Сообщения

Аутентификация электронной почты - важный аспект работы поставщика услуг электронной почты. Аутентификация электронной почты, также известная как SPF и DKIM, проверяет личность провайдера электронной почты. DMARC добавляет процесс проверки электронной почты, проверяя, было ли письмо отправлено с легитимного домена посредством выравнивания, и указывая принимающим серверам, как реагировать на сообщения, не прошедшие проверку подлинности. Сегодня мы обсудим различные сценарии, которые могли бы ответить на ваш вопрос о том, почему DMARC не работает.

DMARC является ключевым действием в вашей политике аутентификации электронной почты, чтобы помочь предотвратить поддельные "поддельные" письма от прохождения транзакционных спам-фильтров. Но, это всего лишь один из столпов общей программы борьбы со спамом, и не все отчеты DMARC создаются одинаково. Некоторые скажут вам, какие именно действия были предприняты получателями почты по каждому сообщению, а другие скажут вам только, было ли сообщение успешным или нет. Понимание того, почему сообщение было неудачным, так же важно, как и знание того, было ли оно неудачным. Следующая статья объясняет причины, по которым сообщения не прошли проверку подлинности DMARC. Это наиболее распространенные причины (некоторые из которых можно легко исправить), по которым сообщения могут не пройти проверку подлинности DMARC.

Общие причины, по которым сообщения могут давать сбои DMARC

Определить, почему DMARC терпит неудачу, может быть сложно. Однако я рассмотрю некоторые типичные причины, факторы, способствующие их возникновению, чтобы вы, как владелец домена, могли работать над более быстрым устранением проблемы.

Неисправности выравнивания DMARC

DMARC использует выравнивание доменов для аутентификации вашей электронной почты. Это означает, что DMARC проверяет, является ли домен, упомянутый в адресе From (в видимом заголовке), аутентичным, сопоставляя его с доменом, упомянутым в скрытом заголовке Return-path (для SPF) и заголовке DKIM подписи (для DKIM). Если любое из этих совпадений совпадает, электронная почта передает DMARC, иначе DMARC не работает.

Следовательно, если ваша электронная почта не работает по DMARC, это может быть случаем несовпадения домена. То есть ни SPF, ни DKIM идентификаторы не выравниваются, и электронная почта, похоже, отправляется из неавторизованного источника. Однако, это лишь одна из причин, по которой DMARC терпит неудачу.

Режим выравнивания DMARC 

Ваш режим выравнивания протоколов также играет огромную роль в передаче или отказе DMARC сообщений. Вы можете выбрать один из следующих режимов выравнивания для SPF-аутентификации:

  • Расслабленный: Это означает, что если домен в заголовке Return-path и домен в заголовке From просто организационное совпадение, то даже в этом случае SPF пройдет.
  • Строго: Это означает, что только если домен в заголовке Return-path и домен в заголовке From точно совпадают, то только тогда SPF пройдет.

Вы можете выбрать один из следующих режимов выравнивания для DKIM-аутентификации:

  • Расслабленный: Это означает, что если домен в подписи DKIM и домен в заголовке From просто организационное совпадение, то даже тогда DKIM пройдет.
  • Строго: Это означает, что только если домен в подписи DKIM и домен в заголовке From точно совпадают, то только тогда DKIM пройдет.

Обратите внимание, что для того, чтобы электронная почта прошла DMARC-аутентификацию, необходимо выровнять либо SPF, либо DKIM.  

Не Настройка подписи DKIM 

Очень распространенный случай, в котором ваш DMARC может не работать, это то, что вы не указали DKIM подпись для вашего домена. В таких случаях поставщик услуг электронной почты назначает DKIM подпись по умолчанию для ваших исходящих сообщений электронной почты, которые не совпадают с доменом в вашем заголовке From. Принимающий MTA не выравнивает два домена, и, следовательно, DKIM и DMARC не работают с вашими сообщениями (если ваши сообщения выравниваются по SPF и DKIM).

Не добавлять источники отправки в DNS 

Важно отметить, что когда вы устанавливаете DMARC для вашего домена, получение MTA выполняет DNS-запросы для авторизации ваших источников отправки. Это означает, что если вы не имеете всех ваших авторизованных посылающих источников, перечисленных в DNS вашего домена, ваша электронная почта не сможет DMARC для тех источников, которые не перечислены, так как получатель не сможет найти их в вашей DNS. Следовательно, чтобы гарантировать, что ваша законная электронная почта всегда доставляется, убедитесь, что все ваши авторизованные сторонние почтовые поставщики, которые уполномочены посылать электронную почту от имени вашего домена, внесены в ваш DNS.

В случае пересылки электронной почты

Во время переадресации электронной почты письмо проходит через посреднический сервер, прежде чем оно в конечном итоге будет доставлено на принимающий сервер. Во время пересылки почты проверка SPF не удаётся, так как IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись оригинального сервера. Напротив, пересылка электронной почты обычно не влияет на DKIM аутентификацию электронной почты, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержание сообщения.

Как мы знаем, SPF неизбежно терпит неудачу во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемая электронная почта будет признана нелегитимной во время DMARC аутентификации. Чтобы решить эту проблему, вы должны немедленно выбрать полное соответствие DMARC в вашей организации путем выравнивания и аутентификации всех исходящих сообщений против SPF и DKIM, так как для того, чтобы электронная почта прошла DMARC аутентификацию, электронная почта должна будет пройти либо SPF, либо DKIM аутентификацию и выравнивание.

Твой дом подделывают...

Если у вас есть протоколы DMARC, SPF и DKIM, правильно настроенные для вашего домена, с вашими политиками по внедрению и действительными безошибочными записями, и проблема не в одном из вышеупомянутых случаев, то наиболее вероятная причина, по которой ваша электронная почта не работает DMARC, заключается в том, что ваш домен подделывается или фальсифицируется. Это происходит, когда подражатели и актеры угроз пытаются посылать сообщения электронной почты, которые, кажется, приходят с вашего домена, используя вредоносный IP адрес.

Последние статистические данные о почтовом мошенничестве пришли к выводу, что случаи почтового подлога в последнее время растут и представляют собой очень большую угрозу для репутации вашей организации. В таких случаях, если DMARC внедрил политику отклонения, она не будет работать, и поддельная электронная почта не будет доставляться в почтовый ящик получателя. Следовательно, подделка домена может быть ответом на вопрос, почему DMARC терпит неудачу в большинстве случаев.

Мы рекомендуем вам зарегистрироваться с нашим бесплатным DMARC Analyzer и начать свой путь DMARC отчетности и мониторинга.

  • При отсутствии политики вы можете контролировать свой домен с помощью отчетов DMARC (RUA) Aggregate Reports и внимательно следить за входящей и исходящей электронной почтой, это поможет вам ответить на любые нежелательные вопросы о доставке.
  • После этого мы поможем вам перейти к принудительной политике, которая, в конечном счете, поможет вам получить иммунитет от подделок домена и фишинговых атак.
  • Вы можете удалять вредоносные IP-адреса и сообщать о них непосредственно с платформы PowerDMARC, чтобы избежать будущих атак подражания, с помощью нашего механизма Threat Intelligence.
  • Судебные отчёты DMARC (RUF) PowerDMARC помогут Вам получить подробную информацию о случаях, когда Ваша электронная почта потерпела неудачу DMARC, так что Вы сможете добраться до корня проблемы и исправить её.

Предотвратите подмену домена и отслеживайте электронный поток с помощью PowerDMARC - сегодня!

Когда электронное сообщение отправляется с сервера-отправителя, непосредственно на сервер-получатель, SPF и DKIM (при правильной настройке) обычно аутентифицируют электронное сообщение и обычно эффективно подтверждают его как легитимное или несанкционированное. Однако, это не так, если письмо проходит через посреднический почтовый сервер до того, как оно будет доставлено получателю, например, в случае пересылаемых сообщений. Этот блог предназначен для того, чтобы рассказать вам о влиянии пересылки электронной почты на результаты DMARC-аутентификации.

Как мы уже знаем, DMARC использует два стандартных протокола аутентификации электронной почты, а именно SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), для проверки входящих сообщений. Давайте обсудим их вкратце, чтобы лучше понять, как они работают, прежде чем переходить к тому, как пересылка может на них повлиять.

Основы политики в отношении отправителей

SPF присутствует в вашем DNS в качестве записи TXT, отображая все действительные источники, которые авторизованы для отправки электронной почты из вашего домена. Каждое электронное сообщение, которое покидает ваш домен, имеет IP-адрес, который идентифицирует ваш сервер и поставщика услуг электронной почты, используемого вашим доменом, который занесен в ваш DNS в качестве записи SPF. Почтовый сервер получателя проверяет электронную почту на соответствие записям SPF и, соответственно, помечает электронную почту как прошедшую или не прошедшую SPF.

DomainKeys Идентифицированная почта

DKIM - это стандартный протокол аутентификации электронной почты, который назначает криптографическую подпись, созданную с помощью закрытого ключа, для проверки подлинности электронной почты на принимающем сервере, где получатель может получить открытый ключ от DNS отправителя для аутентификации сообщений. Как и SPF, открытый ключ DKIM также существует в виде TXT-записи в DNS владельца домена.

Влияние пересылки электронной почты на результаты проверки подлинности DMARC

Во время переадресации электронной почты письмо проходит через посреднический сервер, прежде чем оно в конечном итоге будет доставлено на принимающий сервер. Во-первых, важно понимать, что пересылка почты может осуществляться двумя способами - либо почта может пересылаться вручную, что не влияет на результаты аутентификации, либо пересылаться автоматически, и в этом случае процедура аутентификации все же принимает удар, если домен не имеет записи об источнике промежуточной пересылки в своем SPF.

Естественно, обычно во время пересылки почты проверка SPF не проходит, так как IP-адрес сервера-посредника не совпадает с IP-адресом сервера-отправителя, и этот новый IP-адрес обычно не включается в SPF-запись оригинального сервера. Напротив, пересылка электронной почты обычно не влияет на DKIM аутентификацию электронной почты, если только сервер-посредник или пересылающая организация не вносят определенные изменения в содержание сообщения.

Обратите внимание, что для того, чтобы электронное письмо прошло DMARC аутентификацию, оно должно пройти либо SPF, либо DKIM аутентификацию и выравнивание. Как мы знаем, SPF неизбежно провалится во время пересылки электронной почты, если в случае, если источник отправки является DKIM нейтральным и полагается только на SPF для проверки подлинности, пересылаемое электронное сообщение будет признано нелегитимным во время DMARC-аутентификации.

Решение? Простое. Вы должны немедленно выбрать полное соответствие DMARC в вашей организации, выравнивая и аутентифицируя все входящие сообщения против SPF и DKIM!

Достижение соответствия DMARC с PowerDMARC

Важно отметить, что для достижения соответствия DMARC электронная почта должна быть аутентифицирована либо по SPF, либо по DKIM, либо по обоим направлениям. Однако, если пересылаемые сообщения не будут проверяться на соответствие DKIM, и не будут полагаться только на SPF для проверки подлинности, DMARC неизбежно потерпит неудачу, как обсуждалось в нашей предыдущей секции. Вот почему PowerDMARC помогает вам достичь полного соответствия DMARC, эффективно выравнивая и аутентифицируя сообщения электронной почты по протоколам SPF и DKIM аутентификации. Таким образом, даже если пересылаемые сообщения не соответствуют SPF, DKIM подпись может быть использована для подтверждения их подлинности как легитимных, а электронная почта проходит DMARC аутентификацию, после чего попадает в почтовый ящик получателя.

Исключительные случаи: Неудача DKIM и как ее решить?

В некоторых случаях организация, осуществляющая пересылку, может изменить тело письма, внеся изменения в границы MIME, внедрив антивирусные программы или перекодировав сообщение. В таких случаях аутентификация SPF и DKIM не работает, и легитимные электронные письма не доставляются.

В случае сбоя SPF и DKIM PowerDMARC способен определить и отобразить, что в наших подробных совокупных представлениях и протоколах, таких как Authenticated Received Chain, можно использовать почтовые серверы для аутентификации таких сообщений электронной почты. В ARC заголовок Authentication-Results может передаваться на следующий 'переход' в строке доставки сообщения, чтобы эффективно смягчить проблемы аутентификации при пересылке почты.

В случае переадресованного сообщения, когда почтовый сервер получателя получает сообщение, которое не прошло проверку подлинности DMARC, он пытается проверить это сообщение второй раз, сопоставляя его с предоставленной цепью аутентифицированных полученных сообщений путем извлечения результатов проверки подлинности ARC (ARC Authentication-Results of the initial hop), чтобы проверить, было ли оно проверено на легитимность, прежде чем сервер-посредник переадресовал его на сервер-получатель.

Так что запишитесь в PowerDMARC сегодня и достигните соответствия DMARC в вашей организации!