Когда электронное письмо отправляется с сервера-отправителя непосредственно на сервер-получатель, SPF и DKIM (если они настроены правильно) нормально аутентифицируют письмо и обычно эффективно подтверждают его легитимность или неавторизованность. Однако это не так, если письмо проходит через почтовый сервер-посредник, прежде чем попасть к получателю, например, в случае переадресованных сообщений. В этом блоге мы рассмотрим влияние пересылки электронной почты на результаты проверки подлинности DMARC.
Как мы уже знаем, DMARC использует два стандартных протокола аутентификации электронной почты, а именно SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), для проверки входящих сообщений. Давайте обсудим их вкратце, чтобы лучше понять, как они работают, прежде чем переходить к тому, как пересылка может на них повлиять.
Основы политики в отношении отправителей
SPF присутствует в вашем DNS в качестве записи TXT, отображая все действительные источники, которые авторизованы для отправки электронной почты из вашего домена. Каждое электронное сообщение, которое покидает ваш домен, имеет IP-адрес, который идентифицирует ваш сервер и поставщика услуг электронной почты, используемого вашим доменом, который занесен в ваш DNS в качестве записи SPF. Почтовый сервер получателя проверяет электронную почту на соответствие записям SPF и, соответственно, помечает электронную почту как прошедшую или не прошедшую SPF.
DomainKeys Идентифицированная почта
DKIM - это стандартный протокол аутентификации электронной почты, который назначает криптографическую подпись, созданную с помощью закрытого ключа, для проверки подлинности электронной почты на принимающем сервере, где получатель может получить открытый ключ от DNS отправителя для аутентификации сообщений. Как и SPF, открытый ключ DKIM также существует в виде TXT-записи в DNS владельца домена.
Влияние пересылки электронной почты на результаты проверки подлинности DMARC
Во время переадресации электронной почты письмо проходит через посреднический сервер, прежде чем оно в конечном итоге будет доставлено на принимающий сервер. Во-первых, важно понимать, что пересылка почты может осуществляться двумя способами - либо почта может пересылаться вручную, что не влияет на результаты аутентификации, либо пересылаться автоматически, и в этом случае процедура аутентификации все же принимает удар, если домен не имеет записи об источнике промежуточной пересылки в своем SPF.
Естественно, обычно при пересылке электронной почты проверка SPF не проходит, поскольку IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись исходного сервера. Напротив, пересылка электронной почты обычно не влияет на аутентификацию DKIM, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержимое сообщения.
Обратите внимание, что для того, чтобы электронное письмо прошло DMARC аутентификацию, оно должно пройти либо SPF, либо DKIM аутентификацию и выравнивание. Как мы знаем, SPF неизбежно провалится во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемое электронное сообщение будет признано нелегитимным во время DMARC-аутентификации.
Решение? Простое. Вы должны немедленно выбрать полное соответствие DMARC в вашей организации, выравнивая и аутентифицируя все входящие сообщения против SPF и DKIM!
Достижение соответствия DMARC с PowerDMARC
Важно отметить, что для достижения соответствия DMARC электронная почта должна быть аутентифицирована либо по SPF, либо по DKIM, либо по обоим направлениям. Однако, если пересылаемые сообщения не будут проверяться на соответствие DKIM, и не будут полагаться только на SPF для проверки подлинности, DMARC неизбежно потерпит неудачу, как обсуждалось в нашей предыдущей секции. Вот почему PowerDMARC помогает вам достичь полного соответствия DMARC, эффективно выравнивая и аутентифицируя сообщения электронной почты по протоколам SPF и DKIM аутентификации. Таким образом, даже если пересылаемые сообщения не соответствуют SPF, DKIM подпись может быть использована для подтверждения их подлинности как легитимных, а электронная почта проходит DMARC аутентификацию, после чего попадает в почтовый ящик получателя.
Исключительные случаи: Неудача DKIM и как ее решить?
В некоторых случаях организация, осуществляющая пересылку, может изменить тело письма, внеся изменения в границы MIME, внедрив антивирусные программы или перекодировав сообщение. В таких случаях аутентификация SPF и DKIM не работает, и легитимные электронные письма не доставляются.
В случае сбоя SPF и DKIM PowerDMARC способен определить и отобразить, что в наших подробных совокупных представлениях и протоколах, таких как Authenticated Received Chain, можно использовать почтовые серверы для аутентификации таких сообщений электронной почты. В ARC заголовок Authentication-Results может передаваться на следующий 'переход' в строке доставки сообщения, чтобы эффективно смягчить проблемы аутентификации при пересылке почты.
В случае переадресованного сообщения, когда почтовый сервер получателя получает сообщение, которое не прошло проверку подлинности DMARC, он пытается проверить это сообщение второй раз, сопоставляя его с предоставленной цепью аутентифицированных полученных сообщений путем извлечения результатов проверки подлинности ARC (ARC Authentication-Results of the initial hop), чтобы проверить, было ли оно проверено на легитимность, прежде чем сервер-посредник переадресовал его на сервер-получатель.
Так что запишитесь в PowerDMARC сегодня и достигните соответствия DMARC в вашей организации!
- Как найти лучшего поставщика решений DMARC для вашего бизнеса? - 25 апреля 2024 г.
- PowerDMARC и Zendata заключили партнерство для повышения безопасности доменов - 25 апреля 2024 г.
- PowerDMARC сотрудничает с CNS для развития практики безопасности электронной почты на Ближнем Востоке - 24 апреля 2024 г.