3 типа политики DMARC: Как выбрать оптимальную для вашего домена?
Поскольку электронная почта стала важнейшим каналом связи как для личных, так и для деловых целей, злоумышленники используют ее уязвимости для обмана получателей, распространения вредоносных программ и кражи конфиденциальной информации. DMARC решает эти проблемы, позволяя владельцам доменов указывать, как получатели электронной почты должны воспринимать сообщения, которые якобы исходят от их доменов.
Политика DMARC домена содержит инструкции для получателей электронной почты по обработке писем, не прошедших проверку подлинности. Политика DMARC может определять три возможных действия в отношении неудачных писем:
- Политика DMARC none
- Политика карантина DMARC
- Политика отклонения DMARC
Политика DMARC "reject" значительно минимизирует риск злоупотребления доменами, выдачи себя за бренд, фишинговых и спуфинг-атак.
Что такое политика DMARC?
Политика DMARC, опубликованная на уровне DNS, представляет собой набор инструкций TXT, которые информируют получателей электронной почты о том, как следует поступать с письмами, не прошедшими проверку подлинности с помощью SPF и DKIM. В политике также указывается адрес электронной почты, на который получатели могут сообщить о результатах этих проверок.
Политика DMARC служит трем основным целям - обеспечение соблюдения протоколов аутентификации электронной почты, создание механизма отчетности и защита электронной почты от атак.
- Обеспечение аутентификации: Политика DMARC позволяет установить уровень обеспечения безопасности электронной почты вашего домена. Она позволяет владельцам доменов указать, как получатели электронной почты должны обрабатывать письма, которые утверждают, что они исходят от их домена, но не проходят проверку подлинности (SPF и DKIM). Политика может предписывать получателям помещать такие письма в карантин или отклонять их. Обеспечивая аутентификацию, DMARC помогает предотвратить подделку электронной почты и выдачу себя за другого, поскольку неавторизованные письма с меньшей вероятностью попадают в почтовые ящики получателей.
- Отчетность: В записи DMARC может быть определен механизм, позволяющий получателям электронной почты отправлять отчеты владельцам домена с информацией о результатах проверки подлинности электронных писем, отправленных с домена. Эти отчеты помогают отслеживать подозрительные действия и улучшать доставляемость электронной почты.
- Защита: Ваша политика DMARC может остановить мошенничество генерального директораподдельные счета, атаки BEC, распространение ransomware, кражи учетных данных и различные другие способы мошенничества с электронной почтой.
3 типа DMARC-политики: p=reject, p=none, p=quarantine
Различные типы политик DMARC помогают владельцам доменов определить уровень принуждения, который они хотят использовать для борьбы с несанкционированной электронной почтой. Доступны следующие варианты политики DMARC none, карантин, и отклонитьв зависимости от того, какой уровень применения DMARC вы хотите выбрать. Здесь p - это параметр, определяющий политику DMARC:
- DMARC None: Политика "только мониторинг", не обеспечивающая никакой защиты - подходит для начальных этапов развертывания.
- Карантин DMARC: Отмечает или помещает в карантин неавторизованные сообщения электронной почты.
- DMARC reject: Блокирует доступ к почтовому ящику для неавторизованных писем
1. Политика DMARC None
Политика DMARC none (p=none) - это расслабленная политика DMARC, которая применяется на начальных этапах внедрения DMARC для мониторинга почтовой активности. Она не обеспечивает никакого уровня защиты от кибератак.
Пример: v=DMARC1; p=none; rua=mailto:[email protected];
- Мониторинг: Собирать информацию - вот цель владельцев доменов, выбравших политику "none", что означает отсутствие стремления к строгой аутентификации электронной почты. Они еще не готовы к введению таких мер, поскольку хотят проверить, как обстоят дела с аутентификацией электронной почты в киберпространстве.
- Нет действия: Получающие почтовые системы в рамках политики "бездействия" воздерживаются от использования результатов DMARC для изменения доставки или обработки почты. Эта политика обычно применяется на ранних этапах внедрения DMARC, поскольку владельцы доменов стремятся оценить эффект от использования настроек DMARC, не рискуя при этом отклонить или задержать подлинные письма.
- Отчетность: Несмотря на отсутствие правоприменения, DMARC-отчеты генерируются политикой "none". Получатели писем передают владельцам доменов сводные отчеты, содержащие подробную информацию о статусе аутентификации писем, исходящих из их домена.
Владельцы доменов получают эти отчеты, чтобы лучше понять сферу аутентификации электронной почты и вычислить возможные источники злоупотреблений или неправильной конфигурации.
2. Политика карантина DMARC
Политика карантина (p=quarantine) обеспечивает определенный уровень защиты, так как владелец домена может попросить получателя откатить письма в папку спама, чтобы просмотреть их позже в случае отказ DMARC.
Пример: v=DMARC1; p=quarantine; rua=mailto:[email protected];
Вместо того чтобы просто отклонять неаутентифицированные сообщения, политика "карантина" позволяет владельцам доменов поддерживать безопасность, учитывая при этом возможность ложных срабатываний. Легитимные сообщения, не прошедшие DMARC-аутентификацию, не теряются, а помещаются в отдельное место для более тщательной проверки получателем. Такой подход отличается от строгого метода "отклонения", при котором не прошедшие аутентификацию письма отправляются обратно отправителю.
Для работы с неаутентифицированными письмами различные организации используют промежуточную политику "карантина", а затем, возможно, переходят к более жесткой политике "отказа". Такая политика дает возможность оценить влияние DMARC на доставку электронной почты и внести необходимые изменения, прежде чем полностью отказаться от таких писем.
3. Политика отклонения DMARC
Наконец, политика reject DMARC (p=reject) гарантирует, что электронные письма, не прошедшие проверку подлинности DMARC, будут отклонены и отброшены MTA получателя, обеспечивая тем самым максимальное внедрение.
Пример: v=DMARC1; p=reject; rua=mailto:[email protected];
Отклонение DMARC позволяет предотвратить фишинговые атаки и другие мошеннические действия и направлено на повышение безопасности электронной почты. Неаутентифицированные письма отклоняются, что снижает риск получения адресатами вредоносных писем. Владелец домена играет ключевую роль в снижении таких рисков.
Вместо того чтобы давать неаутентифицированным письмам свободу действий, перенаправляя их в отдельную папку, как это делает политика "карантин", политика "отказ" занимает жесткую позицию. Письма, не соответствующие требованиям DMARC-аутентификации, категорически запрещаются к доставке.
Тщательное тестирование и планирование необходимы для реализации политики "отбраковки", блокирующей вредоносные сообщения электронной почты. Правильная аутентификация легитимных писем имеет решающее значение для предотвращения непреднамеренного блокирования действительных сообщений. Поэтому владельцам доменов важно тестировать конфигурацию DMARC и отслеживать отчеты DMARC для выявления и устранения любых проблем.
Какой тип политики DMARC лучше и почему?
DMARC reject - это лучшая политика DMARC, если вы хотите максимально повысить уровень безопасности электронной почты. Это связано с тем, что при использовании политики p=reject владельцы доменов активно блокируют несанкционированные письма от входящих сообщений своих клиентов. Это обеспечивает высокую степень защиты от подмены прямого домена, фишинга и других видов угроз, связанных с выдачей себя за другого.
- Для мониторинга каналов электронной почты: Если вы хотите просто контролировать свои почтовые каналы, достаточно использовать политику DMARC с параметром p=none. Однако такая политика не защитит вас от кибератак.
- Для защиты от фишинговых и спуфинг-атак: Если вы хотите защитить свою электронную почту от фишинговых атак и подмены прямого домена, то политика DMARC с параметром p=reject является обязательной. Она обеспечивает самый высокий уровень соблюдения DMARC и эффективно минимизирует атаки самозванства.
- Просматривать подозрительные сообщения до их доставки: Если вы не хотите полностью блокировать неавторизованные сообщения, разрешите получателям просматривать сообщения, не прошедшие проверку подлинности, в папке папке карантина, a DMARC-карантин это лучший вариант.
Какая политика DMARC предотвращает спуфинг?
Политика DMARC p=reject является единственной политикой DMARC, которая эффективна для предотвращения атак спуфинга. Это происходит потому, что DMARC reject блокирует несанкционированные письма от попадания в почтовый ящик получателя, тем самым не позволяя ему принимать, открывать и читать плохие письма.
Шаги по настройке политики DMARC
Шаг 1: Включите SPF или DKIM для вашего домена путем генерирования свободной записи.
Шаг 2: Создайте DMARC-запись с помощью нашего генератор DMARC-записей инструмент. Обязательно заполните параметр DMARC p= для определения политики DMARC, как показано в примере blow:
v=DMARC1; pct=100; p=reject; rua=mailto:[email protected];
Шаг 3: Опубликуйте эту запись в своем DNS
Устранение ошибок политики DMARC
Ошибки синтаксиса
Вы должны быть внимательны к любым синтаксическим ошибкам при настройке записи, чтобы убедиться, что ваш протокол функционирует правильно.
Ошибки конфигурации
Ошибки при настройке политики DMARC встречаются часто, и их можно избежать, используя DMARC checker инструмент.
DMARC sp Policy
Если вы настроите политику отклонения DMARC, но настроите свои политики поддоменов вы не сможете добиться соответствия всем исходящим сообщениям электронной почты.
Настройка политики DMARC с помощью PowerDMARC
Плавный переход от политики p=none к политике p=reject DMARC
Обширный механизм отчетов PowerDMARC предлагает 7 видов и механизмов фильтрации для ваших отчетов DMARC Агрегированные отчеты на анализатор DMARC приборную панель для эффективного мониторинга ваших каналов электронной почты, пока DMARC нет.
Обновление и изменение режимов политики DMARC
Наша функция DMARC на хостинге позволяет вам обновлять режимы политики DMARC, переходить на p=reject и контролировать протокол эффективно и в режиме реального времени, не входя в консоль управления DNS.
Поддержка "белых рук
Наша круглосуточная команда активной поддержки помогает организовать плавный переход от расслабленной к принудительной политике DMARC, чтобы максимально повысить вашу безопасность и обеспечить надежность доставки.
Свяжитесь с нами сегодня, чтобы внедрить политику DMARC и легко отслеживать результаты!
- Методы защиты от хищения персональных данных - 29 сентября 2023 г.
- Роль DNS в обеспечении безопасности электронной почты - 29 сентября 2023 г.
- Фишинговые угрозы нового времени и способы их предотвращения - 29 сентября 2023 г.