Сообщения

Как поставщику услуг DMARC, нам часто задают этот вопрос: "Если DMARC просто использует SPF и DKIM аутентификацию, зачем нам беспокоиться о DMARC? Разве это не лишнее?"

На первый взгляд может показаться, что это мало что меняет, но реальность совсем другая. DMARC - это не просто комбинация технологий SPF и DKIM, это совершенно новый протокол сам по себе. Он имеет несколько особенностей, которые делают его одним из самых продвинутых стандартов аутентификации электронной почты в мире, и абсолютную необходимость для бизнеса.

Но подожди минутку. Мы не ответили точно, зачем вам нужен DMARC. Что он предлагает, чего нет у SPF и DKIM? Ну, это довольно длинный ответ, слишком длинный для одной записи в блоге. Так что давайте разделим его и сначала поговорим о SPF. На случай, если вы не знакомы с ним, вот краткое вступление.

Что такое SPF?

SPF, или Sender Policy Framework, является протоколом аутентификации электронной почты, который защищает получателя электронной почты от подделок. По сути, это список всех IP-адресов, разрешенных для отправки электронной почты по вашим (владельца домена) каналам. Когда принимающий сервер видит сообщение из вашего домена, он проверяет SPF запись, опубликованную в вашем DNS. Если IP-адрес отправителя находится в этом 'списке', электронная почта доставляется. Если нет, то сервер отклоняет сообщение.

Как вы видите, SPF делает довольно хорошую работу, удерживая в тайне множество неприятных электронных писем, которые могут нанести вред вашему устройству или скомпрометировать системы безопасности вашей организации. Но SPF не так хорош, как некоторые могут подумать. Это потому, что у него есть некоторые очень серьезные недостатки. Давайте поговорим о некоторых из этих проблем.

Ограничения СПФ

Записи SPF не применимы к адресу "From".

Электронная почта имеет несколько адресов для идентификации отправителя: адрес From, который вы обычно видите, и адрес Return Path, который скрыт и требует одного или двух щелчков мыши для просмотра. С включенной функцией SPF принимающий почтовый сервер смотрит на путь возврата и проверяет записи SPF домена с этого адреса.

Проблема здесь заключается в том, что злоумышленники могут использовать это, используя поддельный домен в своем адресе пути возврата (Return Path address) и легитимный (или легальный) адрес электронной почты в разделе От (From). Даже если бы получатель проверял почтовый ID отправителя, он бы сначала увидел адрес From, и обычно не утруждается проверкой пути возврата. На самом деле, большинство людей даже не знает, что существует такая вещь, как адрес Return Path.

SPF можно довольно легко обойти, используя этот простой трюк, и даже домены, защищенные SPF, остаются в значительной степени уязвимыми.

Записи SPF имеют ограничение на поиск DNS

Записи SPF содержат список всех IP-адресов, разрешенных владельцем домена для отправки электронной почты. Однако, у них есть важный недостаток. Принимающему серверу необходимо проверить запись, чтобы убедиться, что отправитель авторизован, и, чтобы уменьшить нагрузку на сервер, записи SPF имеют ограничение на 10 DNS поисков.

Это означает, что если ваша организация использует несколько сторонних производителей, которые посылают электронную почту через ваш домен, запись SPF может в конечном итоге превысить этот лимит. Если правильно не оптимизировать (что не так-то просто сделать самому), записи SPF будут иметь очень ограничительный лимит. Когда вы превышаете этот лимит, реализация SPF считается недействительной и ваша электронная почта не работает SPF. Это может потенциально повредить скорости доставки вашей электронной почты.

 

SPF не всегда работает, когда электронная почта пересылается.

SPF имеет еще одну критическую точку отказа, которая может навредить доставке вашей электронной почты. Когда вы внедрили SPF на вашем домене и кто-то пересылает вашу электронную почту, пересылаемая электронная почта может быть отклонена из-за вашей политики SPF.

Это происходит потому, что переадресованное сообщение изменило получателя письма, но адрес отправителя остался прежним. Это становится проблемой, потому что сообщение содержит адрес From оригинального отправителя, но принимающий сервер видит другой IP. IP-адрес почтового сервера пересылки не включен в SPF-запись домена оригинального отправителя. Это может привести к тому, что письмо будет отклонено принимающим сервером.

Как DMARC решает эти проблемы?

DMARC использует комбинацию SPF и DKIM для аутентификации электронной почты. Электронная почта должна пройти либо SPF, либо DKIM, чтобы пройти DMARC и быть доставлена успешно. И это также добавляет одну ключевую особенность, которая делает его намного более эффективным, чем SPF или DKIM в одиночку: Отчетность.

С помощью отчетов DMARC вы ежедневно получаете обратную связь о состоянии ваших каналов электронной почты. Сюда входит информация о выравнивании DMARC, данные об электронных сообщениях, в которых произошла неудачная аутентификация, и подробности о возможных попытках подделки.

Если вам интересно, что можно сделать, чтобы не подделать, обратитесь к нашему удобному руководству по 5-ти лучшим способам избежать подделки электронной почты.

Развенчание мифов о DMARC

Многие люди не сразу понимают, что делает DMARC и как он предотвращает подмену домена, выдачу себя за другого и мошенничество. Это может привести к серьезным заблуждениям относительно DMARC, того, как работает аутентификация электронной почты, и почему это полезно для вас. Но как понять, что правильно, а что нет? И как вы можете быть уверены в том, что применяете его правильно? 

PowerDMARC пришел на помощь! Чтобы помочь вам лучше понять DMARC, мы составили этот список из 6 наиболее распространенных заблуждений о DMARC.

Ошибочные представления о DMARC

1. DMARC такой же, как и спам-фильтр.

Это одна из самых распространенных ошибок, которые люди допускают в отношении DMARC. Спам-фильтры блокируют входящую электронную почту, которая доставляется в ваш почтовый ящик. Это могут быть подозрительные письма, отправленные с любого домена, а не только с вашего. DMARC, с другой стороны, сообщает принимающим почтовым серверам, как обрабатывать исходящие сообщения, отправленные с вашего домена. Фильтры спама, такие как Microsoft Office 365 ATP, не защищают от таких кибератак. Если ваш домен поддерживает DMARC и письмо не прошло проверку подлинности, принимающий сервер отклоняет его.

2. После того, как вы настроите DMARC, ваша электронная почта будет в безопасности навсегда.

DMARC - один из самых передовых протоколов аутентификации электронной почты, но это не значит, что он полностью самодостаточен. Вам необходимо регулярно отслеживать отчеты DMARC, чтобы убедиться, что электронные письма из авторизованных источников не отклоняются. Что еще более важно, необходимо проверять, не злоупотребляют ли неавторизованные отправители вашим доменом. Если вы видите, что IP-адрес предпринимает неоднократные попытки подделать вашу электронную почту, необходимо немедленно принять меры и внести его в черный список или удалить.

3. DMARC уменьшит доставку моей электронной почты

Когда вы устанавливаете DMARC, важно сначала установить вашу политику на p=none. Это означает, что все ваши сообщения электронной почты все равно будут доставляться, но вы будете получать отчеты DMARC о том, прошли они или нет аутентификацию. Если во время этого периода мониторинга вы увидите, что ваша электронная почта не прошла проверку DMARC, вы можете принять меры для решения проблем. После того, как все ваши авторизованные сообщения электронной почты будут подтверждены корректно, вы можете внедрить DMARC с политикой p=карантин или p=отказ.

4. Мне не нужно обеспечивать соблюдение DMARC (p=none - достаточно).

Когда вы настраиваете DMARC, не применяя его (политика p=none), вся электронная почта с вашего домена, включая те, которые не работают с DMARC, доставляется. Вы будете получать отчеты DMARC, но не будете защищать свой домен от любых попыток подделки. После начального периода мониторинга (объясненного выше), абсолютно необходимо установить вашу политику p=карантин или p=отклонить и внедрить DMARC.

5. Только крупные бренды нуждаются в DMARC

Многие небольшие организации считают, что защита DMARC нужна только самым крупным и узнаваемым брендам. На самом деле киберпреступники могут использовать любой бизнес-домен для проведения поддельной атаки. Многие малые предприятия, как правило, не имеют специальных команд по кибербезопасности, что еще больше облегчает злоумышленникам атаку на малые и средние организации. Помните, что каждая организация, имеющая доменное имя, нуждается в защите DMARC!

6. Отчеты DMARC легко читаются

Мы видим, как многие организации внедряют DMARC и отправляют отчеты на собственные почтовые ящики. Проблема заключается в том, что отчеты DMARC приходят в формате XML, который может быть очень сложно прочитать, если вы не знакомы с ним. Использование специализированной платформы DMARC может не только значительно упростить процесс настройки, но PowerDMARC может преобразовать ваши сложные XML файлы в легко читаемые отчеты с графиками, диаграммами и подробной статистикой.

 

Электронная почта часто является первым выбором для киберпреступников, когда они запускают, потому что ее так легко использовать. В отличие от атак с применением грубой силы, требующих больших вычислительных мощностей, или более изощренных методов, требующих высокого уровня мастерства, подделка домена может быть такой же простой, как написание электронного письма, выдающего себя за кого-то другого. Во многих случаях этот "кто-то другой" является основной программной сервисной платформой, на которую люди полагаются при выполнении своей работы.

Именно это произошло между 15 и 30 апреля 2020 года, когда наши аналитики по безопасности PowerDMARC обнаружили новую волну фишинговых электронных писем, нацеленных на ведущие страховые компании на Ближнем Востоке. Эта атака была лишь одной из многих других в недавнем увеличении числа случаев фишинга и спуфинга во время кризиса Covid-19. Уже в феврале 2020 года другая крупная фишинговая афера зашла настолько далеко, что выдала себя за Всемирную организацию здравоохранения, рассылая тысячи людей по электронной почте письма с просьбами о пожертвованиях на помощь в борьбе с коронавирусом.

В этой недавней серии инцидентов пользователи службы Microsoft Office 365 получали, казалось бы, обычные сообщения с обновлениями, касающимися состояния их пользовательских учетных записей. Эти сообщения приходили с собственных доменов организаций, предлагая пользователям сбросить свои пароли или переходить по ссылкам для просмотра ожидающих обновления уведомлений.

Мы составили список некоторых почтовых заголовков, которые мы наблюдали:

  • необычные действия при входе в систему Microsoft
  • У вас есть (3) сообщения, ожидающие доставки на вашу электронную почту [email protected]* Портал!
  • [email protected] You Have Pending Microsoft Office UNSYNC Messages
  • Повторная активация Сводное уведомление для [email protected]

* данные аккаунта изменены для обеспечения конфиденциальности пользователей

Вы также можете просмотреть образец почтового заголовка, используемого в поддельном письме, отправленном в страховую компанию:

Получено: из [вредоносный_ип(привет= злоумышленное_домен)

id 1jK7RC-000uju-6x

для [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-подпись: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Получено: из [xxxxx] (порт=58502 helo=xxxxx)

по адресу злоумышленное_домен с esmtpsa (TLSv1.2:ECDHE-RSA-AES2) 56-ГКМ-ША384:256)

От: "Команда по работе с учетными записями Microsoft" 

За: [email protected]

Объект: Уведомление Microsoft Office для [email protected] по телефону 4/1/2020 23:46.

Дата: 2 апреля 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

символ="utf-8″

Контент-трансфер-Обновление: цитируемый текст для печати

X-AntiAbuse: Этот заголовок был добавлен для отслеживания злоупотреблений, пожалуйста, включите его в любое сообщение о злоупотреблениях.

X-AntiAbuse: Имя основного хоста - злоумышленное_домен

X-AntiAbuse: Original Domain - домен.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Адрес отправителя Домен - domain.com

X-Get-Message-Sender-Via: злоумышленный_домен: authenticated_id: [email protected]_domain

Аутентифицированный отправитель: malicious_domain: [email protected]_domain

Икс-источник: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( домен domain.com не обозначает вредоносный_ip_адрес как разрешенный отправитель) клиент-ip= вредоносный_ip_адрес конверт от=[email protected]аллозлоумышленное_домен;

X-SPF-Result: домен domain.com не обозначает вредоносный_ip_адрес разрешённый отправитель

X-Sender-Warning: Обратный просмотр DNS не удался для вредоносный_ip_адрес (не удалось)

X-DKIM-статус: нет / / домен.com / / /

X-DKIM-статус: проездной / / злоумышленное_домен / злоумышленное_домен / / по умолчанию

 

Наш центр управления безопасностью отследил ссылки электронной почты на фишинговые URL-адреса, предназначенные для пользователей Microsoft Office 365. Эти URL-адреса были перенаправлены на зараженные сайты в различных местах по всему миру.

Просто посмотрев на эти почтовые заголовки, невозможно будет сказать, что их отправил кто-то, подделывающий домен вашей организации. Мы привыкли к постоянному потоку рабочих или связанных с учетными записями писем, предлагающих нам войти в различные онлайн-сервисы, такие как Office 365. Подделка домена использует это, делая их фальшивые, вредоносные электронные письма неотличимыми от подлинных. Практически невозможно узнать, без тщательного анализа электронной почты, поступает ли она из доверенного источника. А с десятками писем, приходящих каждый день, ни у кого нет времени на тщательный анализ каждого из них. Единственным решением будет использование механизма аутентификации, который будет проверять все письма, отправленные с вашего домена, и блокировать только те письма, которые были отправлены кем-то, кто отправил их без авторизации.

Этот механизм аутентификации называется DMARC. И как один из ведущих поставщиков решений по безопасности электронной почты в мире, мы в PowerDMARC поставили перед собой задачу, чтобы вы поняли важность защиты домена вашей организации. Не только для себя, но и для всех, кто доверяет и зависит от вас, чтобы каждый раз доставлять безопасную, надежную электронную почту в свой почтовый ящик.

О рисках спуфинга можно прочитать здесь: https://powerdmarc.com/stop-email-spoofing/.

Узнайте, как защитить свой домен от подделок и повысить бренд, здесь: https://powerdmarc.com/what-is-dmarc/.