Сообщения

Стандарты аутентификации электронной почты: SPF, DKIM и DMARC - многообещающие стандарты, позволяющие сократить количество попыток подделки электронной почты и улучшить ее доставляемость. Стандарты аутентификации электронной почты позволяют отличить поддельные (фальшивые) электронные письма от законных, но при этом они идут дальше и проверяют личность отправителя, чтобы определить, является ли письмо законным.

По мере того как все больше организаций будут принимать эти стандарты, общая идея доверия и авторитета в общении по электронной почте начнет вновь утверждаться. Каждое предприятие, которое зависит от маркетинга по электронной почте, проектных запросов, финансовых операций и общего обмена информацией внутри или между компаниями, должно понимать основы того, для чего предназначены эти решения и какие преимущества они могут получить.

Что такое подделка электронной почты?

Подмена электронной почты - распространенная проблема кибербезопасности, с которой сегодня сталкиваются предприятия. В этой статье мы разберем, как работает подмена почты и различные методы борьбы с ней. Мы узнаем о трех стандартах аутентификации, используемых поставщиками услуг электронной почты, - SPF, DKIM и DMARC, чтобы предотвратить эту проблему.

Подделка электронной почты может быть классифицирована как продвинутая социально-инженерная атака, которая использует комбинацию сложных методов для манипулирования средой обмена сообщениями и использования законных функций электронной почты. Такие электронные письма часто выглядят вполне законными, но их цель - получить доступ к вашей информации и/или ресурсам. Подделка электронной почты используется в самых разных целях - от попыток совершить мошенничество, нарушить безопасность и даже попытаться получить доступ к конфиденциальной деловой информации. Являясь очень популярной формой подделки электронной почты, атаки с подменой почты направлены на то, чтобы обмануть получателей и заставить их поверить, что письмо было отправлено от компании, которой они пользуются и которой могут доверять, а не от реального отправителя. Поскольку электронные письма все чаще отправляются и принимаются в массовом порядке, эта вредоносная форма мошенничества с электронной почтой значительно возросла в последние годы.

Как аутентификация электронной почты может предотвратить подделку?

Аутентификация электронной почты помогает проверять источники отправки электронной почты с помощью таких протоколов, как SPF, DKIM и DMARC, чтобы предотвратить подделку злоумышленниками доменных имен и атаки спуфинга для обмана ничего не подозревающих пользователей. Она предоставляет проверяемую информацию об отправителях электронной почты, которую можно использовать для доказательства их легитимности, и указывает принимающим MTA, что делать с письмами, не прошедшими проверку подлинности.

Таким образом, чтобы перечислить различные преимущества аутентификации электронной почты, мы можем подтвердить, что SPF, DKIM и DMARC помогают в этом:

  • Защита вашего домена от фишинговых атак, подмены домена и BEC
  • Предоставление подробной информации и сведений об источниках отправки электронной почты
  • Улучшение репутации домена и повышение показателей доставляемости электронной почты
  • Предотвращение пометки ваших законных писем как спама

Как SPF, DKIM и DMARC работают вместе, чтобы остановить подделку?

Основы политики в отношении отправителей

SPF - это метод аутентификации электронной почты, используемый для предотвращения отправки спамерами сообщений от имени вашего домена. С его помощью вы можете публиковать авторизованные почтовые серверы, что дает вам возможность указать, каким почтовым серверам разрешено отправлять электронные письма от имени вашего домена. Запись SPF хранится в DNS, в ней перечислены все IP-адреса, которым разрешено отправлять почту от имени вашей организации.

Если вы хотите использовать SPF таким образом, чтобы обеспечить его правильное функционирование, вам необходимо убедиться, что SPF не нарушается для вашей электронной почты. Это может произойти, если вы превысите лимит в 10 DNS-поисков, что приведет к пермеррору SPF. Уплотнение SPF поможет вам не превысить лимит и обеспечить беспрепятственную аутентификацию вашей электронной почты.

DomainKeys Идентифицированная почта

Выдавая себя за доверенного отправителя, можно обмануть получателя и заставить его ослабить бдительность. DKIM - это решение для защиты электронной почты, которое добавляет цифровую подпись к каждому сообщению, приходящему из почтового ящика вашего клиента, позволяя получателю проверить, что сообщение действительно было авторизовано вашим доменом и входит в список доверенных отправителей вашего сайта.

DKIM прикрепляет уникальное хэш-значение, связанное с именем домена, к каждому исходящему электронному сообщению, позволяя получателю проверить, действительно ли письмо, утверждающее, что оно пришло с определенного домена, было авторизовано владельцем этого домена или нет. В конечном итоге это помогает выявить попытки подделки.

Аутентификация, отчетность и соответствие сообщений на основе домена

Простое внедрение SPF и DKIM может помочь проверить источники отправки, но само по себе недостаточно эффективно, чтобы остановить подделку. Для того чтобы киберпреступники не могли доставлять поддельные письма вашим получателям, вам необходимо внедрить DMARC уже сегодня. DMARC помогает вам согласовывать заголовки электронной почты для проверки адресов электронной почты From, раскрывая попытки подделки и мошеннического использования доменных имен. Более того, он дает владельцам доменов возможность указывать серверам-получателям электронной почты, как реагировать на письма, не прошедшие проверку подлинности SPF и DKIM. Владельцы доменов могут выбирать доставку, карантин и отклонение поддельных писем в зависимости от необходимой им степени соблюдения DMARC.

Примечание: Только DMARC-политика отклонения позволяет остановить спуфинг.

Кроме того, DMARC также предлагает механизм отчетности, позволяющий владельцам доменов получать информацию о каналах электронной почты и результатах аутентификации. Настроив анализатор отчетов DMARC, вы сможете регулярно контролировать свои почтовые домены, получая подробную информацию об источниках отправки электронной почты, результатах аутентификации, геолокации мошеннических IP-адресов и общей эффективности электронной почты. Это поможет вам анализировать данные DMARC в организованном и читабельном формате и быстрее принимать меры против злоумышленников.

В конечном счете, SPF, DKIM и DMARC могут работать вместе, чтобы помочь вам поднять безопасность электронной почты вашей организации на новую высоту и не дать злоумышленникам подделать ваше доменное имя, чтобы защитить репутацию и доверие к вашей организации.

Прежде чем приступить к настройке DKIM для вашего домена, давайте немного поговорим о том, что такое DKIM. DKIM, или DomainKeys Identified Mail, это протокол аутентификации электронной почты, который используется для проверки подлинности исходящей почты. Процесс включает в себя использование частного криптографического ключа, генерируемого вашим почтовым сервером, который подписывает каждое исходящее электронное сообщение. Это гарантирует, что получатели могут проверить, что письма, которые они получают, были отправлены с вашего почтового сервера и не являются поддельными. Это может улучшить доставку и помочь избавиться от спама. Чтобы разместить его, просто письмо с почтового сервера с поддержкой DKIM содержит цифровую подпись или, что более верно, криптографическую подпись, которая может быть проверена почтовым сервером получателя.

DKIM был создан путем объединения таких существующих технологий, как DomainKeys (от Yahoo) и Identified Internet Mail (от Cisco). Она превратилась в широко распространенный метод аутентификации, который известен как DKIM, а также зарегистрирован как RFC (Запрос комментариев) IETF (Internet Engineering Task Force). Все основные провайдеры, такие как Google, Microsoft и Yahoo, создают цифровую подпись, которая встраивается в почтовый заголовок исходящей электронной почты и проверяют входящую почту с помощью своих собственных политик.

В блоге мы рассмотрим механизм, используемый в DKIM для проверки вашей электронной почты и его различные преимущества, а также узнаем о том, как настроить DKIM для вашего собственного домена.

Как настроить DKIM для защиты домена от спуфинга?

Подпись DKIM генерируется MTA и хранится в домене списка. После получения электронного письма вы можете проверить DKIM с помощью открытого ключа. DKIM как механизм проверки подлинности, который может подтвердить идентичность сообщения. Эта подпись доказывает, что сообщение генерируется легитимным сервером.

Это особенно необходимо, поскольку в последнее время растет число атак на подмену домена.

Что такое подпись DKIM?

Для того, чтобы использовать DKIM, необходимо решить, что должно быть включено в подпись. Обычно это тело письма и некоторые заголовки по умолчанию. Вы не можете изменить эти элементы после их установки, поэтому выбирайте их внимательно. После того, как вы решили, какие части электронного письма будут включены в DKIM подпись, эти элементы должны остаться без изменений, чтобы сохранить действительную DKIM подпись.

Не путать с селектором DKIM, подпись DKIM - это не более чем консорциум произвольных строковых значений, также известных как "хэш-значения". Когда ваш домен настроен с помощью DKIM, ваш почтовый сервер отправки шифрует это значение с помощью закрытого ключа, доступ к которому есть только у вас. Эта подпись гарантирует, что отправленное вами письмо не было изменено или подделано после отправки. Чтобы проверить DKIM подпись, получатель электронной почты выполнит DNS запрос для поиска открытого ключа. Открытый ключ будет предоставлен организацией, которой принадлежит домен. Если они совпадают, электронная почта классифицируется как аутентичная.

Как настроить DKIM в 3 простых шага?

Для того, чтобы легко реализовать DKIM с PowerDMARC, все, что вам нужно сделать, это сгенерировать вашу запись DKIM с помощью нашего бесплатного генератора записей DKIM. Ваша запись DKIM является DNS TXT запись, которая публикуется в DNS вашего домена. Далее вы можете провести бесплатный поиск DKIM, используя наш инструмент поиска записей DKIM. Этот бесплатный инструмент обеспечивает одним щелчком мыши проверку DKIM, гарантируя, что ваша запись DKIM является безошибочной и действительной. Однако, для того, чтобы сгенерировать запись, Вам необходимо сначала идентифицировать Ваш селектор DKIM.

Как идентифицировать селектор DKIM?

Часто задаваемый владельцами доменов вопрос - как найти свой DKIM? Для того, чтобы найти свой селектор DKIM, все, что вам нужно сделать:

1) Отправить тестовое сообщение в ваш аккаунт gmail 

2) Щелкните по 3 точкам рядом с электронным письмом в почтовом ящике.

3) Выберите "показать оригинал" 

4) На странице "Original Message" (Оригинальное сообщение) перейдите в нижнюю часть страницы к разделу подписи DKIM и попробуйте найти тег "s=", значение этого тега - ваш селектор DKIM. 

ДМАРК и ДКИМ

Часто задаешься вопросом, достаточно ли внедрения DKIM? Ответ - нет. Хотя DKIM помогает вам шифровать сообщения электронной почты с помощью криптографической подписи, чтобы подтвердить легитимность ваших отправителей, она не обеспечивает способа, которым получатель электронной почты может ответить на сообщения, которые не работают с DKIM. Здесь на помощь приходит DMARC!

Domain-Based Message Authentication, Reporting and Conformance (DMARC) - это протокол аутентификации электронной почты, который помогает владельцам доменов принимать меры против сообщений, которые не прошли SPF/DKIM аутентификацию. Это, в свою очередь, минимизирует шансы атак подмены домена и BEC. DMARC вместе с SPF и DKIM может со временем улучшить доставку электронной почты на 10% и повысить репутацию вашего домена.

Зарегистрируйтесь в PowerDMARC уже сегодня и воспользуйтесь бесплатной пробной версией анализатора DMARC!

Зачем мне нужен ДКИМ? Разве SPF не достаточно?

Удаленная работа специально познакомила людей с растущим числом фишинга и кибератак. В основном, наихудшее количество фишинговых атак - это те, которые нельзя игнорировать. Независимо от объема получаемой и отправляемой рабочей почты и несмотря на рост количества чатов на рабочем месте и приложений для обмена мгновенными сообщениями, для большинства людей, работающих в офисах, электронная почта продолжает доминировать в деловом общении как внутри компании, так и за ее пределами.

Однако не секрет, что электронная почта обычно является наиболее распространенной точкой входа для кибератак, что подразумевает проникновение вредоносных программ и эксплойтов в сеть и учетные данные, а также раскрытие конфиденциальных данных. По данным SophosLabs, в сентябре 2020 г. около 97% вредоносного спама, пойманного ловушками для спама, составляли фишинговые письма, охота за учетными данными или любая другая информация.

Из них оставшиеся 3% содержали смешанные пакеты сообщений, содержащие ссылки на вредоносные веб-сайты или на те, которые были минами-ловушками вложений. В основном они надеялись установить бэкдоры, трояны удаленного доступа (RAT), похитители информации, эксплойты или, возможно, загрузить другие вредоносные файлы.

Независимо от источника, фишинг остается довольно пугающе эффективной тактикой для нападающих, какой бы ни была их конечная цель. Существуют некоторые надежные меры, которые все организации могли бы использовать для проверки того, пришло ли электронное письмо от человека и источника, от которого, как он утверждает, оно пришло.

Как ДКИМ приходит на помощь?

Необходимо убедиться в том, что почтовая безопасность организации должна иметь возможность проверять каждое входящее сообщение, которое не будет соответствовать правилам аутентификации, установленным доменом, с которого это сообщение, кажется, пришло. DomainKeys Identified Mail (DKIM) - это средство, которое помогает проверить входящую почту, чтобы убедиться, что ничего не было изменено. В случае тех электронных писем, которые являются законными, DKIM, безусловно, найдет цифровую подпись, которая будет связана с определенным доменным именем.

Это доменное имя будет прикреплено к заголовку письма, и в исходном домене будет соответствующий ключ шифрования. Самое большое преимущество DKIM заключается в том, что оно обеспечивает цифровую подпись на заголовках электронных сообщений, с тем чтобы серверы, получающие его, могли криптографически аутентифицировать эти заголовки, считая их действительными и оригинальными.

Эти заголовки обычно подписываются как 'From', 'To', 'Subject' и 'Date'.

Зачем тебе нужен ДКИМ?

Эксперты в области кибербезопасности утверждают, что DKIM практически востребован в повседневной жизни для обеспечения безопасности официальной электронной почты. В DKIM подпись генерируется агентом MTA (Mail Transfer Agent), который создает уникальную строку символов, называемую Хэш-значение (Hash Value).

Далее, хэш-значение хранится в перечисленном домене, который после получения электронного письма получатель может проверить DKIM подпись, используя открытый ключ, который регистрируется в системе доменных имен (DNS). После этого этот ключ используется для расшифровки значения хэша в заголовке, а также для пересчета хэш-значения из полученного электронного сообщения.

После этого эксперты узнают, что если эти две подписи DKIM совпадают, то MTA будет знать, что электронная почта не была изменена. Кроме того, пользователь получает дополнительное подтверждение того, что электронная почта действительно отправлялась из указанного домена.

DKIM, который изначально формировался путем слияния двух ключей станций, Domain keys (созданный Yahoo) и Identified Internet Mail (созданный Cisco) в 2004 году, и развивался в новую широко распространенную технику аутентификации, которая делает процедуру электронной почты организации довольно надежной, и именно поэтому ведущие технологические компании, такие как Google, Microsoft и Yahoo, всегда проверяют входящую почту на наличие DKIM подписей.

DKIM Vs. SPF

Sender Policy Framework (SPF) - это форма аутентификации электронной почты, определяющая процесс проверки подлинности электронного сообщения, которое было отправлено с авторизованного почтового сервера с целью обнаружения подделок и предотвращения мошенничества.

В то время как большинство людей придерживаются мнения, что и SPF, и DKIM должны использоваться в организациях, но у DKIM, безусловно, есть дополнительное преимущество по сравнению с другими. Причины этого следующие:

  • В DKIM владелец домена публикует криптографический ключ, который специально форматируется как запись TXT в общей записи DNS
  • Уникальная подпись DKIM, которая прикрепляется к заголовку сообщения, делает его более аутентичным.
  • Использование DKIM оказывается более плодотворным, потому что ключ DKIM, используемый серверами входящей почты для обнаружения и расшифровки подписи сообщения, доказывает, что сообщение является более аутентичным и неизменным.

В заключение

Для большинства бизнес-организаций DKIM не только защитит свой бизнес от фишинга и поддельных атак, но и поможет в защите отношений с клиентами и репутации бренда.

Это особенно важно, поскольку DKIM предоставляет ключ шифрования и цифровую подпись, которая вдвойне доказывает, что электронная почта не была подделана или изменена. Эти методы помогут организациям и предприятиям сделать шаг на один шаг ближе к повышению удобства доставки электронной почты и отправки защищенной электронной почты, что будет способствовать получению дохода. В большинстве случаев это зависит от того, как организации будут использовать и внедрять эти методы. Это наиболее важно и уместно, поскольку большинство организаций хотели бы освободиться от кибератак и угроз.

Как поставщику услуг DMARC, нам часто задают этот вопрос: "Если DMARC просто использует SPF и DKIM аутентификацию, зачем нам беспокоиться о DMARC? Разве это не лишнее?"

На первый взгляд может показаться, что это мало что меняет, но реальность совсем другая. DMARC - это не просто комбинация технологий SPF и DKIM, это совершенно новый протокол сам по себе. Он имеет несколько особенностей, которые делают его одним из самых продвинутых стандартов аутентификации электронной почты в мире, и абсолютную необходимость для бизнеса.

Но подожди минутку. Мы не ответили точно, зачем вам нужен DMARC. Что он предлагает, чего нет у SPF и DKIM? Ну, это довольно длинный ответ, слишком длинный для одной записи в блоге. Так что давайте разделим его и сначала поговорим о SPF. На случай, если вы не знакомы с ним, вот краткое вступление.

Что такое SPF?

SPF, или Sender Policy Framework, является протоколом аутентификации электронной почты, который защищает получателя электронной почты от подделок. По сути, это список всех IP-адресов, разрешенных для отправки электронной почты по вашим (владельца домена) каналам. Когда принимающий сервер видит сообщение из вашего домена, он проверяет SPF запись, опубликованную в вашем DNS. Если IP-адрес отправителя находится в этом 'списке', электронная почта доставляется. Если нет, то сервер отклоняет сообщение.

Как вы видите, SPF делает довольно хорошую работу, удерживая в тайне множество неприятных электронных писем, которые могут нанести вред вашему устройству или скомпрометировать системы безопасности вашей организации. Но SPF не так хорош, как некоторые могут подумать. Это потому, что у него есть некоторые очень серьезные недостатки. Давайте поговорим о некоторых из этих проблем.

Ограничения СПФ

Записи SPF не применимы к адресу "From".

Электронная почта имеет несколько адресов для идентификации отправителя: адрес From, который вы обычно видите, и адрес Return Path, который скрыт и требует одного или двух щелчков мыши для просмотра. С включенной функцией SPF принимающий почтовый сервер смотрит на путь возврата и проверяет записи SPF домена с этого адреса.

Проблема здесь заключается в том, что злоумышленники могут использовать это, используя поддельный домен в своем адресе пути возврата (Return Path address) и легитимный (или легальный) адрес электронной почты в разделе От (From). Даже если бы получатель проверял почтовый ID отправителя, он бы сначала увидел адрес From, и обычно не утруждается проверкой пути возврата. На самом деле, большинство людей даже не знает, что существует такая вещь, как адрес Return Path.

SPF можно довольно легко обойти, используя этот простой трюк, и даже домены, защищенные SPF, остаются в значительной степени уязвимыми.

Записи SPF имеют ограничение на поиск DNS

Записи SPF содержат список всех IP-адресов, разрешенных владельцем домена для отправки электронной почты. Однако, у них есть важный недостаток. Принимающему серверу необходимо проверить запись, чтобы убедиться, что отправитель авторизован, и, чтобы уменьшить нагрузку на сервер, записи SPF имеют ограничение на 10 DNS поисков.

Это означает, что если ваша организация использует несколько сторонних производителей, которые посылают электронную почту через ваш домен, запись SPF может в конечном итоге превысить этот лимит. Если правильно не оптимизировать (что не так-то просто сделать самому), записи SPF будут иметь очень ограничительный лимит. Когда вы превышаете этот лимит, реализация SPF считается недействительной и ваша электронная почта не работает SPF. Это может потенциально повредить скорости доставки вашей электронной почты.

 

SPF не всегда работает, когда электронная почта пересылается.

SPF имеет еще одну критическую точку отказа, которая может навредить доставке вашей электронной почты. Когда вы внедрили SPF на вашем домене и кто-то пересылает вашу электронную почту, пересылаемая электронная почта может быть отклонена из-за вашей политики SPF.

Это происходит потому, что переадресованное сообщение изменило получателя письма, но адрес отправителя остался прежним. Это становится проблемой, потому что сообщение содержит адрес From оригинального отправителя, но принимающий сервер видит другой IP. IP-адрес почтового сервера пересылки не включен в SPF-запись домена оригинального отправителя. Это может привести к тому, что письмо будет отклонено принимающим сервером.

Как DMARC решает эти проблемы?

DMARC использует комбинацию SPF и DKIM для аутентификации электронной почты. Электронная почта должна пройти либо SPF, либо DKIM, чтобы пройти DMARC и быть доставлена успешно. И это также добавляет одну ключевую особенность, которая делает его намного более эффективным, чем SPF или DKIM в одиночку: Отчетность.

С помощью отчетов DMARC вы ежедневно получаете обратную связь о состоянии ваших каналов электронной почты. Сюда входит информация о выравнивании DMARC, данные об электронных сообщениях, в которых произошла неудачная аутентификация, и подробности о возможных попытках подделки.

Если вам интересно, что можно сделать, чтобы не подделать, обратитесь к нашему удобному руководству по 5-ти лучшим способам избежать подделки электронной почты.