В DMARC есть тег политики карантина p=quarantine, который означает, что письма помечаются как спам, а затем пересылаются владельцу домена для проверки. Таким образом, большинство поддельных доменов отлавливается заранее. Это руководство призвано помочь вам понять, что такое DMARC Quarantine и как DMARC работает с политикой p=quarantine.
Что такое карантин DMARC?
DMARC Quarantine - это одна из трех политик DMARC. (две другие - p=none и p=reject) которая предписывает серверу, принимающему почту, помещать все письма, не прошедшие проверку подлинности DMARC, в папку спам/хлам получателя.
Когда вы устанавливаете для политики DMARC значение p=карантинвы сообщаете почтовым серверам, что если письмо не прошло проверку подлинности DMARC, сервер должен поместить это письмо в карантин. "Карантин" означает, что письмо все равно будет доставлено в почтовый ящик получателя, но оно будет помечено как подозрительное и отправлено в папку спама (или "нежелательной почты") вместо почтового ящика.
Вот как вы можете найти папку спама на GMAIL.
| DMARC-запись с политикой "Карантин" может выглядеть следующим образом:
v=DMARC1; p=карантин; rua=mailto:dmarc-agg@example.com; |
Как выполняется политика карантина DMARC?
Политика карантина означает, что поставщики электронной почты, получающие сообщения с вашей стороны, будут проверять с помощью DMARC чтобы проверить, прошло ли сообщение аутентификацию DKIM или SPF, а также проверят, совпадает ли домен, указанный в адресе, с доменами, указанными в выравнивании идентификаторов SPF или DKIM. Если эти критерии соблюдены, то почтовый провайдер доставит ваше сообщение в почтовый ящик пользователя. Однако если эти критерии не соблюдены, то почтовый провайдер поместит ваше сообщение в папку спама или отклонит его.
Пошаговый анализ функционирования политики карантина DMARC
1. При отправке электронного письма получатель проверяет наличие записи DMARC.
2. Если сообщение не прошло SPF или DKIM, то оно оценивается на основе параметров выравнивания домена в записи DMARC, которые передаются вместе с проверкой DMARC. Выравнивание домена относится к тому, совпадает ли домен в адресе From с доменом в записи SPF.
3. Варианты обработки, определенные политикой DMARC, основаны на том, насколько тесно сообщение соответствует домену отправителя.
4. Если отправитель проходит аутентификацию, то письмо будет доставлено как обычно.
5. Напротив, если оно не совпадает, то применяется DMARC политика (которая в нашем случае p=quarantine).
6. Политика DMARC p=quarantine предписывает принимающему серверу рассматривать электронные письма, не прошедшие проверку подлинности DMARC, как подозрительные; они не будут доставлены прямо в папку входящих сообщений пользователя, но и не будут полностью отброшены. Они будут помещены в папку спама или нежелательной почты или отмечены каким-либо образом, чтобы пользователь знал, что письмо не является подлинным.
Важность политики карантина DMARC
DMARC - это эффективный инструмент для предотвращения подделки электронной почты, а политика карантина - это отличный способ обеспечить безопасность вашего почтового ящика без внесения значительных изменений в систему.
Использование p=карантин сообщает вашему принимающему почтовому серверу, что все письма, не содержащие вашего доменного имени в поле "From" (или любого другого заданного критерия), должны по умолчанию помещаться в карантин.
Например:
Если спамер пытается отправить письмо с адреса "admin@yourdomain.com", но не имеет доступа к информации, необходимой для подписи DKIM или SPF, то письмо будет помещено в карантин, а не доставлено. Это защищает ваш почтовый ящик от множества нежелательных сообщений.
Политика карантина также хороша тем, что она уменьшает количество ложных срабатываний - поскольку вы просто говорите своему принимающему почтовому серверу помещать в карантин все письма, которые не соответствуют заданным критериям, вам не нужно беспокоиться о том, чтобы определить, какие письма являются вредоносными, а какие приходят из легитимных источников.
Значение карантина DMARC объясняется на примере
Допустим, вы работаете представителем по кадрам в компании под названием Akme. Однажды ваш начальник присылает вам электронное письмо с просьбой перевести 1000 долларов на банковский счет поставщика по имени Dynamic Corp.
Вы никогда раньше не слышали об этом поставщике. Вы даже не думаете, что ваша компания работает с поставщиками!
Но поскольку сообщение пришло с адреса электронной почты вашего босса, а не с какого-то случайного аккаунта, вы предполагаете, что оно законно. Поэтому вы переводите деньги.
На следующий день ваш начальник спрашивает, почему вы отправили DynamicCorp 1000 долларов. Вы отвечаете, что думали, что он просил вас об этом. Он говорит вам, что это кто-то, выдающий себя за него, отправил письмо, о котором идет речь, а на самом деле он никогда не просил вас сделать этот платеж!
С политикой карантина DMARC этого никогда не произойдет. Если Akme установит политику карантина DMARC через протокол DMARC (путем публикации записи DMARC TXT), когда кто-то подделает домен Akme и отправит письмо, подобное этому, якобы от Akme HR, почтовый ящик получателя отметит это сообщение как спам или нежелательную почту, предотвращая проблему еще до ее начала.
Рекомендуемый процент карантинных сообщений в записи DMARC
При настройке записи DMARC важно помнить, что действие карантина может привести к потере некоторых хороших писем. Именно здесь на помощь приходит процентное значение - оно указывает принимающим почтовым серверам, какой процент писем следует рассматривать как спам. Это означает, что из каждых 100 писем только [x] будет помещено в карантин.
Для небольших организаций мы рекомендуем использовать значение 10%. Это означает, что если кто-то отправит вам письмо, не прошедшее проверку DMARC, то вероятность того, что оно будет помещено в карантин как спам, составляет 1 к 10. Таким образом, вы снизите риск потери легитимных сообщений и сможете протестировать свою настройку DMARC на реальных сообщениях.
Мы рекомендуем гораздо меньший процент для крупных организаций - около 1%. Для крупных организаций это означает, что если кто-то отправляет письмо, не прошедшее проверку подлинности DMARC, то вероятность того, что оно попадет в карантин как спам, составляет 1 к 100. При управлении крупной организацией вам может потребоваться доверять определенным отправителям, основываясь только на их IP-адресе или доменном имени - например, если ваше офисное здание расположено в общем помещении и имеет единый IP-адрес для всех арендаторов.
| Пример DMARC-записи с тегом "процент":
v=DMARC1; p=карантин; pct=10%; adkim=r; aspf=r; rua=mailto:dmarc-agg@example.com; pct= представляет собой процент писем, которые вы хотите взять в выборку. Так, если в теге pct указано 100, то в выборку попадет каждое письмо. Если в теге pct указано 10, то в выборку попадет 1 из каждых 10 писем. |
p=нет VS p=карантин VS p=отказ
- p=none означает, что серверы получателей будут отслеживать электронные письма, приходящие с вашего домена, но не будут блокировать сообщения, которые могут быть мошенническими. Это хороший способ начать отслеживать мошенничество, но он не так сильно помогает предотвратить его.
- p=карантин - это способ сообщить серверам-получателям, что вы хотите, чтобы они помещали все письма, отправленные с вашего домена, которые не прошли проверку SPF или DKIM, в папку спама в их почтовом ящике, а не в обычный почтовый ящик.
- p=reject делает еще один шаг вперед, указывая серверу-получателю фактически отклонять любые письма, отправленные с вашего домена, которые не прошли проверку SPF или DKIM. Это означает, что такие письма никогда не попадут в папку входящих сообщений (или даже в папку спама) пользователя, который их получит.
Мы надеемся, что вы понимаете, что такое DMARC-карантин и как он работает. Если вы хотите узнать больше о DMARC, PowerDMARC предлагает множество инструментов, которые помогут вам в этом процессе. К ним относятся анализатор отчетов DMARC который обобщает вашу текущую запись DMARC и выявляет любые существующие проблемы, а также генератор SPF чтобы вы могли бесплатно создавать собственные SPF-записи для своего домена.
- SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.
- ФТК сообщает, что электронная почта является популярным средством мошенничества, выдающего себя за человека - 16 апреля 2024 г.
- SubdoMailing и рост фишинга на субдоменах - 18 марта 2024 г.