SMB1001 и DMARC: что малые и средние предприятия должны знать для обеспечения соответствия требованиям безопасности электронной почты
Время чтения: 6 мин
Ключевые выводы
- SMB1001 предоставляет малым и средним предприятиям четкую многоуровневую систему безопасности без сложностей, характерных для крупных компаний.
- В обновлении 2026 года добавлены строгие требования к безопасности электронной почты, поскольку электронная почта по-прежнему остается основным вектором атак.
- Уровень 2 требует полной записи SPF со списком всех утвержденных отправителей.
- Уровень 3 и выше требует DKIM, DMARC с p=quarantine или p=reject, а также надлежащее выравнивание.
- DMARC снижает риск подделки, BEC и злоупотребления брендом за счет принудительной аутентификации.
- Отсутствующие отправители, ошибки DKIM и поспешное применение мер являются основными причинами сбоев в работе электронной почты.
- Достижение соответствия требованиям улучшает качество предоставления услуг, укрепляет доверие и повышает готовность к аудиту для малых и средних предприятий.
- MSP и управляемые DMARC-провайдеры помогают малым и средним предприятиям обрабатывать DNS, ротацию ключей и мониторинг отчетов.
- Несоблюдение требований увеличивает киберриски, нарушает доставку электронной почты и блокирует сертификацию SMB1001.
Электронная почта по-прежнему остается самым простым способом для злоумышленников проникнуть в малые предприятия, поэтому SMB1001:2026 содержит самое строгое предупреждение: обеспечьте безопасность аутентификации электронной почты, иначе вы рискуете не пройти сертификацию и подвергнуть свой домен риску подделки. SMB10001 предоставляет малым и средним предприятиям практическую, структурированную дорожную карту безопасности, разработанную с учетом ограниченных бюджетов и небольших ИТ-команд.
Новое обновление повышает SPF, DKIM и DMARC с уровня «рекомендуемых практик» до уровня обязательных мер контроля на более высоких уровнях, что позволяет малым и средним предприятиям доказать, что их домен электронной почты не может быть легко подделан. Эти требования усиливают защиту, улучшают доставляемость и помогают малым и средним предприятиям продемонстрировать ответственную, готовую к аудиту безопасность.
Что такое SMB1001?
SMB1001 — это стандарт кибербезопасности, разработанный для помощи организациям, особенно малым и средним предприятиям, в улучшении их кибергигиены с помощью структурированной пятиуровневой системы (от бронзового до золотого уровня).
Он содержит практические рекомендации по укреплению мер безопасности, а попадание в верхнюю часть рейтинга свидетельствует о том, что компания внедрила надежные меры кибербезопасности. Соблюдение стандарта SMB1001 также помогает организациям приблизиться к соответствию требованиям требованиям ISO/IEC 27001 и снижает вероятность и последствия киберугроз.
Считайте SMB1001 своим практическим планом действий по обеспечению безопасности. Это не гигантская структура, созданная для компаний из списка Fortune 500, и она более надежна, чем обычный контрольный список. Это структурированный многоуровневый стандарт, разработанный специально для ограниченных ИТ-бюджетов и команд малых и средних предприятий.
Его цель проста: он заполняет пробел между легкими базовыми средствами защиты и тяжелыми корпоративными стандартами, предоставляя малым предприятиям признанный способ доказать, что они имеют надежную и ответственную киберзащиту.
Что изменилось в SMB1001:2026: безопасность электронной почты входит в стандарт
Почему вдруг так много внимания уделяется электронной почте? Потому что электронная почта по-прежнему остается излюбленным способом проникновения преступников. Фишинг, подделка личности и атаки BEC не прекращаются, а малые и средние предприятия зачастую не располагают такими же мощными средствами защиты, как крупные организации.
Для борьбы с этим явлением в обновление 2025/2026 ввели строгие меры контроля аутентификации электронной почты и сделали некоторые меры обязательными для сертификации:
- Контрольные механизмы включают обязательный SPF на уровне 2.
- На уровне 3 и выше вам понадобится DKIM и DMARC. Политика DMARC должна быть установлена на высокий уровень принудительного выполнения (а не только на мониторинг).
Это очень важный сигнал: чтобы соответствовать требованиям SMB1001 2026 к электронной почте, вы должны доказать, что никто не может легко подделать электронные письма с вашего домена.
Почему DMARC (с SPF и DKIM) имеет значение
DMARC не работает самостоятельно — он основан на SPF и DKIM.
- SPF говорит: «Только эти конкретные серверы могут отправлять почту от моего имени».
- DKIM применяет к вашей электронной почте защищенную от подделки цифровую подпись, по сути запечатывая ее.
- DMARC — это инструмент для обеспечения соблюдения политик и отчетности. Он сообщает принимающим почтовым системам, что делать, если сообщение, якобы отправленное с вашего домена, не прошло обе проверки (например, поместить электронное письмо в карантин или сразу отклонить).
Для малых и средних предприятий, где каждое взаимодействие по электронной почте имеет значение, DMARC имеет жизненно важное значение. Это автоматизированный способ предотвратить злоупотребление брендом, не дать преступникам выдать себя за вас, чтобы обмануть клиентов или поставщиков, и защититься от чрезвычайно дорогостоящей угрозы BEC. Для малых и средних предприятий, которые могут не иметь надежных ИТ-ресурсов, DMARC обеспечивает автоматическую защиту и прозрачность.
Требования к аутентификации электронной почты SMB1001 (по уровням)
Для соответствия требованиям соответствия требованиям SMB, вам необходимо сосредоточиться на следующем:
| SMB1001 Уровень / Уровень | Основные требования | Механизм(ы) аутентификации по электронной почте | Ключевые пояснения и цели |
|---|---|---|---|
| Уровень 1 | Основные средства управления | (Не требуется специальная авторизация по электронной почте) | Основное внимание уделяется базовой кибербезопасности, такой как брандмауэры, антивирусы и надежные резервные копии. Создание надлежащей ИТ-гигиены является необходимым условием для всех расширенных средств контроля. |
| Уровень 2 | Опубликуйте действительную запись SPF | SPF (Sender Policy Framework) | Запись должна быть полной и содержать список всех внешних отправителей (например, Google Workspace, Mailchimp, QuickBooks), используемых вашим доменом. |
| Уровень 3 | Включить DKIM и применять DMARC | DKIM + DMARC | Должна быть включена подпись DKIM (с использованием ключей длиной не менее 1024 бит). Запись DMARC должна быть опубликована с политикой принудительного выполнения, установленной на p=quarantine или p=reject (мониторинг p=none не является достаточным). |
| Уровень 4 | Полное обеспечение соблюдения и мониторинг DMARC | DMARC p=reject + Отчетность | Политика DMARC обычно переводится в наиболее строгий режим: p=reject. Необходим постоянный мониторинг отчетов DMARC, чтобы гарантировать, что легитимные электронные письма не блокируются, и быстро обнаруживать попытки подделки. |
| Уровень 5 | Расширенная устойчивость | DMARC p=reject + Расширенные средства контроля | Сохраняет p=reject и интегрирует результаты аутентификации электронной почты с более широкими процедурами мониторинга безопасности и реагирования на инциденты. Может включать внедрение MTA-STS и BIMI. |
Как малые и средние предприятия должны внедрять SPF, DKIM и DMARC для соответствия требованиям SMB1001
Выполнение этих SMB1001 требует тщательного, поэтапного подхода. Не спешите сразу прибегать к принудительным мерам!
1. Составьте список всех отправителей электронных писем.
Составьте список всех инструментов и сервисов, которые отправляют сообщения с вашего домена:
- Почта Google/Microsoft
- Маркетинговые платформы
- CRM/рабочие процессы
- Инструменты для выставления счетов/финансов
- Системы поддержки
- Облачные приложения и поставщики
Если оно отправляет от вашего имени, оно должно быть учтено.
2. Опубликуйте или очистите свою запись SPF.
Добавьте всех авторизованных отправителей в DNS. Пропуск реального отправителя — один из самых быстрых способов вызвать сбои в доставке после введения DMARC.
3. Включите DKIM для всех легитимных источников.
Сотрудничайте с каждым поставщиком, чтобы создать и опубликовать правильные записи селектора DKIM. Убедитесь, что длина ключа и конфигурация соответствуют лучшим практикам поставщика.
4. Сначала опубликуйте свою запись DMARC в режиме мониторинга.
Начните с видимости, а не с наказания. Пример:
v=DMARC1; p=none; rua=mailto:[email protected]; adkim=s; aspf=s
5. Подтвердите соответствие SPF и DKIM вашему домену отправителя.
Многие компании сталкиваются с проблемами при выравнивании. DMARC требует, чтобы домены аутентификации соответствовали тому, что фактически видят получатели.
6. Просмотрите отчеты DMARC и устраните сбои.
Выявляйте неизвестных отправителей, исправляйте законные ошибки в настройках и удаляйте опасные или устаревшие источники.
7. Приступайте к исполнению, когда будете уверены в себе.
Затем обновите до требуемой политики для более высоких уровней:
- p=карантин → более безопасный первый шаг принудительного исполнения
- p=отклонить → максимальная защита после полной проверки
Распространенные ловушки и как их избежать
Реализация может быть сложной. Вот несколько вещей, которые часто идут не так, как надо:
Отсутствующие отправители в SPF
Они могут привести к сбою доставки легитимной почты. Избегайте этого , проведя тщательную инвентаризацию всех ваших служб отправки перед публикацией окончательной записи SPF.
Неправильная настройка DKIM (неправильный ключ, селектор и т. д.)
Избегайте этого , внимательно следуя инструкциям для каждой службы отправки при создании и публикации записей DNS.
Политика DMARC слишком строгая до полной инвентаризации
Это может привести к отклонению легитимных писем. Чтобы этого избежать , никогда не переходите сразу к p=reject. Всегда начинайте с p=none в течение нескольких недель, чтобы обеспечить полную точность настройки.
Игнорирование почтовых потоков субдоменов (субдомены часто забывают)
Избегайте этого , проверяя все источники электронной почты, включая те, которые используют субдомены, такие как news.yourcompany.com.
Отсутствие мониторинга отчетов
Это снижает видимость. Избегайте этого путем настройки надежного инструмента обработки отчетов DMARC для непрерывного анализа отчетов, отправляемых на ваш rua .
Преимущества для малых и средних предприятий, достигших соответствия требованиям SMB1001 в области электронной почты
Хотя основным фактором может быть соблюдение нормативных требований, внедрение надежной аутентификации электронной почты дает ощутимые преимущества, критически важные для бизнеса:
Снижение риска фишинга/подделки личности/злоупотребления брендом
Вы значительно снижаете вероятность стать жертвой дорогостоящих атак по электронной почте.
Улучшенная доставляемость легитимных сообщений по электронной почте
Благодаря аутентифицированной отправке ваши кампании и транзакционные письма будут попадать в папку «Входящие», а не в папку «Спам».
Доверие со стороны клиентов/партнеров
Это помогает продемонстрировать зрелые методы обеспечения безопасности. Это демонстрирует ответственность и уверенность.
Соответствие признанному стандарту
Это хорошо для обеспечения уверенности, аудита и, возможно, для соответствия нормативным требованиям.
Роль MSP/сторонних поставщиков услуг по обеспечению безопасности электронной почты в обеспечении соответствия требованиям SMB1001
Для многих малых и средних предприятий с ограниченными ресурсами управление конфигурацией и мониторинг SPF, DKIM и DMARC может быть чрезмерно сложной задачей.
- Многие малые и средние предприятия передают ИТ-услуги на аутсорсинг: MSP могут помочь правильно внедрить SPF, DKIM и DMARC. Они могут справиться со сложной настройкой DNS-записей и обеспечить их соответствие руководству по сертификации SMB1001.
- Использование управляемых платформ для SPF/DKIM/DMARC снижает сложность и объем текущего обслуживания (обновление записей, проверка отчетов, ротация ключей). Это лучше для малых и средних предприятий с ограниченными ресурсами.
Что произойдет, если вы не будете соблюдать требования: риски для малых и средних предприятий
Непринятие требования SMB1001 DMARC означает несоответствие стандарту, что может помешать сертификации. Но риски гораздо больше, чем просто потеря значка:
- Повышенный риск фишинга, спуфинга и компрометации деловой электронной почты.
- Возможный ущерб бренду или потеря доверия, если злоумышленники выдают себя за ваш домен. Ваша репутация страдает, если преступники используют ваше имя для мошенничества.
- Проблемы с доставкой – легитимные электронные письма могут быть помечены или отклонены. Ваша деловая коммуникация нарушается.
- Несоблюдение стандарта SMB1001 – потеря преимуществ сертификации.
Подведение итогов
Стандарт SMB1001 DMARC требует интеграции SPF, DKIM и DMARC и превращает их из простых мер по обеспечению соответствия в обязательное обновление безопасности. Эти комбинированные средства аутентификации очень важны для снижения угрозы фишинга, спуфинга и злоупотребления брендом в отношении вашего домена.
Дальнейшие действия:
- Проведите аудит сейчас: Составьте перечень всех служб, отправляющих электронные письма от имени вашего домена.
- Этап реализации: Начните с установки SPF, затем DKIM и, наконец, опубликуйте DMARC, используя политику мониторинга (p=none).
- Применять: Переход к политике обязательного принудительного исполнения (p=quarantine или p=reject) после подтверждения, что все легитимные письма прошли аутентификацию.
- Получите помощь: Если управление DNS и анализ DMARC кажутся вам сложными, обратитесь за помощью к экспертам.
Нужна помощь в сложной реализации и внедрении DMARC?
Свяжитесь с нами в PowerDMARC сегодня, чтобы с максимальной легкостью и эффективностью выполнить требования сертификации SMB1001.
Часто задаваемые вопросы
Почему DMARC внезапно стал обязательным для SMB1001?
Потому что атаки по электронной почте не прекращаются! Обновление SMB1001 2025/2026 сделало DMARC обязательным, чтобы предоставить сертифицированным малым и средним предприятиям надежную автоматизированную защиту от подделки доменов.
Что произойдет, если я пропущу легитимного отправителя в своей записи SPF?
Это письмо, скорее всего, не пройдет проверку SPF. Если ваш DMARC применен (p=reject), это легитимное письмо будет заблокировано или попадет в папку со спамом, что вызовет серьезные проблемы с доставкой.
Что на самом деле означает «согласование SPF и DKIM»?
Это означает домен, который используется для аутентификации вашей электронной почты аутентифицируется (проверенный SPF и DKIM), должен совпадать с доменом, который видят ваши клиенты видят в поле «От». DMARC требует этого, чтобы действительно предотвратить подделку вашего адреса электронной почты.
Могу ли я пропустить этап мониторинга DMARC (p=none)?
Нет! Пропустить мониторинг и перейти сразу к p=reject — это верный способ случайно заблокировать свои собственные легитимные письма, которые вы еще не настроили правильно. Сначала необходимо отслеживать отчеты, чтобы найти и исправить всех отправителей.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Интеграция PowerDMARC Splunk: единая видимость для безопасности электронной почты — 8 января 2026 г.
- Что такое доксинг? Полное руководство по его пониманию и предотвращению — 6 января 2026 г.
- Лучшие альтернативы электронной почте Palisade - 31 декабря 2025 г.
