fTLD DMARC: лучшие практики безопасности электронной почты для финансовых учреждений
Последнее обновление:
Время чтения: 6 мин
Ключевые выводы
- fTLD DMARC Обеспечивает строгую аутентификацию, сочетая SPF, DKIM и выравнивание DMARC для проверки легитимных отправителей.
- A политика p=отклонения обязательна для всех доменов .BANK и .INSURANCE, блокируя несанкционированное использование электронной почты.
- DMARC повышает эффективность доставки повышая репутацию домена и обеспечивая надежную связь.
- Compliance поддерживает правила финансовой кибербезопасности и снижает риск финансовых потерь, связанных с мошенничеством.
- Постоянный мониторинг отчетов и согласование с поставщиками обеспечивают непрерывную защиту и соответствие всем источникам электронной почты.
Каждый день организации отправляют и получают бесчисленное количество электронных писем, но не все из них безопасны. Для банков и страховых компаний обеспечение безопасности этих сообщений имеет решающее значение для защиты их клиентов и репутации. Признавая эту необходимость, в 2023 году fTLD ввела DMARC для публичных суффиксных доменов (PSD) для доменов верхнего уровня (TLD) .BANK и .INSURANCE, обеспечив автоматический уровень защиты электронной почты на уровне реестра.
Что такое PSD DMARC?
Домены с публичными суффиксами DMARC (PSD DMARC) - это мера безопасности, которая применяет базовые правила аутентификации электронной почты во всех зарегистрированных доменах ДВУ .BANK и .INSURANCE. В отличие от традиционного DMARC, который владельцы доменов должны внедрять индивидуально, PSD DMARC действует на уровне реестра, обеспечивая последовательную защиту каждого домена.
Эта разработка основана на стандартах, установленных Целевой группой по проектированию Интернета (IETF) и официально документирована в RFC 9091. fTLD получил одобрение от Корпорации по присвоению имен и номеров в Интернете (ICANN), что позволило реализовать эту автоматическую защиту.
Что такое fTLD?
Реестр fTLD является администратором домена .BANK и .INSURANCE. Это самые надежные и единственные эксклюзивные расширения доменов для банков, страховщиков и производителей. fTLD Registry стремится обеспечить этим доменам надежную защиту от кибератак и мошенничества.
Контрольный список соответствия доменов fTLD (.BANK / .INSURANCE)
Этот контрольный список поможет владельцам регистраций выполнить требования к аутентификации и шифрованию электронной почты (TLS) требованиям к доменам fTLD как указано в официальных документах fTLD.
1. Требования к аутентификации электронной почты
Обязательные записи DNS
Опубликуйте действительную DMARC-запись для домена (требуется независимо от того, отправляет ли домен электронную почту или нет). Опубликуйте хотя бы одно из следующих условий:
- SPF (Sender Policy Framework) запись
- DKIM (DomainKeys Identified Mail) запись
Требования к политике DMARC
| Использование домена | Требуемая политика DMARC | Примечания |
|---|---|---|
| Домен не используется для отправки электронной почты | p=отклонить | Предотвращает прием поддельной или недействительной почты |
| Домен, используемый для отправки электронной почты | p=отклонить (обязательно для текущих операций) | Во время реализации можно начать с p=none или p=quarantine, но необходимо перейти на p=reject как можно скорее, но не позднее чем через 90 дней |
Рекомендуемая конфигурация DMARC
Хотя это и не является обязательным требованием, fTLD рекомендует строгое соответствие для SPF и DKIM используя теги: adkim=s и aspf=s. Для организационных доменов, публикующих DMARC, установите соответствующий тег sp:, чтобы определить политику субдоменов.
Преимущества конфигурации:
- Проверка подлинности электронной почты предотвращает появление поддельных или мошеннических писем, выдаваемых за сообщения от вашего домена.
- Это повышает доверие и эффективность доставки электронной почты
2. Требования к шифрованию / безопасности транспортного уровня (TLS)
Цифровой сертификат
- Получите действительный сертификат TLS для вашего домена и всех поддоменов.
- Убедитесь, что не используются запрещенные компоненты шифра (см. список ниже).
Применение HTTPS
- Переведите весь трафик домена и поддоменов на HTTPS (зашифрованный).
- Все HTTP URL-адреса должны автоматически перенаправляться на HTTPS.
- Перенаправление должно осуществляться с HTTPS-версии домена fTLD.
- Домен должен быть только HTTPS (доступ без шифрования).
| Тип соединения | Требование | Примечания |
|---|---|---|
| Веб-соединения | Поддерживайте TLS v1.2 или выше | Хотя более низкие версии могут временно использоваться в образовательных целях для ознакомления с гигиеной и обновлениями браузера, мы не рекомендуем этого делать. |
| Электронная почта с сервера на сервер | Предлагайте TLS v1.1 или выше с наивысшим приоритетом | Более низкие версии (TLS/SSL или незашифрованные) разрешены только при общении с доменами, не относящимися к ДВУ, которые не поддерживают шифрование. |
| Прочие услуги | Используйте TLS v1.1 или выше | На этом этапе отключать TLS v1.0 не нужно. |
| RFC 5746 (Расширение индикации ренегатизации безопасности транспортного уровня) | Должны быть реализованы | Предотвращает специфическую форму атаки "человек посередине", при которой злоумышленник устанавливает TLS-соединение с целевым сервером, вставляет вредоносное содержимое, а затем объединяет его с новым TLS-соединением, инициированным клиентом. |
Запрещенные компоненты набора шифров
Руководство не рекомендует использовать или включать в конфигурации TLS или сертификаты что-либо из перечисленного ниже:
Anon, CBC, DES, 3DES, FIPS, GOST 28147-89, IDEA, SEED, WITH_SEED, MD5, NULL, SHA1, RC4, EXPORT, EXPORT1024, SRP
Преимущества конфигурации
- Обеспечивает безопасную, зашифрованную связь через Интернет и электронную почту.
- Предотвращает фальсификацию, перехват или подслушивание данных
Краткая информация о соблюдении требований
- Публикация и обеспечение соблюдения DMARC (p=отклонить), а также SPF/DKIM
- Внедрение TLS v1.1+ во всех сервисах
- Перенаправление всех HTTP на HTTPS
- Используйте только утвержденные наборы шифров
- Обеспечение соблюдения политики DMARC в течение 90 дней после установки электронной почты
Почему DMARC имеет решающее значение для fTLDs
DMARC очень важен для финансовых доменов благодаря следующим преимуществам:
Предотвращает мошенническое использование доменов
A p=отклонить политика - это прямое указание почтовым серверам по всему миру блокировать любое письмо, не прошедшее проверку подлинности. Эта мера позволяет предотвратить прямую подмену финансового домена в фишинговых атаках.
Повышает эффективность доставки электронной почты
Правильная конфигурация DMARC улучшает репутацию отправителя и способствует надежной и беспроблемной доставке официальных сообщений.
Поддерживает соблюдение нормативных требований
В финансовом секторе действует множество законов и правил. DMARC служит важным техническим контролем, который помогает организациям удовлетворять требованиям кибербезопасности.
Снижает риск финансовых потерь
Предотвращение атак с использованием электронной почты помогает организациям избежать серьезных затрат, связанных с утечкой данных, таких как штрафы, расходы на устранение последствий и ущерб репутации.
Лучшие практики внедрения DMARC
Реализация аутентификации электронной почты требует методичного подхода.
1. Не торопитесь p=отклонить
Окончательная конфигурация должна представлять собой политику отказа (p=reject). Однако делать это следует с осторожностью, после периода мониторинга ваших доменов на p=none и p=quarantine. Даже в руководствах по fTLD предлагается 90-дневный льготный период перед применением.
2. Подтвердите соответствие SPF и DKIM
И SPF, и DKIM требуют точной настройки для каждого авторизованного источника электронной почты. Домены, используемые в этих механизмах аутентификации, должны совпадать с доменом "From:", который видит клиент.
3. Использование инструментов анализа отчетов DMARC
DMARC генерирует агрегированные (RUA) и криминалистические (RUF) отчеты, которые содержат важные данные о почтовом трафике вашего домена, но не являются интуитивно понятными или человекочитаемыми. Специальный анализатор отчетов DMARC анализирует эту информацию, чтобы помочь вам лучше ее расшифровать и понять.
4. Согласование внутренних политик и политик поставщиков в отношении электронной почты
Все сторонние службы, передающие электронную почту от имени вашего учреждения, должны соответствовать вашим требованиям к аутентификации. Общение с этими поставщиками по этому поводу крайне важно.
Общие проблемы
В процессе внедрения DMARC организации могут столкнуться с некоторыми техническими препятствиями.
Обнаружение сторонних отправителей
Полная инвентаризация всех внешних служб, отправляющих электронную почту, может оказаться сложной задачей для крупных организаций и предприятий с различными технологическими стеками.
Задержки распространения DNS
DMARC, SPF и DKIM настраиваются через DNS. Обновления этих записей требуют времени для распространения по Интернету, что может привести к задержке сроков развертывания.
Управление данными отчетов DMARC
Необработанные XML-данные из отчетов DMARC плотные и объемные. Анализ без специализированной платформы исключительно сложен и неэффективен.
Рекомендуемые инструменты и поставщики
Объем и сложность данных DMARC делают ручное управление непрактичной стратегией. Для эффективного надзора необходимы специализированные платформы. Ключевые характеристики, на которые следует обратить внимание при выборе поставщика, включают:
Интеллектуальная визуализация отчетов
Платформа должна преобразовывать необработанные XML-данные в понятные и действенные панели, отображающие тенденции и угрозы.
Идентификация отправителя
Сервис должен автоматически классифицировать источники электронной почты и предоставлять четкие указания по шагам аутентификации, необходимым для каждого легитимного отправителя.
Проактивные оповещения об угрозах
Также очень важно, если платформа предлагает уведомления о сбоях аутентификации или новых попытках подмены в режиме реального времени, что позволяет быстро реагировать на угрозы безопасности.
Наша платформа PowerDMARC предоставляет полный набор управляемых услуг аутентификации электронной почты. Наш DMARC Analyzer преобразует сложные XML-отчеты в человекочитаемые диаграммы для наглядного представления угроз. Сайт PowerSPF динамически оптимизирует сложные записи SPF для предотвращения ошибок проверки и обеспечения авторизации всех легитимных отправителей.
Кроме того, мы упрощаем развертывание таких передовых стандартов, как Hosted BIMI для отображения вашего логотипа в электронных письмах и MTA-STS для шифрования электронной почты при передаче.
Заключительные размышления
В конечном счете, внедрение DMARC является основным операционным требованием для любого учреждения в домене .BANK .BANK и .INSURANCE TLD. Это незаменимая технология для защиты бренда учреждения, защиты его клиентов и выполнения нормативных обязательств.
Путь к полному соответствию требованиям начинается с политики "только монитор", позволяющей получить полную картину почтового ландшафта. После этого организация может методично проверять подлинность своих законных отправителей и переходить к окончательной, принудительной политике отказа. Партнерство с экспертом по обслуживанию DMARC может снизить риск этого перехода и обеспечить устойчивую безопасность.
Готовы обеспечить себе финансовый домен? Изучите наш Решение для обеспечения соответствия DMARC и начните свой путь к полному соблюдению требований уже сегодня.
Часто задаваемые вопросы
Как требования fTLD DMARC меняют ситуацию с электронной почтой моего домена?
Как это повлияет на вас, зависит от ваших текущих настроек:
- Если у вас уже есть запись DMARC: Ваши существующие политики электронной почты и отчеты не изменятся. PSD DMARC просто выступает в качестве мощной резервной копии.
- Если у вас нет записи DMARC: Это огромный плюс для безопасности. Политика PSD DMARC дает провайдерам электронной почты четкие инструкции о том, что делать с мошенническими письмами. Эта защита распространяется на все ваши зарегистрированные домены, включая основной сайт, припаркованные домены и те, которыми вы владеете в оборонительных целях.
Меняет ли fTLD DMARC то, какие данные собираются из моей почты?
Если у вас уже есть своя политика DMARC, данные отчетности останутся неизменными. Основное изменение заключается в том, что теперь fTLD могут получать высокоуровневые сводные отчеты по доменам, которые не публикуются активно (например, защитные регистрации), или по попыткам подмены несуществующих доменов. Эти данные помогут им следить за состоянием всей системы.
Как fTLD использует эти данные?
Цель - защитить сообщество .BANK и .INSURANCE. fTLD использует эти совокупные данные для выявления возникающих угроз, идентификации вредоносной деятельности, обеспечения соблюдения требований безопасности и повышения общей стабильности и безопасности этих ДВУ.
Где я могу найти дополнительную информацию?
- Технический стандарт: Вы можете ознакомиться с официальной спецификацией IETF, RFC 9091.
- Подробнее о PSD DMARC: Посетите эту официальную документацию по PSD DMARC для получения дополнительных ресурсов.
особые правила фДВУ: Вы можете ознакомиться с требованиями безопасности DMARC непосредственно на сайтах реестров .BANK и .INSURANCE сайты реестров.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Сертификат проверенной марки и сертификат общей марки: выбор подходящего варианта - 10 марта 2026 г.
- Обход уровня доверия спама (SCL) -1: что это значит и как с этим бороться — 4 марта 2026 г.
- «Не проходит проверку DMARC и имеет политику DMARC «Отклонить»: что это означает и как это исправить — 26 февраля 2026 г.
