переадресация электронной почты

Когда электронное сообщение отправляется с сервера-отправителя, непосредственно на сервер-получатель, SPF и DKIM (при правильной настройке) обычно аутентифицируют электронное сообщение и обычно эффективно подтверждают его как легитимное или несанкционированное. Однако, это не так, если письмо проходит через посреднический почтовый сервер до того, как оно будет доставлено получателю, например, в случае пересылаемых сообщений. Этот блог предназначен для того, чтобы рассказать вам о влиянии пересылки электронной почты на результаты DMARC-аутентификации.

Как мы уже знаем, DMARC использует два стандартных протокола аутентификации электронной почты, а именно SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), для проверки входящих сообщений. Давайте обсудим их вкратце, чтобы лучше понять, как они работают, прежде чем переходить к тому, как пересылка может на них повлиять.

Основы политики в отношении отправителей

SPF присутствует в вашем DNS в качестве записи TXT, отображая все действительные источники, которые авторизованы для отправки электронной почты из вашего домена. Каждое электронное сообщение, которое покидает ваш домен, имеет IP-адрес, который идентифицирует ваш сервер и поставщика услуг электронной почты, используемого вашим доменом, который занесен в ваш DNS в качестве записи SPF. Почтовый сервер получателя проверяет электронную почту на соответствие записям SPF и, соответственно, помечает электронную почту как прошедшую или не прошедшую SPF.

DomainKeys Идентифицированная почта

DKIM - это стандартный протокол аутентификации электронной почты, который назначает криптографическую подпись, созданную с помощью закрытого ключа, для проверки подлинности электронной почты на принимающем сервере, где получатель может получить открытый ключ от DNS отправителя для аутентификации сообщений. Как и SPF, открытый ключ DKIM также существует в виде TXT-записи в DNS владельца домена.

Влияние пересылки электронной почты на результаты проверки подлинности DMARC

Во время переадресации электронной почты письмо проходит через посреднический сервер, прежде чем оно в конечном итоге будет доставлено на принимающий сервер. Во-первых, важно понимать, что пересылка почты может осуществляться двумя способами - либо почта может пересылаться вручную, что не влияет на результаты аутентификации, либо пересылаться автоматически, и в этом случае процедура аутентификации все же принимает удар, если домен не имеет записи об источнике промежуточной пересылки в своем SPF.

Естественно, обычно во время пересылки почты проверка SPF не проходит, так как IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись оригинального сервера. Напротив, пересылка электронной почты обычно не влияет на DKIM аутентификацию электронной почты, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержание сообщения.

Обратите внимание, что для того, чтобы электронное письмо прошло DMARC аутентификацию, оно должно пройти либо SPF, либо DKIM аутентификацию и выравнивание. Как мы знаем, SPF неизбежно провалится во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемое электронное сообщение будет признано нелегитимным во время DMARC-аутентификации.

Решение? Простое. Вы должны немедленно выбрать полное соответствие DMARC в вашей организации, выравнивая и аутентифицируя все входящие сообщения против SPF и DKIM!

Достижение соответствия DMARC с PowerDMARC

Важно отметить, что для достижения соответствия DMARC электронная почта должна быть аутентифицирована либо по SPF, либо по DKIM, либо по обоим направлениям. Однако, если пересылаемые сообщения не будут проверяться на соответствие DKIM, и не будут полагаться только на SPF для проверки подлинности, DMARC неизбежно потерпит неудачу, как обсуждалось в нашей предыдущей секции. Вот почему PowerDMARC помогает вам достичь полного соответствия DMARC, эффективно выравнивая и аутентифицируя сообщения электронной почты по протоколам SPF и DKIM аутентификации. Таким образом, даже если пересылаемые сообщения не соответствуют SPF, DKIM подпись может быть использована для подтверждения их подлинности как легитимных, а электронная почта проходит DMARC аутентификацию, после чего попадает в почтовый ящик получателя.

Исключительные случаи: Неудача DKIM и как ее решить?

В некоторых случаях организация, осуществляющая пересылку, может изменить тело письма, внеся изменения в границы MIME, внедрив антивирусные программы или перекодировав сообщение. В таких случаях аутентификация SPF и DKIM не работает, и легитимные электронные письма не доставляются.

В случае сбоя SPF и DKIM PowerDMARC способен определить и отобразить, что в наших подробных совокупных представлениях и протоколах, таких как Authenticated Received Chain, можно использовать почтовые серверы для аутентификации таких сообщений электронной почты. В ARC заголовок Authentication-Results может передаваться на следующий 'переход' в строке доставки сообщения, чтобы эффективно смягчить проблемы аутентификации при пересылке почты.

В случае переадресованного сообщения, когда почтовый сервер получателя получает сообщение, которое не прошло проверку подлинности DMARC, он пытается проверить это сообщение второй раз, сопоставляя его с предоставленной цепью аутентифицированных полученных сообщений путем извлечения результатов проверки подлинности ARC (ARC Authentication-Results of the initial hop), чтобы проверить, было ли оно проверено на легитимность, прежде чем сервер-посредник переадресовал его на сервер-получатель.

Так что запишитесь в PowerDMARC сегодня и достигните соответствия DMARC в вашей организации!