Правило FTC о мерах безопасности: нужен ли вашей финансовой компании протокол DMARC?

Рассмотрим пример регионального автосалона в Огайо. Он собирает номера социального страхования для оформления кредитов, обменивается кредитными документами по электронной почте и управляет страховыми формами клиентов через общий почтовый ящик.

ИТ-команда использует антивирусное ПО, обеспечивает работу брандмауэра и проводит обучение персонала по правилам использования паролей. Однако они так и не внедрили систему аутентификации электронной почты: в их домене отсутствуют политики SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance). Любой злоумышленник может отправить письмо, которое будет выглядеть так, будто оно пришло с домена автосалона.

Этот автосалон подпадает под действие «Правила о мерах безопасности» Федеральной торговой комиссии (FTC), как и ипотечный брокер по соседству, независимый финансовый консультант на другом конце города и региональная инвестиционная компания, управляющая портфелями клиентов. Данное правило регулирует деятельность небанковских финансовых организаций в целом: автосалонов, организующих финансирование, ипотечных брокеров, финансовых консультантов, коллекторских агентств, специалистов по подготовке налоговых деклараций и компаний, предоставляющих краткосрочные кредиты до зарплаты, а также многих других.

Электронная почта является основным каналом атак во всех этих случаях. Атаки типа BEC (Business Email Compromise) обходятся организациям в среднем в 129 200 долларов за каждый инцидент в 2024 году, согласно годовому отчету ФБР IC3 за 2024 год. С 13 мая 2024 года требование об уведомлении о нарушениях обязывает соответствующие организации сообщать о соответствующих инцидентах в Федеральную торговую комиссию (FTC) в течение 30 дней, что ставит во главу угла не реагирование, а непосредственную профилактику.

В данном руководстве объясняется, кто обязан соблюдать эти требования, что предусматривает данное правило, как аутентификация электронной почты способствует соблюдению требований, а также как адаптировать внедрение DMARC к особенностям вашей организации.

Кто обязан соблюдать Правило о мерах безопасности Федеральной торговой комиссии (FTC)?

Сфера применения «Правила о мерах безопасности» удивляет многих предпринимателей, которые ассоциируют финансовое регулирование в первую очередь с банками и кредитными союзами. На практике это правило распространяется на любую организацию, «значительной степени занимающуюся» финансовой деятельностью — и Федеральная торговая комиссия (FTC) толкует это определение весьма широко. Понимание того, какие типы организаций подпадают под действие этого правила, является первым шагом на пути к созданию программы безопасности, соответствующей требованиям законодательства.

В данном правиле понятие «финансовая организация» определяется исходя из вида деятельности, а не из организационно-правовой формы. Если ваша компания собирает непубличную личную информацию (NPI) от потребителей в ходе предоставления финансовых продуктов или услуг, это правило, скорее всего, применимо к вам. К NPI относятся номера социального страхования, данные о финансовых счетах, номера водительских удостоверений, сведения о страховании и данные об инвестициях.

Автосалоны

Автосалоны, которые организуют или содействуют предоставлению финансирования, относятся к категории субъектов, на которых распространяется действие Правила о мерах безопасности. Номера водительских удостоверений, номера социального страхования, данные о трудовом стаже и информация о финансовых счетах ежедневно проходят через системы автосалонов. Заявки на финансирование, страховые формы и договоры на покупку автомобилей регулярно обрабатываются по электронной почте, что делает этот канал основным источником уязвимости для фишинговых атак и атак типа BEC.

Ипотечные брокеры

Ипотечные брокеры собирают одни из самых конфиденциальных персональных данных в секторе финансовых услуг: номера социального страхования, реквизиты банковских счетов, налоговые декларации, данные о трудовой деятельности и информацию о недвижимости. Кредитные документы, отчеты об оценке и раскрытие информации при заключении сделки часто передаются по электронной почте, что делает брокерские компании привлекательной мишенью для мошенничества с электронными переводами и атак, связанных с подделкой кредитных документов.

Финансовые консультанты

Независимые финансовые консультанты и зарегистрированные инвестиционные консультационные компании работают с информацией об инвестиционных счетах, налоговыми данными, выписками со счетов и документами по финансовому планированию. Общение с клиентами в основном ведётся по электронной почте, и этот канал связи является основным каналом для атак, направленных на клиентские счета и учетные данные платформ депозитариев.

Независимо от типа организации, Правило о мерах безопасности не требует, чтобы компания являлась банком. Оно требует лишь, чтобы компания осуществляла финансовую деятельность и собирала непубличную медицинскую информацию (NPI). Как только организация определит, что она подпадает под действие данного правила, возникает следующий вопрос: что именно требует это правило? Поправки 2021 года сделали эти требования значительно более конкретными.

Что предусматривает Правило о мерах безопасности Федеральной торговой комиссии (FTC)?

Правило о мерах безопасности обязывает организации, подпадающие под его действие, разработать, внедрить и поддерживать комплексную письменную программу информационной безопасности, соответствующую масштабам, сложности и характеру их деятельности. Речь идет об обязательных требованиях, нарушение которых влечет за собой меры принудительного исполнения, а не о рекомендательных руководящих принципах.

Поправки 2021 года ввели девять конкретных обязательных элементов, создав структурированную систему, отражающую модель многоуровневой защиты. Ни одна мера контроля в отдельности не способна обеспечить достаточную защиту конфиденциальных финансовых данных.

Девять обязательных элементов программы информационной безопасности в соответствии с Правилом о мерах защиты Федеральной торговой комиссии (FTC)

1. Назначить уполномоченное лицо: Отвечающего за внедрение и контроль программы информационной безопасности.
2. Проведите письменную оценку рисков: Определите хранящуюся информацию о клиентах, перечислите угрозы и установите критерии оценки.
3. Разработка и внедрение мер безопасности: контроль доступа, шифрование, MFA (многофакторная аутентификация), DLP (предотвращение утечки данных) и регистрация действий.
4. Регулярный мониторинг и тестирование средств защиты: Непрерывный мониторинг или ежегодные тесты на проникновение в сочетании с проводимыми два раза в год оценками уязвимостей.
5. Обучение персонала: Обучение по вопросам безопасности и регулярные курсы повышения квалификации, посвященные новым типам угроз.
6. Контроль поставщиков услуг: Проверяйте сторонних поставщиков и включайте требования безопасности в договоры на оказание услуг.
7. Обеспечивайте актуальность программы: Обновляйте меры контроля с учетом новых угроз, кадровых изменений и изменений в режиме работы.
8. Разработать письменный план реагирования на инциденты: Определение ролей, процедур коммуникации, путей эскалации и процесса анализа событий.
9. Требование о представлении отчетности Совету директоров: Ежегодный отчет о соблюдении требований, представляемый совету директоров или аналогичному руководящему органу.

Некоторые из этих элементов имеют прямое отношение к безопасности электронной почты. Элемент 3 предусматривает меры контроля доступа, обеспечивающие проверку авторизованных отправителей и шифрование передачи конфиденциальных данных. Элемент 4 обязывает осуществлять мониторинг и тестирование всей инфраструктуры, включая системы электронной почты. Элемент 5 требует проведения обучения персонала по вопросам фишинга и атак BEC. Элемент 8 требует наличия плана реагирования на инциденты, который должен учитывать сценарии атак с использованием электронной почты.

Аутентификация электронной почты с помощью DMARC, SPF и DKIM напрямую обеспечивает поддержку нескольких ключевых аспектов: контроль доступа (проверка авторизованных отправителей), ведение журналов активности (агрегированные отчеты DMARC и отчеты для расследований), реагирование на инциденты (обнаружение попыток подделки в режиме реального времени) и мониторинг (отслеживание состояния аутентификации в динамике). Организации, подпадающие под действие этих требований и имеющие 5 000 или более записей о клиентах, также обязаны шифровать информацию о клиентах как при передаче, так и при хранении, внедрять многофакторную аутентификацию (MFA) и вести подробные журналы активности. Эти пороговые значения охватывают большинство ипотечных брокеров, финансовых консультантов и автодилеров, работающих на региональном уровне.

Почему аутентификация электронной почты является основополагающим фактором для соблюдения требований правила о мерах безопасности

Электронная почта — это не просто один из многих векторов атак на финансовые учреждения. Это основная уязвимая точка, канал, через который осуществляется большинство атак, связанных с мошенничеством, кражей учетных данных и социальной инженерией. Для организаций, подпадающих под действие «Правила о мерах безопасности», защита канала электронной почты — это не дополнительная мера, а базовое требование безопасности.

Злоумышленникам, нацеленным на финансовые учреждения, не нужно взламывать вашу инфраструктуру. Они рассылают электронные письма, которые выглядят как отправленные с вашего домена, используя отсутствие средств аутентификации, а не обходя их. Компании, предоставляющие финансовые услуги, сталкиваются с многочисленными затратами, связанными с кражей учетных данных, мошенническими банковскими переводами, мерами реагирования со стороны регулирующих органов и уведомлением клиентов — и все это начинается с одного неаутентифицированного электронного письма.

Масштаб проблемы незащищенных доменов

Несмотря на известный риск, 92% ведущих доменов электронной почты остаются незащищенными от фишинга и спуфинга, согласно данным Infosecurity Magazine. Многие организации используют спам-фильтры, средства защиты конечных устройств и проводят обучение по вопросам безопасности, но при этом оставляют свой собственный домен доступным для злоумышленников, которые могут подделать без каких-либо технических препятствий. Фильтрация спама решает проблему входящих угроз для ваших пользователей; аутентификация электронной почты решает проблему исходящих угроз, в частности использования вашего домена для атак на ваших клиентов, партнеров и контрагентов. Это разные проблемы, требующие разных мер контроля.

Как работает аутентификация электронной почты

SPF (Sender Policy Framework). SPF определяет, какие IP-адреса имеют право отправлять электронную почту от имени вашего домена, что позволяет принимающим серверам отклонять письма из неавторизованных источников до того, как они дойдут до адресатов.

DKIM (DomainKeys Identified Mail). DKIM добавляет криптографическую подпись к исходящим сообщениям, позволяя принимающим серверам проверять, что содержание сообщения не было изменено во время передачи.

DMARC (Аутентификация, отчетность и соответствие сообщений на основе домена). DMARC объединяет SPF и DKIM, определяя, как принимающие серверы должны обрабатывать сообщения, не прошедшие проверку аутентификации, и генерируя отчеты, в которых фиксируется вся деятельность по аутентификации в отношении вашего домена.

В совокупности эти три протокола не позволяют посторонним отправителям выдавать себя за ваш домен, создают поддающуюся аудиту запись о почтовой активности и обеспечивают возможность выявлять попытки подделки до того, как они нанесут ущерб.

Позиция Федеральной торговой комиссии США (FTC) по вопросу аутентификации электронной почты

« Мнение сотрудников Федеральной торговой комиссии (FTC) об аутентификации электронной почты явно рекомендует компаниям внедрять протоколы DMARC, SPF и DKIM для защиты клиентов от фишинговых атак. Руководство FTC по аутентификации электронной почты для предприятий подтверждают эту рекомендацию как базовый стандарт кибербезопасности. Несмотря на это, наиболее распространенной практикой среди организаций, подпадающих под действие этих рекомендаций, является фильтрация спама без аутентификации электронной почты. Спам-фильтры защищают ваш почтовый ящик; протоколы аутентификации защищают идентичность вашего домена. Эти меры безопасности не являются взаимозаменяемыми.

Аутентификация электронной почты и Правило о мерах безопасности: система обеспечения соответствия

Увязывание мер по аутентификации электронной почты с конкретными требованиями Правила о мерах безопасности превращает техническую реализацию в документированную систему обеспечения соответствия. Сотрудники, ответственные за обеспечение соответствия, и уполномоченные специалисты должны четко обозначить, как каждая мера соотносится с нормативными обязательствами, причем это соотношение является прямым.

Каждый протокол аутентификации способствует выполнению одного или нескольких требований Правила о мерах безопасности конкретными и поддающимися аудиту способами, что способствует подготовке отчетности для совета директоров и прохождению проверки регулирующими органами.

Прежде чем приступить к внедрению, стоит разобраться, что на практике означает данная ситуация с соблюдением требований: а именно, как происходят утечки данных через электронную почту и что позволяют предотвратить меры контроля аутентификации.

Аутентификация электронной почты и предотвращение взломов

Требование требование Федеральной торговой комиссии (FTC) от мая 2024 года об уведомлении о нарушениях означает, что организации, подпадающие под действие этого требования, должны сообщать о соответствующих критериям утечках данных, затрагивающих 500 или более потребителей, в течение 30 дней с момента их обнаружения. Понимание того, как возникают утечки, связанные с электронной почтой, и как меры аутентификации пресекают их, объясняет, почему профилактика является более эффективной стратегией обеспечения соответствия требованиям, чем реагирование на утечки.

Как происходят утечки данных через электронную почту

Типичная утечка данных через электронную почту в сфере финансовых услуг происходит по хорошо узнаваемой схеме. Злоумышленник отправляет фишинговое письмо, которое выглядит так, будто оно пришло с надежного домена, от поставщика услуг или от самой организации. Сотрудник передает свои учетные данные или утверждает мошенническую транзакцию, а злоумышленник использует полученный доступ для получения доступа к данным клиентов, инициирования банковских переводов или установления постоянного присутствия в системе с целью дальнейшего злоупотребления.

Применение DMARC прерывает эту цепочку на самом раннем этапе. Когда домен защищен политикой p=reject DMARC, электронные письма из неавторизованных источников отклоняются до того, как достигнут адресатов. Фишинговое письмо никогда не доходит; атака не продвигается дальше. Спуфинг домена устраняется как вектор атаки в тот момент, когда начинается принудительное применение.

Отчет отчет IBM «Стоимость утечки данных 2024» оценивает среднюю стоимость утечки данных в сфере финансовых услуг в 6,08 млн долларов, включая расходы на обнаружение, уведомление, меры по соблюдению нормативных требований и перебои в работе. Внедрение DMARC обходится в разы дешевле; аргументы в пользу аутентификации не вызывают сомнений.

Финансовая и нормативная обоснованность проекта очевидны. В разделе «Реализация», приведенном ниже, представлена поэтапная дорожная карта, разработанная для сред с множеством отправителей, характерных для сферы финансовых услуг.

Практическая реализация: правильная настройка DMARC для обеспечения соответствия требованиям

Внедрение осуществляется поэтапно, и на то есть веские причины. Пропуск этапов или слишком быстрое продвижение по этапам чревато блокировкой доставки легитимных писем, что одновременно приведет к операционным проблемам и нарушениям нормативных требований. Методичный подход позволяет обеспечить как доставку писем, так и уровень безопасности.

1. Составьте перечень источников отправки. Задокументируйте все системы, отправляющие электронную почту с вашего домена: внутренние серверы, маркетинговые платформы, CRM-системы, приложения для управления персоналом и финансами, а также сторонние сервисы. Многие организации обнаруживают от 20 до 50 источников отправки, о которых они не знали. Неполные списки являются основной причиной сбоев аутентификации после развертывания.
2. Настройте записи SPF. SPF определяет, какие IP-адреса имеют право отправлять сообщения с вашего домена. Опубликуйте запись SPF, содержащую все источники из шага 1. Обратите внимание на ограничение SPF в 10 запросов; сглаживание SPF решает эту проблему путем преобразования имен хостов в IP-адреса внутри записи.
3. Внедрите подпись DKIM. DKIM прикрепляет криптографическую подпись к исходящим электронным письмам. Большинство платформ, включая Google Workspace и Microsoft 365, изначально поддерживают DKIM. Сгенерируйте ключи DKIM для каждого источника отправки и опубликуйте открытые ключи в DNS.
4. Опубликуйте политику DMARC со значением p=none. Политика DMARC с параметром p=none переводит ваш домен в режим мониторинга. Почтовая рассылка происходит в обычном режиме, а в сводных отчетах фиксируются все источники отправки и результаты их аутентификации. Эта фаза носит диагностический характер и не должна пропускаться в пользу немедленного принудительного применения.
5. Мониторинг и устранение проблем. Просмотрите отчеты DMARC, чтобы выявить несоответствующих отправителей, попытки подделки и сторонние источники, требующие настройки. Устраните каждую проблему, прежде чем переходить к следующему этапу внедрения политики. Этот этап обычно занимает от четырех до восьми недель для организаций со средней степенью сложности отправителей.
6. Переход к режиму принудительного применения. После аутентификации всех легитимных отправителей переведите политику DMARC в состояние p=quarantine, а затем p=reject. Принудительное применение блокирует доставку почты с вашего домена неавторизованными отправителями.

Наиболее распространённые причины неудач в ходе этого процесса рассмотрены в разделе «Распространённые ошибки» ниже.

Рекомендации для конкретных отраслей

Приоритеты внедрения существенно различаются в зависимости от типа организации, подпадающей под действие законодательства. Сценарии использования электронной почты, экосистемы сторонних отправителей и профили угроз для автодилеров, ипотечных брокеров и финансовых консультантов требуют индивидуального подхода, а не универсального решения.

Автосалоны

Автосалоны собирают номера водительских удостоверений, номера социального страхования, документы по финансированию и страховые формы, а на протяжении всего процесса продажи общаются преимущественно по электронной почте. К конкретным угрозам относятся атаки BEC, направленные на менеджеров по финансированию, поддельные договоры финансирования, а также сбор учетных данных клиентов через поддельные домены автосалонов. При внедрении мер безопасности следует уделить приоритетное внимание аутентификации основного домена, управлению отправителями-партнерами по финансированию и страхованию, а также настройке мониторинга DMARC для выявления поддельных писем, направленных на клиентов.

Ипотечные брокеры

Ипотечные брокеры работают с номерами социального страхования, реквизитами банковских счетов, налоговыми декларациями и документацией по сделкам. По электронной почте передаются документы, которые в случае перехвата могут привести к перенаправлению банковских переводов на суммы в шесть цифр. Для ипотечных брокеров приоритетной задачей является управление всей экосистемой сторонних отправителей, включая страховщиков, оценщиков, компании по регистрации прав собственности и кредиторов, с целью предотвращения подделки кредитной документации.

Финансовые консультанты

Консультационные компании передают выписки по счетам, инвестиционные рекомендации, налоговые документы и подтверждения транзакций по электронной почте. Успешная подделка домена консультанта может привести к перенаправлению средств со счетов или компрометации учетных данных платформы депозитария. Консультационные компании должны сосредоточить свои усилия на внедрении средств аутентификации сообщений, поступающих от депозитариев, управляющих фондами и систем обеспечения нормативно-правового соответствия.

Общие ошибки, которых следует избегать

Во всех трех типах организаций определенные нарушения в процессе внедрения возникают достаточно регулярно, чтобы заслуживать особого внимания. Каждое из них приводит к появлению конкретного пробела в системе технического контроля или в документации по обеспечению соответствия.

Рассмотрение аутентификации электронной почты как необязательного требования. Федеральная торговая комиссия (FTC) прямо рекомендовала аутентификацию электронной почты, а требования правила в отношении контроля доступа, мониторинга и реагирования на инциденты создают прямое обоснование для соблюдения нормативных требований. Рассматривать DMARC, SPF и DKIM как необязательные дополнения больше не представляется оправданным.

Внедрение DMARC без инвентаризации источников отправки. Публикация политики DMARC до завершения проверки источников отправки приводит к тому, что легитимные отправители не проходят проверки аутентификации после начала применения мер обеспечения соблюдения, что нарушает рабочий процесс и сводит на нет цель программы обеспечения соответствия.

Слишком поспешный переход к режиму p=reject. Переход к этапу принудительного применения до устранения всех проблем с согласованием SPF и DKIM приводит к сбоям в доставке легитимных писем. Этап мониторинга p=none существует именно для предотвращения такого исхода и не должен сокращаться ради соблюдения произвольного срока.

Отсутствие мониторинга отчетов DMARC. Отчеты DMARC имеют ценность только в том случае, если их анализировать. Организации, которые публикуют политику, но игнорируют полученные отчеты, не получают никаких преимуществ в плане безопасности или соответствия требованиям от ее внедрения.

Отсутствие контроля над сторонними отправителями. Маркетинговые платформы, системы CRM и платежные системы, отправляющие электронную почту с вашего домена, должны быть включены в записи SPF и настройки DKIM. Неуправляемые сторонние отправители становятся векторами спуфинга и могут превысить лимит в 10 запросов SPF.

Недостатки переадресации электронной почты. Переадресация электронной почты нарушает соответствие SPF, а иногда и DKIM. Организации, использующие переадресованные учетные записи, должны внедрить ARC (Authenticated Received Chain) или настроить ослабленное соответствие DMARC, чтобы предотвратить блокировку легитимной перенаправленной почты.

Отсутствие документирования внедрения в целях обеспечения соответствия требованиям. Внедрение DMARC генерирует доказательства, имеющие значение для аудита: записи DNS, сводные отчеты, историю изменений политик и журналы исправлений. Без документации невозможно продемонстрировать регулирующим органам или аудиторам преимущества технической работы с точки зрения соответствия требованиям.

Заключение

Тенденции в области регулирования безопасности электронной почты в сфере финансовых услуг развиваются в одном направлении. Поправки 2021 года к Правилу о мерах безопасности Федеральной торговой комиссии (FTC), требование об уведомлении об утечках данных, вступающее в силу в 2024 году, а также явная рекомендация FTC по аутентификации электронной почты — все это свидетельствует о том, что то, что недавно считалось передовой технической практикой, становится обязательным минимальным стандартом соответствия. Организации, подпадающие под действие этих правил, которые примут меры уже сейчас, окажутся в значительно более выгодном положении, чем те, кто будет ждать, пока стандарты будут определены в ходе принудительного исполнения.

Аутентификация электронной почты с помощью DMARC, SPF и DKIM представляет собой структурированный, поэтапный процесс внедрения, который обеспечивает ощутимые преимущества в плане безопасности, готовую к аудиту документацию и подтверждаемое соблюдение требований по многим элементам Правила о мерах безопасности. Организации, которые заложат эту основу уже сейчас, потратят гораздо меньше времени и средств на устранение последствий нарушений безопасности, ответы на запросы регулирующих органов и устранение ущерба репутации, вызванного атаками с подделкой доменов.

Независимо от того, управляете ли вы финансовым отделом автосалона, ипотечной брокерской компанией или независимой консультационной фирмой, процесс внедрения остается одинаковым. Приоритеты в области учета и мониторинга отправлений, характерные для вашего типа организации, определяют, насколько быстро вы сможете перейти к этапу внедрения.

Ваши следующие шаги:

1. Определите, относится ли ваша организация к числу субъектов, на которых распространяется действие Правила о мерах безопасности Федеральной торговой комиссии (FTC).
2. Проведите аудит текущего состояния аутентификации электронной почты: проверьте, настроены ли протоколы SPF, DKIM и DMARC и на каком уровне политики.
3. Составьте перечень всех систем, отправляющих электронные письма с вашего домена, включая системы финансовых партнеров, андеррайтеров или депозитариев.
4. Разработать поэтапный план внедрения, начиная с мониторинга p=none.
5. Перейти к этапу принудительного исполнения после того, как все легитимные отправители будут аутентифицированы и сопоставлены.

Часто задаваемые вопросы

Применяется ли к моему бизнесу Правило о мерах безопасности Федеральной торговой комиссии (FTC)?

Вероятно, это относится к вам, если ваша компания собирает непубличную личную информацию при организации финансирования, оформлении ипотечных кредитов, предоставлении инвестиционных консультаций, обработке платежей или оказании аналогичных финансовых услуг. Определение «финансового учреждения», данное Федеральной торговой комиссией (FTC), шире, чем предполагают большинство предпринимателей.

Что произойдет, если я не буду соблюдать Правила о мерах безопасности Федеральной торговой комиссии (FTC)?

Несоблюдение требований может привести к применению мер принудительного исполнения со стороны Федеральной торговой комиссии (FTC), наложению гражданско-правовых санкций и обязательным планам по устранению нарушений. После инцидента регулирующие органы проведут оценку адекватности вашей программы информационной безопасности. Недостатки, выявленные после инцидента, влекут за собой гораздо более серьезные последствия, чем проактивно выявленные нарушения требований.

Требуется ли аутентификация электронной почты в соответствии с Правилом о мерах безопасности Федеральной торговой комиссии (FTC)?

Не прямо, но фактически это является обязательным. Требования данного правила в отношении контроля доступа, регистрации действий, реагирования на инциденты и оценки рисков создают прямое обоснование для использования SPF, DKIM и DMARC. Федеральная торговая комиссия (FTC) прямо рекомендовала DMARC в официальных рекомендациях.

Сколько времени занимает внедрение DMARC?

Как правило, от первоначальной проверки источников отправки до полного введения мер по блокировке проходит от 8 до 12 недель. Организации с несложной почтовой инфраструктурой могут завершить этот процесс за четыре–шесть недель; организациям с обширной экосистемой сторонних отправителей, как правило, требуется весь предусмотренный срок для аутентификации всех источников, прежде чем можно будет перейти к следующему этапу.

Сколько стоит внедрение аутентификации электронной почты?

SPF, DKIM и DMARC — это протоколы на основе DNS, не требующие оплаты лицензионных сборов. Основные затраты связаны с затратами рабочего времени персонала и приобретением инструментов для анализа отчетов DMARC. Услуги по управлению, такие как PowerDMARC, обходятся в разы дешевле, чем 129 200 долларов средних убытков от инцидентов BEC и позволяют решать проблемы, связанные со сторонними отправителями, для команд, не имеющих специального персонала по безопасности.

Можно ли внедрить DMARC, не нарушив доставку легитимных писем?

Да, если вы будете следовать поэтапной последовательности. Начав с p=none, вы сможете отслеживать результаты аутентификации, не влияя на поток почты. Все легитимные отправители должны быть идентифицированы и отсортированы, прежде чем переходить к p=quarantine или p=reject. Пропуск этой фазы мониторинга является основной причиной сбоев в доставке.

Как DMARC помогает выполнить требование о уведомлении о нарушениях, предусмотренное Правилом о мерах безопасности Федеральной торговой комиссии (FTC)?

Требование Требование об уведомлении в течение 30 дней применяется к инцидентам, которые уже произошли. DMARC предотвращает фишинговые атаки и атаки с подделкой домена, которые являются причиной большинства инцидентов, связанных с электронной почтой, а это означает, что организации, применяющие политику p=reject, с гораздо меньшей вероятностью вообще столкнутся с необходимостью уведомления.

А что, если у меня есть сторонние отправители, над которыми я не имею контроля?

Большинство авторитетных поставщиков услуг электронной почты, маркетинговых платформ и CRM-систем поддерживают подпись DKIM и публикуют инструкции по настройке SPF. В случае отправителей, которые не поддерживают аутентификацию, следует использовать субдомен для их коммуникаций или зафиксировать это ограничение в качестве известного риска. PowerDMARC предоставляет рекомендации для таких сложных сред отправки.

• О сайте
• Последние сообщения

Ахона Рудра

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• Репутация IP-адреса или репутация домена: что поможет вам попасть в папку «Входящие»? - 1 апреля 2026 г.
• Мошенничество со страховыми выплатами начинается в почтовом ящике: как поддельные письма превращают рутинные страховые процедуры в кражу выплат - 25 марта 2026 г.
• Правило FTC о мерах безопасности: нужен ли вашей финансовой компании протокол DMARC? - 23 марта 2026 г.