Сообщения

Если вы находитесь на этой странице, читая этот блог, есть шанс, что вы столкнулись с одним из следующих подсказок:

  • Записей SPF не найдено
  • Пропала запись SPF
  • Рекордов ПФП нет
  • Запись SPF не найдена
  • Записей в SPF не опубликовано
  • Не могу найти запись SPF

Подсказка просто означает, что ваш домен не настроен со стандартом почтовой аутентификации SPF. Запись SPF - это запись DNS TXT, которая публикуется в DNS вашего домена для проверки подлинности сообщений, проверяя их на соответствие авторизованным IP-адресам, которым разрешено отправлять сообщения электронной почты от имени вашего домена, включенного в запись SPF. Поэтому естественно, если ваш домен не аутентифицирован по протоколу SPF, вы можете столкнуться с сообщением "Запись SPF не найдена".

Что такое Основы политики в отношении отправителей (SPF)?

СтандартSPF аутентификации электронной почты - это механизм, используемый для предотвращения подделки электронной почты спамерами. Он использует записи DNS для проверки того, что серверу-отправителю разрешено отправлять электронную почту с доменного имени. SPF, что расшифровывается как Sender Policy Framework (структура политики отправителя), позволяет вам идентифицировать разрешенных отправителей электронной почты на вашем домене.

SPF - это система аутентификации "по пути", подразумевающая, что она связана с путём, по которому электронная почта поступает от исходного сервера-отправителя к серверу-получателю. SPF не только позволяет организациям авторизовать IP-адреса для использования своих доменных имен при отправке электронной почты, но и предоставляет способ, с помощью которого принимающий почтовый сервер может проверить эту авторизацию.

Нужно ли настраивать SPF?

Вам, вероятно, говорили, что вам необходима аутентификация электронной почты SPF (Sender Policy Framework). Но действительно ли она нужна бизнесу? И если да, то есть ли другие преимущества? Этот вопрос обычно возникает, когда предприятие становится крупным обменщиком электронной почты для своей организации. С помощью SPF вы можете отслеживать поведение электронной почты для выявления мошеннических сообщений и защиты вашего предприятия от спама, подмены и фишинговых атак. SPF помогает достичь максимальной доставляемости и защиты бренда путем проверки личности отправителей.

Как функционирует SPF?

  • Записи SPF - это специально отформатированные записи Системы Доменных Имен (DNS), опубликованные администраторами домена, которые определяют, какие почтовые серверы уполномочены отправлять почту от имени этого домена.
  • При настроенном SPF для вашего домена, каждый раз, когда письмо отправляется с вашего домена, почтовый сервер получателя просматривает спецификации для домена обратного пути в
  • DNS. Впоследствии он пытался сопоставить IP-адрес отправителя с авторизованными адресами, определенными в вашей записи SPF.
  • Согласно спецификациям политики SPF, принимающий сервер затем решает, доставлять, отклонять или отмечать электронную почту в случае неудачи с аутентификацией.

Разрушение синтаксиса рекорда SPF

Возьмем пример записи SPF для фиктивного домена с правильным синтаксисом:

v=spf1 ip4:29.337.148 include:domain.com -all

 

Остановка сообщения "Запись SPF не найдена".

Если вы хотите перестать получать раздражающее сообщение "Запись SPF не найдена", все, что вам нужно сделать, это настроить SPF для вашего домена, опубликовав запись DNS TXT. Вы можете использовать наш бесплатный генератор SPF-записей для создания мгновенной записи с правильным синтаксисом для публикации в вашем DNS.

Все, что тебе нужно сделать:

  • Выберите, хотите ли вы разрешить серверам, перечисленным в списке MX, отправлять электронную почту для вашего домена.
  • Выберите, хотите ли вы разрешить текущий IP-адрес домена для отправки электронной почты для этого домена.
  • Заполните IP-адреса, разрешенные для отправки электронной почты из вашего домена
  • Добавьте любые другие имена хостов или доменов серверов, которые могут доставлять или пересылать почту для вашего домена.
  • Выберите SPF режим политики или уровень строгости принимающего сервера от Fail (письма, не соответствующие требованиям, будут отклонены), Soft-fail (письма, не соответствующие требованиям, будут приняты, но помечены) и Neutral (письма, вероятно, будут приняты).
  • щёлкнуть на Сгенерировать запись SPF для мгновенного создания записи

В случае, если у вас уже настроен SPF для вашего домена, вы также можете воспользоваться нашим бесплатным SPF проверочным устройством для поиска и проверки вашей SPF записи и обнаружения проблем.

Достаточно ли публикации рекорда SPF?

Ответ - нет. Только SPF не может предотвратить подмену вашего бренда. Для оптимальной защиты от подмены прямого домена, фишинговых атак и BEC необходимо настроить DKIM и DMARC для вашего домена.

Кроме того, SPF имеет ограничение в 10 DNS-поисков. Если вы превысите этот лимит, ваш SPF сломается, и аутентификация не пройдет даже для легитимных писем. Вот почему вам нужен динамический SPF-флаттер, который поможет вам не превышать лимит в 10 DNS-поисков, а также держать вас в курсе изменений, вносимых поставщиками услуг обмена электронной почтой.

Надеюсь, этот блог помог вам решить вашу проблему, и вам больше никогда не придётся беспокоиться о том, что сообщение "Запись SPF не найдена" снова вас побеспокоит. Подпишитесь на бесплатную пробную проверку подлинности электронной почты, чтобы улучшить доставку и безопасность электронной почты уже сегодня!

 

Постоянно развивающаяся и бурно развивающаяся форма киберпреступности, которая нацелена на электронную почту как потенциальное средство для совершения мошенничества, известна как Business Email Compromise. Атаки BEC, направленные на коммерческие, правительственные и некоммерческие организации, могут привести к потере огромного количества данных, нарушению безопасности и компрометации финансовых активов. Это распространенное заблуждение, что киберпреступники обычно концентрируют свое внимание на ТНК и организациях корпоративного уровня. В наши дни малые и средние предприятия являются такой же мишенью для мошенничества с электронной почтой, как и крупные игроки отрасли. 

Как БЭС может повлиять на организации?

Примерами атак BEC являются такие сложные атаки социальной инженерии, как фишинг, мошенничество генерального директора, поддельные счета-фактуры, подмена электронной почты и др. Ее также можно назвать атакой с использованием самозванства, когда злоумышленник стремится обмануть компанию, выдавая себя за людей, занимающих авторитарные должности. Выдача себя за финансового директора или генерального директора, делового партнера или любого другого человека, которому вы слепо доверяете, - вот что способствует успеху этих атак.

Февраль 2021 года запечатлел деятельность российской кибербанды Cosmic Lynx, поскольку она использовала сложный подход к BEC. Эта группа уже была связана с проведением более 200 кампаний BEC с июля 2019 года, направленных на более чем 46 стран мира и сосредоточенных на гигантских ТНК, имеющих глобальное присутствие. Благодаря чрезвычайно хорошо написанным фишинговым письмам они делают невозможным для людей отличить настоящие сообщения от поддельных.

Благодаря удаленной работе приложения для видеоконференций стали незаменимыми после пандемии. Киберпреступники используют эту ситуацию, рассылая мошеннические электронные письма, которые выдают себя за уведомление с платформы видеоконференцсвязи Zoom. Это нацелено на кражу учетных данных для проведения массовых утечек данных компании.

Очевидно, что актуальность BEC в последнее время стремительно возрастает, а субъекты угроз придумывают все более изощренные и инновационные способы уйти от мошенничества. Атаки BEC затрагивают более 70% организаций по всему миру и приводят к потере миллиардов долларов каждый год. Именно поэтому эксперты отрасли разрабатывают протоколы аутентификации электронной почты, такие как DMARC, для обеспечения высокого уровня защиты от самозванства.

Что такое аутентификация электронной почты?

Аутентификацию электронной почты можно назвать одним из множества методов, применяемых для получения поддающейся проверке информации о происхождении электронной почты. Это делается путем аутентификации владельца домена агента(ов) по передаче почты, участвующего(щих) в передаче сообщения.

Простой протокол передачи почты (SMTP), который является промышленным стандартом для передачи электронной почты, не имеет такой встроенной функции для аутентификации сообщений. Поэтому злоумышленникам становится очень легко использовать недостаток безопасности для проведения фишинговых и поддельных атак на электронную почту. Это подчеркивает необходимость в эффективных протоколах аутентификации электронной почты, таких как DMARC, которые действительно выполняют свои требования!

Шаги по предотвращению BEC-атак с помощью DMARC

 

Шаг 1: Реализация 

Первым шагом в борьбе с BEC-атаками является фактическая настройка DMARC для вашего домена. DMARC (Domain-based Message Authentication, Reporting and Conformance) использует стандарты аутентификации SPF и DKIM для проверки электронной почты, отправленной с вашего домена. Он указывает принимающим серверам, как отвечать на электронные письма, которые не прошли одну или обе проверки подлинности, предоставляя владельцу домена контроль над ответом получателя. Таким образом, для внедрения DMARC вам необходимо:

  • Определите все действительные источники электронной почты, авторизованные для вашего домена
  • Публикация SPF записи в вашем DNS для настройки SPF для вашего домена
  • Публикация записи DKIM в вашем DNS для настройки DKIM для вашего домена
  • Публикация записи DMARC в вашей DNS для настройки DMARC для вашего домена

Чтобы избежать сложностей, вы можете использовать бесплатные инструменты PowerDMARC (бесплатный генератор записей SPF, бесплатный генератор записей DKIM, бесплатный генератор записей DMARC) для мгновенной генерации записей с правильным синтаксисом для публикации в DNS вашего домена.

Шаг 2: Обеспечение соблюдения 

Ваша политика DMARC может быть установлена:

  • p=none (DMARC только при мониторинге; сообщения, не прошедшие аутентификацию, все равно будут доставлены)
  • p=карантин (DMARC при внедрении; сообщения, не подтвердившие подлинность, будут помещены в карантин)
  • p=reject (DMARC при максимальном внедрении; сообщения с ошибкой аутентификации не будут доставляться вообще)

Мы рекомендуем вам начать использовать DMARC с политикой, включающей только мониторинг, чтобы вы могли следить за почтовым потоком и проблемами с доставкой. Однако, такая политика не обеспечит никакой защиты от BEC. Вот почему вам, в конце концов, придется перейти на внедрение DMARC. PowerDMARC поможет вам легко перейти от мониторинга к внедрению в кратчайшие сроки с помощью политики p=reject, которая поможет указать принимающим серверам, что электронная почта, отправленная с вредоносного источника, использующего ваш домен, вообще не будет доставляться в почтовый ящик получателя.

Шаг 3: Мониторинг и отчетность 

Вы установили политику DMARC на принудительное исполнение и успешно минимизировали атаки BEC, но достаточно ли этого? Ответ - нет. Вам по-прежнему необходим обширный и эффективный механизм отчетности для мониторинга потока электронной почты и реагирования на любые проблемы с доставкой. Многопользовательская SaaS-платформа PowerDMARC поможет вам:

  • держать под контролем свой домен
  • визуально контролировать результаты аутентификации для каждой электронной почты, пользователя и домена, зарегистрированного для вас
  • снимать оскорбительные IP-адреса, которые пытаются выдать себя за ваш бренд.

Отчеты DMARC доступны на приборной панели PowerDMARC в двух основных форматах:

  • Агрегированные отчеты DMARC (доступны в 7 различных видах)
  • Отчеты криминалистической экспертизы DMARC (с шифрованием для повышения конфиденциальности)

Комплекс мер по внедрению DMARC, обеспечению его соблюдения и отчетности поможет вам значительно снизить вероятность стать жертвой BEC-атаки и самозванства. 

С фильтрами для борьбы со спамом все еще нужен DMARC?

Да! DMARC работает совсем не так, как ваши обычные анти-спам фильтры и шлюзы безопасности электронной почты. Хотя эти решения обычно интегрируются с вашими "облачными" сервисами обмена электронной почтой, они могут предложить только защиту от попыток фишинга входящего трафика. Сообщения, отправляемые с вашего домена, все еще остаются под угрозой выдачи себя за другое лицо. Именно здесь на помощь приходит DMARC.

Дополнительные советы по повышению безопасности электронной почты

 

Всегда оставайтесь под 10-ю границами DNS поиска. 

Превышение лимита поиска SPF 10 может полностью аннулировать вашу запись SPF и привести к тому, что даже легитимные электронные письма не пройдут проверку подлинности. В таких случаях, если у вас DMARC настроен на отклонение, подлинные письма не будут доставлены. PowerSPF - это автоматический и динамический сглаживатель записей SPF, который смягчает пермеррор SPF, помогая вам оставаться в рамках жесткого ограничения SPF. Он автоматически обновляет сетевые блоки и сканирует изменения, внесенные поставщиками услуг электронной почты в их IP-адреса, постоянно, без какого-либо вмешательства с вашей стороны.

Обеспечение шифрования TLS электронной почты в режиме транзита

Хотя DMARC может защитить вас от атак социальной инженерии и BEC, вам все же необходимо подготовиться к таким распространенным атакам мониторинга, как Man-in-the-middle (MITM). Это можно сделать, убедившись, что соединение, защищенное по TLS, обговаривается между SMTP-серверами каждый раз, когда электронная почта отправляется на ваш домен. Хостинг MTA-STS от PowerDMARC делает шифрование TLS обязательным в SMTP и поставляется с простой процедурой реализации.

Получать отчеты о проблемах при доставке по электронной почте

Вы также можете включить SMTP TLS отчетность для получения диагностических отчетов о проблемах доставки электронной почты после настройки MTA-STS для вашего домена. TLS-RPT поможет вам получить представление о вашей экосистеме электронной почты и лучше реагировать на проблемы при согласовании защищенного соединения, приводящие к сбоям в доставке. Отчеты TLS доступны в двух видах (агрегированные отчеты по результатам и по источникам отправки) на приборной панели PowerDMARC.

Улучшить вашу марку вспомнить с BIMI 

С помощью BIMI (Brand Indicators for Message Identification - индикаторы бренда для идентификации сообщений) вы можете вывести отзыв вашего бренда на совершенно новый уровень, помогая вашим получателям визуально идентифицировать вас в своих почтовых ящиках. BIMI работает путем прикрепления вашего уникального логотипа бренда к каждому электронному письму, которое вы отправляете из своего домена. PowerDMARC делает внедрение BIMI простым с помощью всего 3 простых шагов со стороны пользователя.

PowerDMARC является единым пунктом назначения для множества протоколов аутентификации электронной почты, включая DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT. Зарегистрируйтесь сегодня и получите бесплатную пробную версию DMARC Analyzer!

Шифрование в SMTP является необязательным, что подразумевает, что электронные письма могут быть отправлены в открытом виде. Mail Transfer Agent-Strict Transport Security (MTA-STS) - это относительно новый стандарт, который позволяет поставщикам почтовых услуг применять Transport Layer Security (TLS) для обеспечения безопасности SMTP-соединений, а также указывать, должны ли отправляющие SMTP-серверы отказываться доставлять электронные письма на MX-узлы, которые не поддерживают TLS. Было доказано, что он успешно противодействует атакам на понижение уровня TLS и атакам типа "человек посередине" (MITM).

Включения MTA-STS просто недостаточно, так как требуется эффективный механизм отчетности для обнаружения сбоев в создании зашифрованного канала. SMTP TLS Reporting (TLS-RPT) - это стандарт, позволяющий сообщать о проблемах в TLS соединении, с которыми сталкиваются приложения, отправляющие электронную почту и обнаруживающие неправильные настройки. Он позволяет сообщать о проблемах с доставкой электронной почты, которые происходят, когда электронная почта не зашифрована с помощью TLS.

Простое внедрение MTA-STS с PowerMTA-STS

Внедрение МТА-СТС - сложная задача, которая сопряжена с множеством сложностей при усыновлении. От создания файлов политик и записей до обслуживания веб-сервера и сертификатов хостинга - это длительный процесс. PowerDMARC вас подстраховывает! Наши услуги хостинга MTA-STS обеспечивают следующие преимущества:

  • Публикуйте свои DNS CNAME записи всего несколькими щелчками мыши.
  • Мы берем на себя ответственность за обслуживание веб-сервера политики и хостинг сертификатов
  • Вы можете мгновенно и легко вносить изменения в политику MTA-STS через панель инструментов PowerDMARC, без необходимости вручную вносить изменения в DNS.
  • Услуги PowerDMARC по хостингу MTA-STS соответствуют RFC и поддерживают новейшие стандарты TLS.
  • От создания сертификатов и файлов политики MTA-STS до внедрения политики - мы поможем вам избежать огромных сложностей, связанных с принятием протокола.

Почему электронная почта требует шифрования в транзите?

Поскольку безопасность должна быть модернизирована в SMTP, чтобы она была обратно совместима путем добавления команды STARTTLS для инициации TLS шифрования, в случае, если клиент не поддерживает TLS, соединение возвращается обратно к чистому тексту. Таким образом, транзитная электронная почта может стать жертвой распространенных мониторинговых атак, таких как MITM, где злоумышленники могут подслушивать ваши сообщения, а также изменять и подделывать информацию путем замены или удаления команды шифрования (STARTTLS), заставляя коммуникацию откатиться обратно в чистый текст.

Именно здесь на помощь приходит MTA-STS, делая шифрование TLS обязательным в SMTP. Это помогает снизить угрозы MITM, подделки DNS и атак Downgrade.

После успешной настройки MTA-STS для вашего домена вам понадобится эффективный механизм отчетности, который поможет быстрее выявлять и реагировать на проблемы при доставке электронной почты из-за проблем с шифрованием TLS. PowerTLS-RPT делает именно это за вас!

Получать отчеты о проблемах с доставкой по электронной почте с помощью PowerTLS-RPT

TLS-RPT полностью интегрирован в пакет безопасности PowerDMARC, так что как только вы регистрируетесь в PowerDMARC и включаете SMTP TLS Reporting для вашего домена, мы берем на себя боль преобразования сложных JSON файлов, содержащих ваши отчеты о проблемах с доставкой электронной почты, в простые, читаемые документы, которые вы можете легко прочитать и понять!

На платформе PowerDMARC агрегированные отчеты TLS-RPT генерируются в двух форматах для удобства использования, лучшего понимания и лучшего восприятия пользователем:
  • Сводные отчеты по результатам
  • Совокупные отчеты по каждому отправляющему источнику

Более того, платформа PowerDMARC автоматически обнаруживает и впоследствии передает проблемы, с которыми вы сталкиваетесь, чтобы вы могли быстро их решить и устранить в кратчайшие сроки.

Зачем нужна отчетность SMTP TLS?

В случае сбоев в доставке электронной почты из-за проблем с TLS-шифрованием, с помощью TLS-RPT вы получите уведомление. TLS-RPT обеспечивает улучшенную видимость на всех ваших каналах электронной почты, так что вы получаете лучшее представление обо всем, что происходит в вашем домене, включая сообщения, которые не могут быть доставлены. Более того, он предоставляет подробные диагностические отчеты, которые позволяют вам идентифицировать и добраться до корня проблемы с доставкой электронной почты и исправить ее без каких-либо задержек.

Для получения практических знаний о внедрении и принятии MTA-STS и TLS-RPT, ознакомьтесь с нашим подробным руководством уже сегодня!

Настройте DMARC для вашего домена с помощью PowerDMARC, и внедрите лучшие методы почтовой аутентификации, такие как SPF, DKIM, BIMI, MTA-STS и TLS-RPT, все под одной крышей. Зарегистрируйтесь на бесплатную пробную версию DMARC уже сегодня!

Скорость, с которой электронная почта поступает в почтовые ящики получателей, называется скоростью доставки электронной почты. Эта скорость может замедляться или задерживаться или даже приводить к сбоям в доставке, когда электронная почта попадает в папку со спамом или блокируется принимающими серверами. По сути, это важный параметр для измерения успешности доставки писем, которые попадают в желаемые почтовые ящики получателей, не будучи помеченными как спам. Аутентификация электронной почты, безусловно, является одной из опций, к которой могут прибегнуть новички в области аутентификации, чтобы увидеть значительное улучшение в доставке электронной почты с течением времени.

В этом блоге мы здесь, чтобы поговорить с вами о том, как вы можете с легкостью улучшить скорость доставки электронной почты, а также обсудить лучшие отраслевые практики для обеспечения бесперебойного потока сообщений по всем вашим каналам электронной почты!

Что такое аутентификация электронной почты?

Аутентификация по электронной почте - это техника, используемая для проверки подлинности вашей электронной почты по отношению ко всем авторизованным источникам, которым разрешено отправлять электронную почту из вашего домена. Она также помогает в проверке подлинности домена любого Mail Transfer Agent (MTA), участвующего в передаче или изменении электронной почты.

Зачем нужна аутентификация электронной почты?

Simple Mail Transfer Protocol (SMTP), являющийся интернет-стандартом для передачи электронной почты, не содержит функции проверки подлинности входящей и исходящей почты, что позволяет злоумышленникам использовать отсутствие безопасных протоколов в SMTP. Он может использоваться злоумышленниками для совершения почтовых фишинговых атак, атак BEC и подделок домена, в результате которых они могут выдать себя за ваш бренд и нанести вред его репутации и доверию. Аутентификация электронной почты повышает безопасность вашего домена от подражания и мошенничества, указывая принимающим серверам, что ваша электронная почта соответствует DMARC и поступает из достоверных и аутентичных источников. Она также служит контрольным пунктом для выявления несанкционированных и вредоносных IP-адресов, отправляющих электронную почту с вашего домена.

Чтобы защитить имидж вашего бренда, минимизировать киберугрозы, BEC и обеспечить более высокую скорость доставки, аутентификация электронной почты является обязательным условием!

Аутентификация по электронной почте Лучшие практики

Основы политики в отношении отправителей (ОП)

SPF присутствует в вашем DNS в качестве записи TXT, отображая все действительные источники, которые авторизованы для отправки электронной почты из вашего домена. Каждое электронное сообщение, которое покидает ваш домен, имеет IP-адрес, который идентифицирует ваш сервер и поставщика услуг электронной почты, используемого вашим доменом, который занесен в ваш DNS в качестве записи SPF. Почтовый сервер получателя проверяет электронную почту на соответствие записям SPF и, соответственно, помечает электронную почту как прошедшую или не прошедшую SPF.

Обратите внимание, что SPF имеет 10 лимитов DNS поиска, превышение которых может вернуть результат PermError и привести к сбою SPF. Это можно смягчить, используя PowerSPF, чтобы всегда оставаться под лимитом поиска!

Доменные ключи идентифицированной почты (DKIM)

DKIM - это стандартный протокол аутентификации электронной почты, который назначает криптографическую подпись, созданную с помощью закрытого ключа, для проверки электронных писем на принимающем сервере, где получатель может получить открытый ключ из DNS отправителя для проверки подлинности сообщений. Подобно SPF, открытый ключ DKIM также существует в виде TXT-записи в DNS владельца домена.

Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC)

Простого внедрения SPF и DKIM просто недостаточно, так как владельцы доменов не могут контролировать, как принимающие серверы реагируют на сообщения электронной почты, которые не прошли проверку подлинности.

DMARC является наиболее широко используемым стандартом почтовой аутентификации в настоящее время, который разработан для того, чтобы дать владельцам доменов возможность указывать принимающим серверам, как они должны обрабатывать сообщения, которые не работают в SPF или DKIM, или и то, и другое. Это, в свою очередь, помогает защитить их домен от неавторизованного доступа и атак подмены электронной почты.

Как DMARC может улучшить доставку электронной почты?

  • При публикации DMARC-записи в DNS вашего домена, владелец домена запрашивает принимающие серверы, поддерживающие DMARC, для отправки обратной связи по электронной почте, которую они получают для этого домена, автоматически указывая принимающим серверам, что ваш домен расширяет поддержку безопасных протоколов и стандартов аутентификации для электронной почты, таких как DMARC, SPF и DKIM.
  • Совокупные отчеты DMARC помогают вам получить более полное представление об экосистеме электронной почты, позволяя просматривать результаты аутентификации электронной почты, обнаруживать сбои в аутентификации и устранять проблемы, связанные с доставкой.
  • Применяя свою политику DMARC, вы можете блокировать вредоносные электронные письма, выдающие себя за ваш бренд, от посадки в почтовые ящики ваших получателей.

Дополнительные советы по улучшению доставки электронной почты:

  • Включите визуальную идентификацию вашего бренда в почтовых ящиках ваших приемников с помощью BIMI
  • Обеспечьте TLS-шифрование электронной почты во время транзита с помощью MTA-STS .
  • Выявление проблем с доставкой электронной почты и реагирование на них путем создания обширного механизма отчетности с помощью TLS-RPT.

PowerDMARC - это единая почтовая SaaS-платформа для аутентификации, которая объединяет под одной крышей все лучшие методы аутентификации электронной почты, такие как DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT. Зарегистрируйтесь сегодня в PowerDMARC и убедитесь в значительном улучшении доставки электронной почты с помощью нашего улучшенного пакета безопасности и аутентификации электронной почты.

Business Email Compromise или BEC - это форма нарушения безопасности электронной почты или атаки под видом самозванца, которая затрагивает коммерческие, государственные, некоммерческие организации, малый бизнес и стартапы, а также ТНК и предприятия с целью извлечения конфиденциальных данных, которые могут негативно повлиять на бренд или организацию. Атаки фишинга на копье, мошенничество со счетами и спуфинг - все это примеры BEC.

Киберпреступники - это опытные интриганы, которые намеренно выбирают в качестве мишени конкретных людей в организации, особенно тех, кто занимает авторитарные должности, например, генерального директора или кого-то подобного, или даже доверенного клиента. Финансовые последствия BEC в мире огромны, особенно в США, которые стали основным центром. Подробнее о глобальном объеме мошенничества BEC. Решение? Переходите на DMARC!

Что такое ДМАРК?

Аутентификация, отчетность и соответствие сообщений на основе домена (DMARC) - это промышленный стандарт для аутентификации электронной почты. Этот механизм аутентификации указывает принимающим серверам, как реагировать на электронные письма, не прошедшие проверки подлинности SPF и DKIM. DMARC может свести к минимуму вероятность того, что ваш бренд станет жертвой BEC-атак на значительную долю, и поможет защитить репутацию, конфиденциальную информацию и финансовые активы вашего бренда.

Обратите внимание, что перед публикацией записи DMARC, вам нужно применить SPF и DKIM для вашего домена, поскольку DMARC аутентификация использует эти два стандартных протокола аутентификации для проверки сообщений, отправленных от имени вашего домена.

Вы можете использовать наши бесплатные SPF Record Generator и DKIM Record Generator для генерации записей для публикации в DNS вашего домена.

Как оптимизировать записи DMARC для защиты от BEC?

Для защиты вашего домена от Компромисса деловой почты, а также для обеспечения расширенного механизма отчетности для отслеживания результатов аутентификации и получения полной видимости вашей экосистемы электронной почты, мы рекомендуем вам опубликовать следующий синтаксис записи DMARC в DNS вашего домена:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Понимание тегов, используемых при генерации записи DMARC:

v (обязательно)Этот механизм определяет версию протокола.
p (обязательно)Этот механизм определяет используемую политику DMARC. Вы можете установить вашу политику DMARC:

p=none (DMARC при мониторинге только тех писем, которые не прошли проверку подлинности, все равно попадут в почтовые ящики получателей). p=quarantine (DMARC при внедрении, где письма, не прошедшие проверку подлинности, будут помещены в карантин или в папку для спама).

p=reject (DMARC при максимальном применении, в котором сообщения по электронной почте, не прошедшие проверку подлинности, будут отбрасываться или не доставляться вообще).

Для новичков в аутентификации рекомендуется начинать с политики только с мониторинга (p=none), а затем медленно переходить к внедрению. Однако для целей этого блога, если вы хотите защитить свой домен от BEC, p=reject является рекомендуемой политикой для вас, чтобы обеспечить максимальную защиту.

(опционально) Этот тег определяет политику поддоменов, которая может быть установлена на sp=none/carantine/reject запрос политики для всех поддоменов, в которых сообщения электронной почты не проходят проверку подлинности DMARC.

Этот тег полезен только в том случае, если вы хотите установить другую политику для вашего основного домена и субдоменов. Если не указать одну и ту же политику, она будет применяться ко всем вашим субдоменам по умолчанию.

адким (опционально)Этот механизм задает режим выравнивания DKIM-идентификатора, который может быть установлен в s (строгий) или r (расслабленный).

Строгое выравнивание указывает, что поле d= в DKIM подписи почтового заголовка должно быть выровнено и точно совпадать с доменом, найденным в заголовке from.

Тем не менее, для расслабленного выравнивания эти два домена должны разделять только один и тот же организационный домен.

галька (опциональная) Этот механизм определяет режим выравнивания идентификатора SPF, который может быть установлен в s (строгий) или r (расслабленный).

Строгое выравнивание указывает, что домен в заголовке "Return-path" должен быть выровнен и точно совпадать с доменом, найденным в заголовке from.

Тем не менее, для расслабленного выравнивания эти два домена должны разделять только один и тот же организационный домен.

руа (необязательно, но рекомендуется)Этот тег определяет DMARC агрегированные отчеты, которые отправляются по адресу, указанному после поля mailto:, обеспечивая понимание прохождения и отказа DMARC электронной почты.
руф (необязательно, но рекомендуется)Этот тег указывает DMARC-отчеты о криминалистике, которые должны быть отправлены по адресу, указанному после поля mailto:. Судебно-медицинские отчёты - это отчёты на уровне сообщений, которые предоставляют более подробную информацию об ошибках аутентификации. Так как эти отчеты могут содержать содержимое электронной почты, их шифрование является лучшей практикой.
пункт (необязательно)Этот тег определяет процент сообщений электронной почты, к которым применима политика DMARC. Значение по умолчанию установлено на 100.
fo (необязательно, но рекомендуется)Для вашей записи DMARC можно настроить параметры криминалистики:

->DKIM и СПФ не проходят и не выравниваются (0).

->DKIM или СПФ не проходят и не выравниваются (1).

->DKIM не проходит и не выравнивается (d)

->SPF не проходит и не выравнивается (ы).

Рекомендуемый режим fo=1, указывающий, что отчеты криминалистов должны генерироваться и отправляться в ваш домен всякий раз, когда электронная почта не проходит проверку DKIM или SPF-аутентификации.

Вы можете сгенерировать свою запись DMARC с помощью бесплатного DMARC Record Generator от PowerDMARC, в котором вы можете выбрать поля в соответствии с желаемым уровнем исполнения.

Обратите внимание, что только политика внедрения отклонения может минимизировать BEC и защитить ваш домен от атак спуфинга и фишинга.

Хотя DMARC может быть эффективным стандартом для защиты вашего бизнеса от BEC, правильное внедрение DMARC требует усилий и ресурсов. Независимо от того, являетесь ли вы новичком в аутентификации или любителем аутентификации, как пионеры в аутентификации электронной почты, PowerDMARC представляет собой единую SaaS-платформу для аутентификации электронной почты, которая сочетает в себе все лучшие методы аутентификации электронной почты, такие как DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT, под одной крышей для вас. Мы поможем вам:

  • Перейти от мониторинга к правоприменению в кратчайшие сроки, чтобы удержать BEC на расстоянии.
  • Наши сводные отчеты генерируются в виде упрощенных диаграмм и таблиц, чтобы помочь вам легко их понять без необходимости читать сложные XML-файлы.
  • Мы шифруем ваши криминалистические отчеты для защиты конфиденциальности вашей информации.
  • Просмотр результатов аутентификации в 7 различных форматах (по результату, по источнику отправки, по организации, по хосту, подробная статистика, отчеты о геолокации, по стране) на нашей удобной приборной панели для оптимального восприятия пользователем
  • Получите 100% DMARC соответствие, выравнивая свою электронную почту по SPF и DKIM так, чтобы электронная почта, не прошедшая ни одну из контрольных точек аутентификации, не попадала в почтовые ящики ваших получателей.

Как DMARC защищает от BEC?

Как только вы устанавливаете политику DMARC на максимальное применение (p=reject), DMARC защищает ваш бренд от мошенничества с электронной почтой, снижая шансы атак на выдачу себя за другое лицо и злоупотребление доменом. Все входящие сообщения проверяются на SPF и DKIM проверку подлинности электронной почты, чтобы убедиться, что они исходят из достоверных источников.

SPF присутствует в вашем DNS в виде TXT-записи, отображающей все действительные источники, которые имеют право отправлять электронную почту с вашего домена. Почтовый сервер получателя проверяет электронное письмо по вашей записи SPF, чтобы подтвердить его подлинность. DKIM присваивает криптографическую подпись, созданную с помощью закрытого ключа, для проверки электронной почты на сервере-получателе, где получатель может получить открытый ключ из DNS отправителя для проверки подлинности сообщений.

С вашей политикой отклонения электронные письма вообще не доставляются в почтовый ящик получателя, если проверка подлинности не прошла, что указывает на то, что ваш бренд выдается за другой. В конечном итоге это предотвращает такие атаки BEC, как спуфинг и фишинг.

Базовый план PowerDMARC для малого бизнеса

Наш базовый план начинается всего с 8 долларов США в месяц, поэтому малый бизнес и стартапы, пытающиеся внедрить защищенные протоколы, такие как DMARC, могут легко его использовать. Преимущества, которые вы получите с помощью этого плана, следующие:

  • Экономьте 20% на вашем годовом плане
  • До 2 000 000 электронных писем в соответствии с DMARC
  • До 5 доменов
  • История данных за 1 год
  • 2 Пользователи платформы
  • Хостинг BIMI
  • Хостинг МТА-СТС
  • TLS-RPT

Зарегистрируйтесь в PowerDMARC сегодня и защитите домен вашего бренда, минимизируя шансы на компрометацию деловой почты и мошенничество с электронной почтой!