Когда электронное письмо отправляется с сервера-отправителя непосредственно на сервер-получатель, SPF и DKIM (если они настроены правильно) нормально аутентифицируют письмо и обычно эффективно подтверждают его легитимность или неавторизованность. Однако это не так, если письмо проходит через почтовый сервер-посредник, прежде чем попасть к получателю, например, в случае переадресованных сообщений. В этом блоге мы рассмотрим влияние пересылки электронной почты на результаты проверки подлинности DMARC.
Как мы уже знаем, DMARC использует два стандартных протокола аутентификации электронной почты, а именно SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), для проверки входящих сообщений. Давайте обсудим их вкратце, чтобы лучше понять, как они работают, прежде чем переходить к тому, как пересылка может на них повлиять.
Основы политики в отношении отправителей
SPF присутствует в вашем DNS в качестве записи TXT, отображая все действительные источники, которые авторизованы для отправки электронной почты из вашего домена. Каждое электронное сообщение, которое покидает ваш домен, имеет IP-адрес, который идентифицирует ваш сервер и поставщика услуг электронной почты, используемого вашим доменом, который занесен в ваш DNS в качестве записи SPF. Почтовый сервер получателя проверяет электронную почту на соответствие записям SPF и, соответственно, помечает электронную почту как прошедшую или не прошедшую SPF.
DomainKeys Идентифицированная почта
DKIM - это стандартный протокол аутентификации электронной почты, который назначает криптографическую подпись, созданную с помощью закрытого ключа, для проверки подлинности электронной почты на принимающем сервере, где получатель может получить открытый ключ от DNS отправителя для аутентификации сообщений. Как и SPF, открытый ключ DKIM также существует в виде TXT-записи в DNS владельца домена.
Влияние пересылки электронной почты на результаты проверки подлинности DMARC
Во время переадресации электронной почты письмо проходит через посреднический сервер, прежде чем оно в конечном итоге будет доставлено на принимающий сервер. Во-первых, важно понимать, что пересылка почты может осуществляться двумя способами - либо почта может пересылаться вручную, что не влияет на результаты аутентификации, либо пересылаться автоматически, и в этом случае процедура аутентификации все же принимает удар, если домен не имеет записи об источнике промежуточной пересылки в своем SPF.
Естественно, обычно при пересылке электронной почты проверка SPF не проходит, поскольку IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись исходного сервера. Напротив, пересылка электронной почты обычно не влияет на аутентификацию DKIM, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержимое сообщения.
Обратите внимание, что для того, чтобы электронное письмо прошло DMARC аутентификацию, оно должно пройти либо SPF, либо DKIM аутентификацию и выравнивание. Как мы знаем, SPF неизбежно провалится во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемое электронное сообщение будет признано нелегитимным во время DMARC-аутентификации.
Решение? Простое. Вы должны немедленно обеспечить полное соответствие DMARC в своей организации, согласовав и проверив подлинность всех входящих сообщений по SPF и DKIM!
Достижение соответствия DMARC с PowerDMARC
Важно отметить, что для достижения соответствия DMARC электронная почта должна быть проверена на подлинность либо по SPF, либо по DKIM, либо по обоим параметрам. Однако если пересылаемые сообщения не будут проверены на DKIM, а для аутентификации будут полагаться только на SPF, DMARC неизбежно потерпит неудачу, о чем мы говорили в предыдущем разделе. Вот почему PowerDMARC помогает вам достичь полного соответствия DMARC, эффективно согласовывая и проверяя подлинность сообщений электронной почты по протоколам аутентификации SPF и DKIM. Таким образом, даже если аутентичные пересылаемые сообщения не проходят проверку SPF, подпись DKIM может быть использована для подтверждения их легитимности, и письмо проходит проверку подлинности DMARC, попадая в почтовый ящик получателя.
Исключительные случаи: Неудача DKIM и как ее решить?
В некоторых случаях организация, осуществляющая пересылку, может изменить тело письма, внеся изменения в границы MIME, внедрив антивирусные программы или перекодировав сообщение. В таких случаях аутентификация SPF и DKIM не работает, и легитимные электронные письма не доставляются.
Если SPF и DKIM не работают, PowerDMARC может определить и отобразить это в наших подробных совокупных представлениях, а такие протоколы, как Authenticated Received Chain, могут быть использованы почтовыми серверами для аутентификации таких писем. В ARC заголовок Authentication-Results может быть передан следующему "хопу" в линии доставки сообщения, чтобы эффективно смягчить проблемы аутентификации при пересылке электронной почты.
В случае переадресованного сообщения, когда почтовый сервер получателя получает сообщение, которое не прошло проверку подлинности DMARC, он пытается проверить это сообщение второй раз, сопоставляя его с предоставленной цепью аутентифицированных полученных сообщений путем извлечения результатов проверки подлинности ARC (ARC Authentication-Results of the initial hop), чтобы проверить, было ли оно проверено на легитимность, прежде чем сервер-посредник переадресовал его на сервер-получатель.
Так что запишитесь в PowerDMARC сегодня и достигните соответствия DMARC в вашей организации!
- PowerDMARC сотрудничает с Loons Group для усиления безопасности электронной почты в Катаре - 13 марта 2025 г.
- Фишинг по электронной почте и анонимность в Интернете: Можно ли полностью скрыться от злоумышленников в даркнете? - 10 марта 2025 г.
- Что такое DNS Hijacking: Обнаружение, предотвращение и смягчение последствий - 7 марта 2025 г.