DMARC, или Domain-based Message Authentication, Reporting and Conformance, - это технический протокол для проверки подлинности исходящих сообщений. DMARC служит первой линией защиты от различных угроз, связанных с электронной почтой, включая фишинг и спуфинг.
На настроить DMARCнеобходимо создать запись DMARC. Созданная DMARC-запись представляет собой TXT-запись, которая затем публикуется на вашем DNS. Это запускает процесс аутентификации электронной почты. Настроив запись DMARC, вы даете владельцам доменов возможность указывать получателям, как им следует реагировать на электронные сообщения, отправленные из неавторизованных или незаконных источников.
Ключевые выводы
- Запись DMARC - это TXT-запись DNS, которая помогает проверять подлинность исходящих сообщений электронной почты и предотвращать подмену и фишинговые атаки.
- Выбор правильной политики DMARC очень важен для контроля над обработкой несанкционированных сообщений электронной почты.
- Чтобы реализовать DMARC, запись должна быть опубликована в системе доменных имен (DNS) с помощью таких инструментов, как cPanel, GoDaddy или Cloudflare.
- Даже домены, которые не занимаются активной рассылкой электронной почты, должны иметь ограничительную DMARC-запись, в частности "p=reject", чтобы предотвратить потенциальные злоупотребления.
- Для достижения оптимальных результатов рекомендуется поддерживать одну запись DMARC для каждого домена и внедрять ее постепенно, чтобы избежать проблем с доставкой почты.
- Такие решения, как PowerDMARC, автоматизируют управление записями DMARC и упрощают мониторинг благодаря использованию интеллектуального анализа угроз.
Что такое DMARC-запись?
Запись DMARC - это TXT-запись DNS, определяющая, как почтовые серверы должны обрабатывать сообщения, не прошедшие проверку подлинности (SPF и DKIM). Она помогает владельцам доменов предотвратить подделку электронной почты и фишинг, указывая серверам-получателям, отклонять, помещать в карантин или разрешать неавторизованные письма.
Основные компоненты записи DMARC
1. Режимы политики DMARC
Политика DMARC определяет, как получатели должны обрабатывать электронные письма, не прошедшие проверку подлинности DMARC. Она обозначается символом "p". Она может иметь одно из следующих трех значений:
- p=none: Не предпринимать никаких действий против неавторизованных писем.
- p=карантин: Чтобы отметить подозрительные письма.
- p=reject: Чтобы отклонять неавторизованные письма до того, как они достигнут получателей.
2. Опции отчетов DMARC
- Агрегированные отчеты (rua=): Это сводные отчеты, отправляемые на указанный адрес электронной почты и показывающие результаты аутентификации для всех писем из домена.
- Криминалистические отчеты (ruf=): Это подробные отчеты о неудачах, отправленные, когда письмо не прошло проверку подлинности DMARC.
3. Режимы выравнивания DMARC
- Выравнивание SPF (aspf=): Определяет, совпадает ли домен отправителя в заголовке From: с записью SPF. Есть возможность строгого (s) выравнивания для точного совпадения или расслабленного (r) выравнивания для организационного совпадения.
- Выравнивание DKIM (adkim=): Определяет, совпадает ли домен подписи DKIM с доменом в заголовке From:. Есть возможность строгого (s) выравнивания для точного совпадения или расслабленного (r) выравнивания для организационного совпадения.
Как создать запись DMARC?
Чтобы создать DMARC DNS-запись для вашего домена, убедитесь, что у вас есть:
a) надежный инструмент для создания записи
b) доступ к консоли управления DNS для публикации записи
Выполните следующие действия, чтобы создать свою запись:
1. Создайте свою DMARC-запись
Зарегистрируйтесь чтобы получить доступ к нашему порталу, используя адрес электронной почты или зарегистрироваться с помощью Gmail/Office 365. Перейдите в раздел Инструменты анализа > PowerToolbox > DMARC Record Generator, чтобы начать создание DMARC-записи.
3. Определите политику DMARC для вашей записи DMARC
Примите решение о политику DMARC в зависимости от желаемого уровня применения (нет, карантин или отклонение). Вот как выбрать политику DMARC-записей:
- Если вы хотите, чтобы против нежелательных писем, отправленных с вашего домена, не предпринималось никаких действий, выберите "none".
- Если вы хотите поместить в карантин письма, не прошедшие проверку DMARC, выберите "Карантин".
- Если вы хотите отклонять или отбрасывать письма, не прошедшие проверку подлинности, что может свести к минимуму поддельные и фишинговые атаки, выберите "Отклонять".
3. Настройте рекомендуемые необязательные поля записи DMARC
Хотя не все поля являются обязательными, мы рекомендуем вам настроить несколько полезных необязательных полей в вашей DMARC-записи. Давайте узнаем, что это за поля:
- Поле агрегированных отчетов (rua): Если вы настроите поле rua, вы будете получать данные проверки подлинности DMARC непосредственно на ваш адрес электронной почты.
- Поле для отчетов о судебной экспертизе (ruf): Получите информацию о криминалистических инцидентах, таких как кибератаки, настроив поле ruf в записи DMARC.
- Режимы выравнивания DKIM/SPF" Выберите, какое вы хотите выбрать выравнивание для SPF и/или DKIM - расслабленное или строгое.
Как опубликовать запись DMARC?
Чтобы опубликовать запись DMARC, необходимо выполнить несколько условий:
- Вам необходимо иметь доступ к консоли управления DNS
- Вы должны иметь право редактировать и добавлять новые записи DNS для вашего домена
Публикация записи DMARC с помощью cPanel
1. Зайдите в консоль управления DNS cPanel
2. В разделе Домены щелкните Редактор зон DNS или Расширенный редактор зон.
3. Добавьте DMARC-запись типа TXT (tex), заполнив данные, как показано ниже. В поле "TXT-данные" или "значение" нужно вставить ранее созданную DMARC-запись.
Публикация DMARC-записи с помощью Godaddy
- Войдите в свой портфель доменов GoDaddy, чтобы получить доступ к зоне DNS
- В разделе "Доменное имя" найдите и выберите свой домен, отправляющий электронную почту.
- Под именем вашего домена нажмите на DNS
- Теперь выберите Добавить новую запись и начните публикацию записи со следующими данными:
Тип: TXT
Имя: _dmarc
Значение: вставьте значение вашей DMARC-записи.
Публикация DMARC-записи с помощью Cloudflare
- Войдите в свою учетную запись Cloudflare.
- Выберите нужную учетную запись и домен.
- Перейдите в раздел DNS и нажмите на кнопку Добавить запись
- Вставьте сгенерированную DMARC-запись в раздел Add Record (Добавить запись), как показано в примере ниже:
Проверка записи DMARC
Чтобы проверить свою DMARC-запись и избежать распространенного "Запись DMARC не найдена" вы можете использовать наш бесплатный инструмент проверки.
1. Зарегистрируйтесь бесплатно и перейдите в раздел Инструменты анализа > PowerToolbox > DMARC Record Checker
2. Просмотрите статус, синтаксис и теги записи DMARC, чтобы выявить возможные ошибки.
Распространенные ошибки записи DMARC
| Статус | Что это значит | Что вы можете сделать |
|---|---|---|
| Действительный | Ваша запись DMARC корректна и не содержит ошибок | Ничего не делать |
| Неверный | В вашей записи DMARC есть ошибки. Это может быть связано с неполным или ошибочным синтаксисом. | Просмотрите свой синтаксис, обратитесь к нашему полному руководству по тегам DMARC или свяжитесь с нами для получения квалифицированной помощи. |
| Запись не найдена | В вашем DNS не было записи DMARC. | Создайте DMARC-запись для вашего домена и опубликуйте ее в DNS. |
Обнаружив ошибки в своей записи, вы должны внести необходимые изменения в DNS и сохранить их. Вы можете перепроверить свою запись после обработки изменений.
DMARC-запись для не отправляющих доменов
Большинство людей останавливаются на защите своих активных доменов, но мало кто знает, что злоумышленники могут подделать даже ваши неотправляемые домены, чтобы отправлять поддельные письма от вашего имени! Чтобы предотвратить это, вот шаги, которые необходимо предпринять DMARC для ваших неотправляющих доменов:
- Публикация не разрешающей DMARC-записи: начните с публикации DMARC-записи для неактивного домена с принудительной политикой типа p=reject.
- Игнорировать отчеты: Поскольку домен не отправляет электронные письма, не нужно настраивать для него отчеты RUA или RUF.
- Опубликуйте ограничительную запись SPF: Установите v=spf1 -all, чтобы предотвратить отправку электронной почты.
- Отключите интегрированные службы электронной почты: Если домен все еще связан с внешними почтовыми серверами, возможно, стоит ограничить их использование, если домен больше не используется.
Последствия отсутствия защиты неактивных доменов
Неспособность внедрить DMARC для доменов, не являющихся отправителями, может привести к различным последствиям, таким как:
- Повышенный риск спуфинга и фишинговых атак
- Ущерб репутации бренда и домена
- Злоупотребления доменами остаются незамеченными в течение длительного времени
Одна DMARC-запись на домен
При настройке DMARC-записи важно публиковать одну запись для каждого домена. Несколько DMARC-записей для одного домена могут привести к конфликтам и необоснованным отказам в аутентификации!
Почему несколько записей DMARC являются проблемой
- Сбои аутентификации электронной почты: Получатели электронной почты могут не знать, какой записи DMARC следовать.
- Ошибки и несоответствия: Противоречивые политики (например, одна запись использует p=none, а другая - p=reject) приводят к непредсказуемому исполнению.
- Неточная отчетность: Отчеты DMARC могут быть неполными или ненадежными.
Лучшие практики для правильного внедрения DMARC
Чтобы обеспечить правильную конфигурацию DMARC-записей, ниже приведены лучшие практики их применения:
- Публикуйте одну запись DMARC для каждого домена.
- Избегайте настройки DMARC sp если вы не хотите, чтобы ваши поддомены имели другую политику.
- Используйте инструмент проверки DMARC Для проверки записи после ее публикации.
- Регулярно просматривайте отчеты DMARC, чтобы убедиться, что подозрительные действия не остались незамеченными.
Следующие шаги после публикации DMARC-записи
После публикации DMARC-записи следующим шагом должна стать защита вашего домена от мошенников и самозванцев. Это ваша главная задача при внедрении протоколов безопасности и служб аутентификации электронной почты.
Простая публикация DMARC-записи с политикой p=none не обеспечивает защиту от атак подмены домена и почтового мошенничества. Для этого необходимо перейти к внедрение DMARC.
Чтобы перейти на применение DMARC, лучше всего использовать постепенный подход, который позволит добиться идеальных результатов без негативного влияния на качество доставки. Вот пошаговый процесс, которому вы можете следовать:
- Начните с политики p=none - это ваш режим мониторинга.
- Включите отчетность DMARC для вашего домена, чтобы проанализировать почтовый трафик и возможность доставки.
- Перейдите на карантин, поддерживая pct (процент) на уровне 10, и постепенно увеличивайте его до 100% в течение нескольких недель.
- Когда вы будете уверены в своей настройке, перейдите к p=reject, удерживая pct на минимальном процентном значении, а затем постепенно увеличивая его до полного применения для 100 % объема почты.
Как PowerDMARC упрощает управление записями DMARC
Для организаций, работающих с несколькими доменами, или просто для тех, кто не хочет погружаться в хлопоты, связанные с ручной настройкой и поддержкой DMARC-записей, существует PowerDMARC. Это простое и удобное решение, которое автоматизирует управление записями DMARC под одной крышей. Благодаря технологии интеллектуального анализа угроз на основе искусственного интеллекта и подробной отчетности, PowerDMARC помогает более чем 2000 клиентам по всему миру упростить работу с DMARC.
Чтобы начать, воспользуйтесь бесплатной 15-дневную пробную версию платформы уже сегодня!
FAQ по записям DMARC
1. Зачем мне нужна запись DMARC?
Записи DMARC помогают предотвратить выдачу домена за другого человека, тем самым снижая риск различных угроз, связанных с электронной почтой, таких как фишинг, спуфинг и атаки ransomware. Без записи DMARC ваш домен подвергается повышенному риску опасности или неправомерного использования со стороны угроз.
2. Каковы общие ошибки записи DMARC?
Некоторые распространенные неправильные конфигурации DMARC включают в себя:
- Наличие нескольких DMARC-записей, так как домен может иметь только одну DMARC-запись.
- Синтаксические ошибки, например, неправильное форматирование (например, отсутствие точек с запятой или пробелов).
- Неверные значения политики, например, использование неправильных тегов, таких как p=rejected вместо p=reject.
- Неправильные адреса электронной почты, такие как неправильные адреса rua или ruf, приводят к тому, что отчеты не доставляются.
3. Могу ли я иметь несколько записей DMARC для одного домена?
Нет, в домене может быть только одна запись DMARC. Если существует несколько записей, поставщики электронной почты могут игнорировать конфигурацию, что приведет к сбоям аутентификации и пробелам в безопасности.
4. Сколько времени требуется для распространения записи DMARC?
Время распространения записей DMARC обычно варьируется от нескольких минут до 48 часов, в зависимости от настроек DNS-кэширования и TTL (Time-to-Live).
5. Что произойдет, если моя DMARC-запись окажется недействительной?
Если запись DMARC недействительна, это может привести к различным проблемам, таким как неудачные попытки аутентификации или проверки, проблемы с доставкой электронной почты, а ваш домен может быть даже уязвим для спуфинга.
6. Что произойдет, если домен не опубликовал запись DMARC?
Если вы являетесь массовым отправителем с неопубликованной записью DMARC, вы столкнетесь с отказами в отправке сообщений в Google и Yahoo в почтовые ящики. Кроме того, ваш домен может стать главной мишенью для злоумышленников, поскольку не будет никаких ограничений на его подмену.
- Как создать и опубликовать запись DMARC - 3 марта 2025 г.
- Как исправить "Запись SPF не найдена" в 2025 году - 21 января 2025 г.
- Как читать отчет DMARC - 19 января 2025 г.