Настройка DMARC: Руководство по настройке и конфигурированию DMARC

Поскольку фишинг и атаки по электронной почте становятся все более популярными, необходимо настроить параметры DMARC, чтобы укрепить защиту от надвигающихся кибератак. Настройка протокола DMARC (Domain-based Message Authentication Reporting and Conformance) - это первый шаг к обеспечению соответствия вашей электронной почты. Самый быстрый способ добиться этого - создать DNS-запись и опубликовать ее с помощью хостинг-провайдера.

Чтобы настроить DMARCнеобходимо начать с создания DMARC-записи. Как бы сложно это ни звучало, процесс настройки DMARC сравнительно прост!

Пояснения по настройке DMARC

Настройка DMARC - это процесс аутентификации электронной почты, который помогает организациям бороться с подменой почты, фишингом и почтовым мошенничеством. Для подтверждения подлинности почтовых сообщений настройки DMARC работают совместно с другими системами аутентификации электронной почты, такими как SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail).

Почему необходимо настраивать DMARC?

90% фишинговых атак используют в качестве вектора электронную почту, что делает аутентификацию по электронной почте незаменимой. Отчет ФБР по жалобам на интернет-преступления за 2020 год (FBI IC3 Report 2020) сообщил, что в США было получено 28 500 жалоб на атаки по электронной почте. Это сразу же выводит DMARC на первый план.

Ты знал?

• В 2020 году 75% организационных доменов со всего мира были подделаны для рассылки фишинговых писем фишинговые письма жертвам
• 74% этих рыболовных кампаний были успешными
• По сравнению с прошлым годом частота работы БЭС увеличилась на 15%.
• IBM сообщила, что каждая пятая компания за последний год сталкивалась с утечками данных, вызванными вредоносной электронной почтой.

Проверьте свой домен прямо сейчас, чтобы узнать, насколько вы защищены от почтового мошенничества!

Требования к настройке DMARC 

Если вы настроите DMARC-запись и решите использовать ее, то прежде чем приступить к ее внедрению, необходимо выполнить ряд предварительных условий.

• Вам необходим доступ к консоли управления DNS
• Убедитесь, что вы узнали всех своих авторизованных отправителей электронной почты
• Опубликованная запись SPF и/или DKIM в вашем DNS

Основополагающие элементы настройки DMARC: Согласование SPF и DKIM

Для настройки настройка политики DMARC необходимо реализовать либо Sender Policy Framework (SPF), либо DomainKeys Identified Mail (DKIM), либо и то, и другое.

SPF Сообщает почтовым серверам, каким IP-адресам или источникам отправки разрешено отправлять исходящую почту из вашего домена. DKIM добавляет цифровую подпись к исходящим сообщениям, чтобы предотвратить их изменение. Это позволяет предотвратить попадание на почтовые клиенты спам-сообщений и мошеннических писем, выдающих себя за ваш бренд в фишинговых аферах.

Вы можете настроить выравнивание домена на частичное совпадение полей заголовков SPF и DKIM с доменом From: или выбрать более строгую проверку подлинности, выбрав вместо этого точное совпадение. 

Как настроить DMARC? Пошаговое руководство

Чтобы начать настройку DMARC DNS, выполните следующие шаги по настройке:

Шаг 1: Создание DMARC-записи

Начать следует с создания DNS-записи, определяющей вашу политику и устанавливающей ее реализацию.

Для создания бесплатной записи воспользуйтесь нашим генератор DMARC как показано на скриншоте выше. При открытии окна инструмента необходимо заполнить некоторые обязательные критерии.

Шаг 2: Выбор подходящей DMARC-политики для вашей электронной почты

Тег политики p= - это обязательный тег, который должен быть настроен в вашей конфигурации DMARC. Если его пропустить, запись будет недействительной. 

Тег политики p= - это обязательный тег, который должен быть настроен в вашей конфигурации DMARC. Если его пропустить, запись будет недействительной.

Чтобы предотвратить подмену сообщений электронной почты, необходимо настроить DMARC-политику p=quarantine или выше. Однако вы можете выбрать политику "none", если хотите контролировать почту, прежде чем переходить к ее полному применению.

Шаг 3: Включить отчетность и нажать кнопку "Генерировать" 

Остальные критерии не являются обязательными, однако, если вы хотите настроить гибкие возможности выравнивания для DKIM и SPF или включить отчетность DMARC, вы можете это сделать. Отчеты RUA и RUF помогут вам отслеживать почтовый поток и результаты аутентификации, чтобы быстро обнаружить несоответствия.

Наконец, нажмите на кнопку "generate", чтобы завершить настройки DMARC и закончить процесс создания записи.

Шаг 4: Публикация и проверка настройки записи

После создания TXT-записи воспользуйтесь кнопкой "копировать", чтобы напрямую скопировать синтаксис, а затем перейдите в консоль управления DNS. Вставьте запись в DNS, чтобы завершить настройку DMARC.

Ознакомьтесь с нашим подробным руководством по публикации DMARC-запись на вашем DNS, чтобы узнать больше.

Пример настройки DMARC

Ниже приведен пример типичной настройки DMARC:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;

Примечание: В начале пути аутентификации электронной почты вы можете сохранить политику DMARC (p) на уровне none вместо reject, чтобы отслеживать поток электронной почты и решать проблемы, прежде чем переходить к строгой политике.

Развенчание синтаксиса записи

Синтаксис настройки DMARC является наиболее важной частью реализации, поскольку он определяет, каким образом будут проверяться подлинность ваших сообщений электронной почты и какие действия будут предприниматься после проверки. Давайте рассмотрим некоторые основные механизмы:

1. Поле "v" определяет версию протокола DMARC, которой является DMARC1
2. Поле "p" является обязательным полем политики DMARC, которое может быть установлено в значение none/reject/quarantine policy
3. Поля "rua" aggregate feedback и "ruf" forensic reports представляют собой опции DMARC-отчетов, которые помогают принимающим ESP предоставлять обратную связь по письмам, отправленным вашим получателям, которые будут отправлены на определенный вами адрес электронной почты или специальный почтовый ящик.

Это лишь некоторые из них, более подробную информацию вы можете найти в нашем блоге, посвященном тегам DMARC.

Проверка настройки DMARC-записей

После настройки DMARC необходимо проверить конфигурацию, чтобы убедиться, что протокол работает в соответствии с вашими требованиями. Без надлежащих проверок и мониторинга аутентификация электронной почты может стать очень сложной задачей и привести к ложным срабатываниям или сбоям, что негативно скажется на эффективности доставки почты.

Для проверки своей установки вы можете бесплатно воспользоваться инструментом проверки DMARC от PowerDMARC. Это мгновенный и эффективный инструмент для проверки TXT-записи DNS, который не только показывает статус действительности записи, но и выявляет ошибки и предлагает улучшения для скорейшего достижения соответствия!

Для использования:

1. Введите доменное имя в поле назначения (т.е. если URL вашего сайта имеет вид https://company.com вашим доменным именем будет company.com)
2. Нажмите на кнопку "Поиск"
3. Просмотр результатов на экране

Мы рекомендуем использовать этот метод проверки в качестве альтернативы ручной проверке для более быстрого, точного и беспроблемного прохождения процедуры.

Можно ли настроить DMARC без DKIM или SPF?

Нет. Для обеспечения аутентификации электронной почты необходимо настроить одну из двух настроек. Вы можете настроить оба параметра, что рекомендуется для обеспечения максимальной безопасности, однако это совершенно необязательно.

Оба подхода подробно рассмотрены в нашей базе знаний.

Преимущества и применение настройки DMARC

Настройка DMARC может быть полезна в следующих ситуациях:

• Для обеспечения возможности отправки писем от имени вашего почтового домена только авторизованным отправителям
• Для предотвращения фишинга электронной почты и атак с подменой прямого домена
• Для просмотра IP-адресов или источников, отправляющих электронные письма от вашего имени
• Чтобы предотвратить попадание спамерских сообщений к вашим получателям
• Для повышения эффективности доставки легитимного почтового трафика

Каковы наилучшие настройки DMARC?

Наилучшей настройкой DMARC, если вы хотите получить максимальную защиту от атак по электронной почте, является p=reject (где p - механизм, используемый для определения политики записи). Подходящая настройка DMARC зависит от того, насколько строго вы хотите, чтобы получатели обрабатывали сообщения, не прошедшие проверку DMARC.

Для мониторинга можно настроить DMARC с политикой "none", а для просмотра неавторизованных писем в карантине или папке спама перед тем, как отбросить или принять их, можно настроить "quarantine".

Использование DMARC для предотвращения подмены домена

Обратите внимание, что если вы хотите настроить DMARC для предотвращения подмены вашего домена и предотвращения фишинговых и BEC-атак, мы рекомендуем вам выбрать следующий критерий при создании DMARC-записи:

Установите для политики DMARC значение p=отклонить

Что это значит?

Когда вы настраиваете применение DMARC в своей организации, выбирая параметры DMARC "reject", это означает, что всякий раз, когда почтовое сообщение, отправленное с вашего домена, не проходит DMARC-аутентификацию, вредоносное письмо мгновенно отклоняется принимающим почтовым сервером, а не доставляется в почтовый ящик вашего получателя.

Как отключить DMARC?

Важно помнить, что отключать аутентификацию электронной почты для своих доменов не рекомендуется, поскольку это делает их уязвимыми для широкого спектра кибер-атак и предоставляет злоумышленникам открытый доступ для выдачи себя за ваш домен. Однако если вы все же хотите отключить этот протокол, то можете выполнить следующие действия:

1. Зайдите в консоль управления регистратора DNS
2. Перейдите в расширенный редактор DNS для редактирования настроек DNS
3. Найдите домен, для которого необходимо отключить DMARC
4. Удаление записи DMARC TXT
5. Сохраните изменения и подождите некоторое время, чтобы изменения отразились

В случае отсутствия доступа к консоли можно обратиться к регистратору домена с просьбой помочь удалить запись. 

Удаление DNS-записи для DMARC автоматически отключит протокол для конкретного домена. Однако если у вас есть несколько доменов с включенным DMARC, вам необходимо вручную удалить записи DNS для указанных доменов, чтобы отключить их для вашей организации.

Простая настройка DMARC с помощью PowerDMARC

Когда вы создаёте учётную запись PowerDMARC, мы берем на себя реализацию и настройку протоколов. Мы также управляем и контролируем состояние вашего домена и электронной почты, анализируем сводные отчеты и организуем результаты аутентификации на специальной панели управления.

Если вы не хотите заниматься ручной настройкой, вы можете автоматизировать этот процесс, воспользовавшись нашей бесплатной 15-дневной пробной версией. Чтобы воспользоваться преимуществами аутентификации электронной почты и настроить DMARC таким образом, чтобы эффективно защитить свой домен, зарегистрируйтесь на сайте DMARC-анализатор уже сегодня!

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Исправьте пермеррор SPF: Преодоление ограничения SPF Too Many DNS Lookups Limit - 26 апреля 2024 г.
• Как опубликовать запись DMARC за 3 шага? - 2 апреля 2024 г.
• Почему DMARC не работает? Устранение сбоев DMARC в 2024 году - 2 апреля 2024 г.