Можно ли настроить DMARC без DKIM?
Время чтения: 7 мин
Ответ - да, вы можете настроить DMARC без DKIM.
Но стоит ли это делать?
В данной статье рассматривается этот вопрос. А также обсуждаются последствия настройки DMARC без DKIM.
Ключевые выводы
- DMARC может быть настроен без DKIM, но такая практика обычно не рекомендуется.
- Использование DMARC в сочетании с SPF и DKIM повышает эффективность доставки и подлинность электронной почты.
- Клиенты электронной почты часто помечают сообщения без DKIM как спам, что может нанести ущерб репутации отправителя.
- SPF и DKIM служат разным целям, что позволяет использовать их независимо или в паре, не полагаясь друг на друга.
- Настройка DMARC с DKIM поможет предотвратить ложные срабатывания и проблемы с доставкой почты, особенно при пересылке.
Понимание стандартов аутентификации DMARC
DMARC - это протокол, который позволяет проверять подлинность сообщений электронной почты из вашего домена. Он использует набор правил для определения того, является ли сообщение электронной почты легитимным.
SPF и DKIM - это два других протокола, которые используются для аутентификации в контексте DMARC.
SPF это аббревиатура от Sender Policy Framework - она определяет, как почтовые провайдеры могут проверять личность отправителей и блокировать спам-сообщения.
DKIM это аббревиатура DomainKeys Identified Mail - он работает путем шифрования сообщения во время его отправки, а затем с помощью криптографии с открытым ключом снова подписывает его, когда оно достигает сервера назначения.
DMARC, SPF и DKIM - в совокупности образуют три столпа аутентификации электронной почты. Они гарантируют, что ваши электронные письма не будут подделаны, подделаны или взломаны третьими лицами.
Упростите безопасность с помощью PowerDMARC!
Алгоритм оценки DMARC
Алгоритм оценки DMARC - это булево значение, которое учитывает результаты проверки подлинности SPF и DKIM. После этого он определяет, следует ли принять сообщение электронной почты как легитимное.
Результат зависит от двух возможных исходов:
1. Пройти: Письмо либо проходит обе проверки подлинности SPF и DKIM, либо только одну из них. Таким образом, оно считается чистым. И поэтому принимается принимающим сервером.
Чтобы представить алгоритм аутентификации "pass" в виде простых уравнений:
| Пропуск аутентификации DMARC = запись SPF с действительным выравниванием идентификатора SPF +/или запись DKIM с действительным выравниванием идентификатора DKIM |
ИЛИ (когда DKIM отсутствует)
| Пропуск DMARC-аутентификации = SPF-запись с действительным выравниванием SPF-идентификатора |
ИЛИ (когда SPF отсутствует)
| Пропуск аутентификации DMARC = запись DKIM с действительным выравниванием идентификатора DKIM |
2. Отказ: Сообщение не прошло обе проверки подлинности SPF и DKIM, что указывает на то, что оно либо неправильно оформлено, либо содержит вредоносное содержимое.
Можно ли настроить DMARC без DKIM?
DMARC проходит в трех следующих сценариях:
- есть оба действительных SPF и DKIM
- действительный SPF без DKIM есть
- действительный DKIM без SPF есть
Так что да, вы можете настроить DMARC без DKIM.
DMARC основан на SPF и DKIM для целей аутентификации, но это ортогональные технологии.
В общем смысле, SPF - это механизм "авторизации пути", то есть он разрешает IP-адресу отправлять сообщения от имени данного домена. DKIM, с другой стороны, является механизмом "целостности содержимого", что означает, что он гарантирует, что то, что вы отправляете, не изменится, когда оно достигнет сервера.
Это означает, что их эффективность не зависит друг от друга; они могут использоваться параллельно или даже независимо друг от друга.
Однако рекомендуется использовать SPF и DKIM вместе с DMARC, поскольку их совместная работа обеспечивает более надежную аутентификацию DMARC. DMARC без DKIM, хотя это и возможно, не рекомендуется.
Как почтовые клиенты относятся к письмам без DKIM?
Большинство почтовых клиентов рассматривают письма, не имеющие DKIM, как спам.
В некоторых случаях это может привести к тому, что сообщение будет отмечено почтовым сервером получателя и помечено как спам.
Некоторые поставщики услуг электронной почты могут также показывать получателям ваши сообщения как исходящие из другого домена, чем вы предполагали.
Например, в Outlook и Gmail ваше письмо без DKIM будет отображаться в папке входящих сообщений получателя с правильным адресом FROM, но будет "отправлено" или "через" кого-то другого.
Это может сбить с толку получателей и даже заставить их поверить, что кто-то другой отправил им сообщение вместо вас.
Пример №1 (Outlook)
Рис.1 Без DKIM: Outlook показывает адрес "sent by" в папке входящих сообщений получателя.
Рис.2 С DKIM: Outlook показывает только адрес FROM.
Пример №2 (Gmail)
Рис.3 Без DKIM: Gmail показывает адрес "via" в папке входящих сообщений получателя.
Рис.4 С DKIM: Gmail показывает только адрес FROM.
Однако если DKIM присутствует в вашей электронной почте, вышеупомянутые проблемы вряд ли возникнут. Сервер отправителя больше не отображается на экране клиента, поэтому меньше шансов попасть в папки спама или нежелательной почты. Единственная информация, которую они имеют, - это адрес FROM, что означает высокий коэффициент доверия для компаний-отправителей, которые ищут клиентов с помощью маркетинговых стратегий электронной почты.
Последствия настройки DMARC с DKIM и DMARC без DKIM
Настройка DMARC с DKIM поможет предотвратить пометку ваших сообщений электронной почты спам-фильтрами и их блокировку.
Однако настройка DMARC без DKIM может привести к увеличению числа ложных срабатываний, а также к задержкам при попытке получателя проверить адрес электронной почты отправителя.
В этом разделе мы рассмотрим некоторые возможные последствия настройки DMARC с DKIM и DMARC без DKIM.
1. При проверке доверия к электронной почте
При использовании подхода, основанного только на SPF, защита DMARC будет ограничена невидимыми адресами "отправителя конверта" (MAIL FROM или Return-path). Они используются для получения отказов (сообщений о недоставке) от отправителей.
Однако, когда DKIM сочетается с SPF, защита DMARC включается для адреса "заголовок From:", а также для тех адресов, которые видны получателям. Таким образом, обеспечивается большее доверие к электронной почте, чем при использовании DMARC только с SPF.
2. При пересылке электронных писем
SPF-аутентификация работает путем отправки электронного письма, содержащего вашу SPF-запись (IP-адрес сервера, с которого вы хотите отправлять электронную почту), на другой сервер. Затем другой сервер проверяет, зарегистрирован ли этот IP-адрес у него, и возвращает свою собственную SPF-запись - если у него ее нет, он отклоняет запрос.
Теперь в случае пересылки электронной почты проверка подлинности SPF может не сработать, поскольку нет никаких гарантий, что IP-адрес промежуточного сервера находится в списке SPF для домена-отправителя. В результате этого легитимное электронное письмо без подпись DKIM не пройдет проверку подлинности DMARC, что приведет к ложному отрицательному результату.
Если бы DKIM был настроен на этом домене, ложноотрицательный результат не возник бы.
Но почему?
Подпись DKIM (d=) прикрепляется к самому телу письма, тогда как SPF прикрепляется к заголовку 'Return-Path'.
В случае пересылки электронной почты тело письма не трогается и не изменяется, поэтому подпись DKIM (d=), содержащаяся в теле письма, остается нетронутой. Это означает, что личность отправителя может быть проверена с помощью пары открытого и закрытого ключей, включенных в тело письма, и аутентификация DMARC будет пройдена.
SPF, с другой стороны, прикрепляется к заголовку 'Return-Path', который изменяется в случае пересылки электронной почты. Поэтому его достоверность не проверяется, что приводит к ложному отрицательному результату.
В заключение отметим, что аутентификация SPF не срабатывает из-за пересылки почты, но DKIM выдерживает пересылку, поскольку прикрепляется к телу письма. Поэтому важно настроить DMARC с DKIM.
3. При обновлении IP-адреса
Когда вы отправляете электронное сообщение, принимающий сервер проверяет заголовок письма на предмет подделки. Если это так, то принимающий сервер отклоняет ваше сообщение и отправляет вам уведомление.
Именно здесь вступает в действие SPF. SPF проверяет, что ваш IP-адрес указан как действительный в SPF-записи сервера-отправителя (другими словами, что нет поддельных IP-адресов).
Если ваш IP-адрес меняется, то запись SPF необходимо обновить с учетом нового адреса. Время, которое это займет, зависит от того, как часто вы меняете свой IP-адрес - в большинстве случаев требуется до 48 часов, чтобы новая запись SPF вступила в силу.
Что же произойдет, если ваш почтовый провайдер добавит новый IP в свой диапазон? В этом случае доставка электронной почты может быть отложена из-за времени распространения обновления записи SPF.
Однако, когда у вас настроены DKIM и SPF, вы можете обойти эту проблему, используя криптографическую подпись DKIM для доказательства того, что почтовый сервер по адресу [email protected] был авторизован для отправки.
Это означает, что даже если их IP-адрес изменится, DKIM все равно сможет проверить, что электронные письма, приходящие с определенных доменов, являются подлинными и легитимными.
Использование DMARC без DKIM: возможные сценарии OK/FAIL
Когда вы используете механизмы DKIM и SPF, вы эффективно используете два разных инструмента для достижения одной и той же цели: предотвращения подделки.
Они работают независимо друг от друга, но также могут и не работать. Например, SPF может не работать независимо от DKIM, а DKIM может не работать независимо от SPF.
Вот четыре возможных сценария OK/FAIL при настройке DMARC без DKIM и без DKIM:
| Сценарий | Значение | Статус доставки электронной почты |
| SPF в порядке, DKIM в порядке | Это гарантирует, что электронная почта отправляется из легитимного источника. Сервер имеет право отправлять почту, поскольку у него есть действительная запись SPF и действительная подпись DKIM. | Доставляется в почтовый ящик |
| SPF в порядке, DKIM не работает | Это означает, что письмо доставлено авторизованным сервером, но проверка его DKIM-подписи не прошла. | Доставляется в папку спама или нежелательной почты |
| SPF не работает, DKIM в порядке | Это означает, что DKIM-подпись письма действительна, но у сервера-отправителя нет разрешения на доставку письма. | Доставляется в папку спама или нежелательной почты |
| SPF не работает, DKIM не работает | Если оба SPF и DKIM не работают, то письмо считается поддельным и будет отклонено почтовым сервером получателя, поддерживающим DMARC. | Не доставлено / отклонено |
Полное внедрение DMARC - это необходимость сегодняшнего дня!
SPF и DKIM являются наиболее распространенными механизмами защиты электронной почты, используемыми для реализации надлежащей записи DMARC для предотвращения подделки электронной почты. Когда в существующей инфраструктуре электронной почты применяется правильная реализация DMARC, ваши сообщения доставляются по назначению. Это означает меньшее количество жалоб на спам, меньшее количество ложных срабатываний в черных списках и лучшую статистику доставки для всех ваших подписчиков.
PowerDMARC предлагает полный DMARC услуги по внедрению с DKIM, SPF и политиками DMARC, созданными для вашего домена. Таким образом, это поможет вам добиться более надежных результатов от вашей электронной почты.
Генерировать DKIM-запись онлайн или воспользуйтесь бесплатную пробную версию DMARC для получения комплексного решения в сложном и постоянно меняющемся мире безопасности электронной почты.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Настройка DKIM: Пошаговое руководство по настройке DKIM для обеспечения безопасности электронной почты (2025) - 31 марта 2025 г.
- PowerDMARC признана лидером в области грид-технологий DMARC в G2 Spring Reports 2025 - 26 марта 2025 г.
- Как распознать поддельные письма с подтверждением заказа и защитить себя - 25 марта 2025 г.
