что приводит к сбою проверки SPF и DKIM на стороне получателя. Неспособность проверить вашу легитимность может привести к тому, что почтовые ящики пометят вас как спам или отклонят ваши сообщения. В этом случае принимающий почтовый сервер соблюдает политику отправителя и не отменяет ее своей локальной политикой.
Переопределение политики DMARC происходит, когда принимающий почтовый сервер не соблюдает политику отправителя. Вместо этого он отменяет DMARC-политику отправителя своей локальной политикой. Это означает, что если сообщение отправителя имеет строгую политику p=reject без проверки SPF или DKIM, принимающий почтовый сервер отменит эту политику и все равно доставит сообщение в почтовый ящик.
Правильно отслеживайте переопределения политики DMARC с помощью PowerDMARC
Постоянное обновление данных о переопределении политики DMARC является важной частью предотвращения подделки электронной почты и выдачи себя за другого. Однако у большинства организаций нет времени или ресурсов для отслеживания отмены политик DMARC.
Вы не можете остановить отмену политики DMARC, но вы можете отслеживать ее с помощью нашей службы DMARC. Мы предоставим вам полные отчеты о том, какие организации отменяют режим вашей политики и какие сообщения от каких организаций и какие письма были разрешены на стороне получателя. Это поможет отправителю отслеживать и принимать необходимые меры в случае обнаружения подделки или самозванства.
Запишитесь на наш Бесплатная пробная версия DMARC сегодня и проверьте это сами!
- SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.
- ФТК сообщает, что электронная почта является популярным средством мошенничества, выдающего себя за человека - 16 апреля 2024 г.
- SubdoMailing и рост фишинга на субдоменах - 18 марта 2024 г.