Что такое DMARC? Руководство по электронной почте DMARC

Что такое ДМАРК?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) - это протокол аутентификации электронной почты, предназначенный для борьбы с мошенничеством и фишинговыми атаками. Он позволяет отправителям электронной почты определять политику обработки их сообщений при получении их сервером-получателем. Проверяя отправителей электронной почты и предоставляя подробные отчеты об их активности, DMARC помогает организациям повысить безопасность электронной почты и защитить репутацию своего домена. Он позволяет владельцам доменов устанавливать конкретные политики для проверки подлинности их электронной почты и обработки несанкционированных сообщений. По сути, DMARC позволяет компаниям заявлять:
"Письма с нашего домена должны соответствовать этим определенным критериям. Если они не соответствуют, их следует рассматривать как подозрительные". Например, по оценкам HMRC, количество фишинговых писем, отправленных с их домена, сократилось на 500 миллионов всего за 1,5 года после внедрения DMARC.

DMARC основывается на двух существующих протоколах, SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), чтобы гарантировать, что только авторизованные отправители могут использовать домен. Это дополнительный уровень безопасности, но не замена антивирусов или брандмауэров. Организации могут использовать DMARC для определения действий в отношении электронной почты, не прошедшей проверку подлинности, например, отклонить, поместить в карантин или доставить.

<h2>What Does DMARC Stand For?

DMARC расшифровывается как Domain-based Message Authentication, Reporting, and Conformance (аутентификация, отчетность и соответствие сообщений на основе домена).

Каждая часть аббревиатуры отражает важный аспект работы DMARC:

На уровне домена: DMARC работает на уровне домена. Владелец домена публикует в DNS-записи политику, определяющую методы аутентификации электронной почты и указывающую, как получатели должны обрабатывать почту, не прошедшую аутентификацию.

Аутентификация сообщений: DMARC позволяет владельцам доменов назначать протоколы аутентификации. Они используются для проверки входящих сообщений электронной почты. SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail) - два таких протокола. DMARC проверяет соответствие, то есть домен в заголовке "From" должен совпадать с доменом, проверенным SPF и/или DKIM.

Отчеты: Вы можете включить отчеты обратной связи в конфигурации DMARC. После этого принимающие MTA будут отправлять XML-отчеты на указанный вами адрес электронной почты. Эти отчеты могут содержать совокупные данные DMARC (сводки результатов аутентификации) или криминалистические данные (детали отдельных сбоев).

Соответствие: Владельцы почтовых доменов могут использовать DMARC для описания действий (политики) для принимающих почтовых серверов. Эти действия (например, не принимать, поместить в карантин, отклонить) выполняются, если письмо не прошло проверку подлинности и соответствия DMARC.

Почему DMARC важен?

DMARC играет важную роль в повышении безопасности электронной почты, поскольку:

• Предотвращение подделки электронной почты и фишинга: проверяя подлинность писем, утверждающих, что они исходят от определенного домена, DMARC эффективно пресекает попытки подделки, когда злоумышленники выдают себя за легитимных отправителей. Это помогает предотвратить фишинговые атаки, направленные на кражу конфиденциальной информации, такой как учетные данные для входа в систему и финансовые данные. По статистике, примерно 1,2% всех отправляемых писем являются вредоносными, что составляет 3,4 миллиарда фишинговых писем в день.
• Повышение эффективности доставки электронной почты: Гарантируя, что только легитимные, аутентифицированные письма с вашего домена попадают в почтовые ящики, DMARC снижает вероятность того, что ваши легитимные письма будут отмечены как спам. Это улучшает показатели доставки электронной почты и гарантирует, что ваши сообщения дойдут до адресатов.
• Защита репутации вашего бренда: Предотвращая несанкционированное использование вашего домена для вредоносных действий, таких как спам или фишинг, DMARC защищает репутацию вашего бренда и укрепляет доверие с вашими клиентами и партнерами.
• Предоставление ценных сведений: DMARC генерирует комплексные отчеты, которые предоставляют ценные сведения о вашей деятельности по отправке электронной почты через Интернет. Эти отчеты помогут вам выявить и решить потенциальные проблемы, такие как неавторизованные отправители, попытки подмены, неправильная аутентификация и взломанные учетные записи.
• Соответствие отраслевым требованиям: DMARC становится все более важным для соответствия отраслевым стандартам и требованиям почтовых провайдеров. Крупные почтовые провайдеры, такие как Google и Yahoo, могут ужесточить требования к обработке или даже отклонять письма с доменов, не имеющих надлежащей реализации DMARC.

Внедряя и поддерживая надежную политику DMARC, компании могут значительно повысить уровень безопасности электронной почты, защитить репутацию своего бренда и клиентов, а также обеспечить эффективную доставку легитимных сообщений электронной почты.

Упростите DMARC с помощью PowerDMARC!

Как работает DMARC

DMARC повышает безопасность электронной почты, добавляя уровень применения политики и отчетности поверх существующих методов аутентификации: SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail). Домен отправителя публикует в DNS запись DMARC, определяющую его политику. Когда отправляется письмо, утверждающее, что оно от этого домена:

1. Отправка электронной почты и первоначальные проверки: Сервер отправки обычно применяет подписи DKIM. Электронное письмо проходит стандартный транзит.
2. Прием и аутентификация электронной почты: Принимающий сервер выполняет следующие проверки:
   • Проверка SPF: Проверяет, указан ли IP-адрес отправителя в SPF-записи домена.
   • Проверка DKIM: Проверяет цифровую подпись письма с помощью открытого ключа в DNS домена, чтобы убедиться, что она не была подделана.
   • Проверка выравнивания: DMARC требует выравнивания идентификаторов. Это означает, что домен, используемый в заголовке 'From' (видимый пользователю), должен соответствовать домену, проверенному SPF, и/или домену, указанному в подписи DKIM (тег d=). Письмо может пройти проверку SPF или DKIM по отдельности, но не пройти DMARC, если домены не совпадают.
3. Применение политики DMARC: Получающий сервер проверяет DMARC-запись домена отправителя в DNS.
   • Если письмо проходит проверки SPF или DKIM *и* достигает соответствия хотя бы для одной из них, оно проходит DMARC и обычно доставляется нормально.
   • Если письмо не прошло оба SPF и DKIM или не прошло согласование по обоим параметрам, сервер-получатель применяет политику DMARC, указанную в DMARC-записи отправителя (например, p=none для мониторинга, p=quarantine для отправки в спам или p=reject для блокировки письма).
4. Отчетность: Получающий сервер генерирует сводные отчеты (RUA), обобщающие данные аутентификации (количество проходов/провалов, IP-адреса, результаты выравнивания), и потенциально криминалистические отчеты (RUF) с подробным описанием отдельных сбоев. Эти отчеты отправляются на адреса, указанные в DMARC-записи домена-отправителя.

Следуя этим шагам, DMARC гарантирует, что до получателей дойдут только письма, должным образом аутентифицированные и соответствующие политике домена отправителя, а неавторизованные или мошеннические письма будут обработаны в соответствии с инструкциями владельца домена. Это не только повышает безопасность электронной почты, но и защищает репутацию бренда и улучшает доставляемость.

Как настроить DMARC?

Вот пошаговое описание того, как настроить DMARC:

1. Настройка SPF и DKIM

Перед внедрением DMARC убедитесь, что SPF и DKIM правильно настроены для вашего домена и всех легитимных источников отправки:

• SPF: определяет, какие IP-адреса и серверы имеют право отправлять электронные письма от имени вашего домена.
• DKIM: добавляет цифровую подпись к вашим письмам, проверяя отправителя и гарантируя, что сообщение не было подделано во время транспортировки.

Эти протоколы составляют основу DMARC. Для прохождения и согласования DMARC требуется хотя бы один из протоколов SPF или DKIM, хотя для повышения безопасности настоятельно рекомендуется использовать оба. Убедитесь, что вы определили *все* легитимные источники электронной почты (включая сторонние службы, такие как маркетинговые платформы или CRM) и авторизуйте их с помощью SPF/DKIM.

2. Создайте запись DMARC

Запись DMARC - это запись TXT (Text), опубликованная в настройках DNS (Domain Name System) вашего домена. Она определяет политику аутентификации электронной почты. Она включает в себя:

• Обязательные теги:
  • v=DMARC1: Указывает версию DMARC (в настоящее время всегда DMARC1).
  • p=none/quarantine/reject: Определяет политику обработки сообщений электронной почты, не прошедших проверку подлинности и соответствия DMARC.
• Необязательные, но рекомендуемые теги:
  • rua=mailto:[email protected]: Указывает адрес (адреса) электронной почты для получения сводных отчетов (формат XML). Можно указать несколько адресов, разделив их запятыми.
  • ruf=mailto:[email protected]: Указывает адрес (адреса) электронной почты для получения криминалистических отчетов (подробные отчеты о сбоях, также XML). Поддержка RUF варьируется в зависимости от получателей из-за соображений конфиденциальности.
  • pct=100: Указывает процент неудачных писем, к которым должна применяться политика DMARC (например, pct=20 применяет политику к 20% неудачных писем). Позволяет постепенно развернуть политику. По умолчанию равно 100.
  • sp=none/quarantine/reject: Определяет политику для поддоменов, если она не определена явно DMARC-записью поддомена. Если это значение опущено, к поддоменам применяется политика основного домена (p=).
  • adkim=r/s: Указывает строгое (s) или расслабленное (r) выравнивание для DKIM. Расслабленное (по умолчанию) позволяет выравнивание по субдоменам.
  • aspf=r/s: Указывает строгое (s) или расслабленное (r) выравнивание для SPF. Расслабленное (по умолчанию) позволяет выравнивание по субдоменам.

Вы можете использовать онлайн-инструменты, чтобы помочь правильно сгенерировать синтаксис записи DMARC.

3. Выберите политику DMARC

Политики DMARC указывают получателям электронной почты, как обрабатывать сообщения, не прошедшие проверку DMARC (отказ аутентификации или отказ выравнивания). Начинать следует с "нет" и постепенно повышать строгость:

• p=none (Режим мониторинга): Получатели не предпринимают никаких конкретных действий в случае отказа DMARC, но отправляют отчеты. Это важный первый шаг для обнаружения легитимных источников отправки, выявления проблем с аутентификацией и понимания вашей почтовой экосистемы без ущерба для доставки почты. Внимательно следите за отчетами.
• p=quarantine: Приказывает получателям относиться к провалившимся письмам с большим подозрением, часто перемещая их в папку спама или нежелательной почты. Это промежуточный шаг на пути к полному применению.
• p=reject: Указание получателям полностью блокировать/отклонять письма, не прошедшие проверку DMARC. Это самая строгая политика, обеспечивающая наивысший уровень защиты от подделки, но ее следует применять только после тщательного мониторинга, подтверждающего, что вся легитимная почта проходит DMARC.

4. Публикация записи DMARC

После создания DMARC-записи опубликуйте ее в настройках DNS как TXT-запись:

• Поле "Хост/Имя": Введите _dmarc (например, _dmarc.yourdomain.com).
• Тип записи: Выберите TXT.
• Поле "Значение/данные": Вставьте строку записи DMARC (например, "v=DMARC1; p=none; rua=mailto:[email protected];").
• TTL (Time to Live): Обычно устанавливается на 1 час (3600 секунд) или на значение по умолчанию вашего DNS-провайдера.

Это делает вашу политику DMARC доступной для получателей электронной почты по всему миру.

5. Проверка настройки DMARC

Используйте онлайн-инструмент проверки DMARC, чтобы убедиться, что ваша DMARC-запись правильно опубликована в DNS и синтаксис корректен. Этот шаг поможет быстро выявить и устранить любые ошибки конфигурации.

6. Включение и мониторинг отчетов

Убедитесь, что ваша DMARC-запись содержит тег `rua`, указывающий на выделенный почтовый ящик для получения сводных отчетов. Эти отчеты, обычно отправляемые ежедневно в формате XML, очень важны для мониторинга:

• Агрегированные отчеты (rua): Предоставьте обзор результатов проверки подлинности электронной почты от различных получателей, включая IP-адреса, отправляющие почту, утверждающие, что они принадлежат вашему домену, количество проходов/провалов SPF/DKIM и статус выравнивания. Анализ этих отчетов (часто с помощью службы DMARC-анализатора) помогает выявить легитимные источники отправки, нуждающиеся в корректировке конфигурации, и обнаружить несанкционированное использование.
• Отчеты судебно-медицинской экспертизы (ruf): Предлагают подробную информацию (включая заголовки и иногда фрагменты содержимого) о конкретных сбоях в доставке электронной почты. Из-за объема и соображений конфиденциальности не все получатели отправляют отчеты RUF, и их обработка требует тщательного подхода.

Регулярно просматривайте отчеты, особенно после начала работы с `p=none`, чтобы исправить проблемы с SPF/DKIM/согласованием для легитимных отправителей, прежде чем переходить к `p=quarantine` или `p=reject`. Следите за точностью и актуальностью записей DNS по мере изменения источников отправки.

Как выглядит запись DMARC?

Структура DMARC-записи определена в DNS (Domain Name System) как TXT-запись, связанная с доменом, в частности с поддоменом `_dmarc`. Она содержит несколько пар тег-значение, разделенных точками с запятой, включая те, которые определяют режим политики и параметры отчетности. Вот пример того, как может выглядеть запись DMARC:

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; pct=100; adkim=r; aspf=r;"

В данном примере:

• "_dmarc.example.com." указывает имя хоста DNS для DMARC-записи "example.com".
• "IN TXT" указывает на тип записи как на текстовую запись.
• "v=DMARC1" означает, что используемая версия протокола DMARC - это версия 1. Этот тег является обязательным.
• "p=reject" устанавливает политику DMARC для основного домена на "reject". Это дает указание принимающим почтовым серверам отклонять письма, не прошедшие проверку DMARC для example.com. Этот тег является обязательным.
• "rua=mailto:[email protected]" указывает адрес электронной почты, на который будут приходить сводные отчеты (сводки результатов аутентификации). Этот тег настоятельно рекомендуется для мониторинга.
• "ruf=mailto:[email protected]" указывает адрес электронной почты в качестве адресата для получения отчетов об экспертизе (подробная информация об отдельных сбоях). Этот тег является необязательным.
• "sp=reject" устанавливает политику субдомена на "reject", гарантируя, что эта политика DMARC также строго применяется к субдоменам (например, mail.example.com), если у них нет собственной записи DMARC. Этот тег является необязательным.
• "pct=100" указывает, что политика (в данном случае отказ) должна применяться к 100% писем, не прошедших проверку DMARC. Необязательно; по умолчанию равно 100.
• "adkim=r" устанавливает требование выравнивания DKIM на расслабленное (совпадения с поддоменами разрешены). Необязательно; по умолчанию установлено значение relaxed (r).
• "aspf=r" устанавливает требование выравнивания SPF на расслабленное (допускаются совпадения с субдоменами). Необязательно; по умолчанию установлено значение relaxed (r).

DMARC, SPF и DKIM: трио безопасности электронной почты

Совместное использование DMARC, SPF и DKIM создает мощную многоуровневую защиту от подмены почты, фишинга и других угроз, связанных с электронной почтой. Хотя DMARC технически требует прохождения и согласования только одного из SPF или DKIM, для надежной защиты электронной почты необходимо использовать все три:

1. Комплексная защита
   • SPF проверяет, что электронные письма отправляются с IP-адресов, разрешенных владельцем домена.
   • DKIM обеспечивает целостность электронной почты, добавляя криптографическую цифровую подпись, которая подтверждает, что сообщение не было подделано, и проверяет домен подписи.
   • DMARC опирается на SPF и DKIM, проверяя соответствие домена (соответствие домену заголовка 'From') и применяя политики владельца домена (не использовать, поместить в карантин, отклонить) на основе результатов SPF/DKIM и соответствия. Кроме того, она предоставляет отчетность.

   Такое сочетание обеспечивает надежную защиту от различных форм подделки, фишинга и неавторизованных отправителей. DMARC обеспечивает важнейший уровень политики и отчетности, которого не хватает SPF и DKIM.

2. Повышенная надежность доставки электронной почты
   Правильно проверяя подлинность электронной почты с помощью SPF и DKIM и сигнализируя об этом с помощью политики DMARC, организации демонстрируют легитимность получающим почтовым серверам. Это снижает вероятность того, что легитимные письма будут ошибочно помечены как спам или отклонены, гарантируя, что сообщения дойдут до адресатов.
3. Защита репутации бренда
   Подмена электронной почты и фишинговые атаки с использованием домена компании могут нанести серьезный ущерб репутации ее бренда и подорвать доверие клиентов. SPF, DKIM и DMARC работают вместе, чтобы предотвратить несанкционированное использование домена в поле 'From', защищая целостность бренда.
4. Улучшенная система безопасности
   Благодаря этим протоколам злоумышленникам будет гораздо сложнее успешно отправлять мошеннические электронные письма, выдавая себя за ваш домен. Обеспечивая доставку только легитимных, аутентифицированных писем, соответствующих политике, они укрепляют общую безопасность электронной почты и снижают риск воздействия киберугроз на получателей.
5. Отчетность и наглядность
   Ключевым преимуществом DMARC является возможность создания отчетов. Она предоставляет подробные сводные (и, по желанию, криминалистические) отчеты о результатах проверки подлинности (SPF, DKIM, DMARC пройден/не пройден, выравнивание) для почты, заявляющей о принадлежности к вашему домену. Такая наглядность помогает выявить проблемы с конфигурацией, законных сторонних отправителей, нуждающихся в настройке, и вредоносную активность, что позволяет постоянно совершенствовать стратегию безопасности электронной почты.

Зачем использовать все три варианта?

DMARC, SPF и DKIM лучше всего работают как единая система:

• SPF отвечает на вопрос: "Приходит ли это письмо с авторизованного IP-адреса сервера для данного домена?".
• DKIM решает вопрос: "Было ли это письмо подписано владельцем домена и не было ли оно изменено при пересылке?".
• DMARC решает вопросы: "Совпадают ли домены, проверенные по SPF/DKIM, с адресом 'From'?" и "Что делать, если письмо не прошло эти проверки, и куда отправлять отчеты?".

Ключевые преимущества с первого взгляда

Правильное применение всех трех протоколов позволяет организациям создать надежную защиту от почтовых угроз, повысить эффективность доставки, защитить свой бренд и получить ценные сведения о своей почтовой экосистеме.

Проблемы и соображения

Хотя DMARC является мощным инструментом, его внедрение и эффективное управление сопряжено с некоторыми трудностями:

• Сложность: правильная реализация DMARC требует глубокого понимания инфраструктуры электронной почты, управления DNS и особенностей согласования SPF, DKIM и DMARC. Неправильная конфигурация может непреднамеренно блокировать легитимную электронную почту.
• Сторонние отправители: Многие организации используют множество сторонних служб для отправки электронной почты (например, маркетинговые платформы, CRM-системы, инструменты управления персоналом, службы поддержки). Идентификация всех этих отправителей и обеспечение их правильной настройки для согласования SPF и DKIM с доменом организации может стать серьезной задачей.
• Переадресация электронной почты: Автоматическая пересылка электронной почты может нарушить проверку подлинности SPF, поскольку IP-адрес сервера пересылки часто не указан в SPF-записи оригинального отправителя. Переадресация также может иногда нарушать DKIM, если содержимое сообщения изменено. Хотя DMARC имеет механизмы для учета этого (например, ARC - Authenticated Received Chain), пересылка остается распространенной причиной сбоев DMARC для легитимной почты.
• Постепенное внедрение и мониторинг: Слишком быстрый переход от политики мониторинга (p=none) до строгой политики принуждения (p=quarantine или p=reject) может привести к тому, что законные письма будут заблокированы или отправлены в спам. Очень важно начать с p=noneтщательно отслеживайте отчеты DMARC, чтобы выявить и устранить проблемы со всеми легитимными источниками отправки, и только потом постепенно повышайте строгость политики (потенциально используя pct tag). Этот процесс требует постоянных усилий.
• Анализ отчетов: Сводные отчеты DMARC отправляются в формате XML, который не очень легко читается человеком. Для эффективного анализа этих отчетов часто требуются специализированные инструменты или сервисы, позволяющие анализировать данные, выявлять тенденции и определять источники сбоев.

Будущее аутентификации электронной почты

Поскольку киберугрозы, такие как фишинг и компрометация деловой электронной почты, продолжают развиваться, должны развиваться и средства защиты электронной почты. DMARC представляет собой значительное достижение, но он является частью динамичной экосистемы. Будущие разработки и тенденции могут включать в себя:

• Более широкое и строгое внедрение: По мере того как все больше организаций внедряют DMARC и переходят к применению политик принудительного исполнения (карантин/отклонение), общая эффективность борьбы с почтовым мошенничеством возрастает во всем мире. Крупнейшие провайдеры почтовых ящиков все чаще поощряют или требуют DMARC от отправителей.
• Интеграция с искусственным интеллектом и машинным обучением: Использование ML/AI для более эффективного анализа данных отчетов DMARC, прогнозирования возникающих угроз, выявления аномальных шаблонов отправки и потенциальной автоматизации ответов или корректировки конфигурации.
• Улучшенные пользовательские интерфейсы и наглядность: Сделать статус подлинности электронной почты более наглядным и понятным для конечных пользователей в почтовых клиентах, возможно, используя визуальные индикаторы (например, логотипы BIMI, связанные с применением DMARC) для повышения доверия к аутентифицированным сообщениям.
• Эволюция стандартов: Ландшафт аутентификации электронной почты продолжает развиваться. Возможно, мы увидим усовершенствование DMARC или появление новых дополнительных стандартов. Такие технологии, как ARC (Authenticated Received Chain), помогают решить такие проблемы, как нарушение пересылки. Другие стандарты, такие как DANE (DNS-based Authentication of Named Entities) для TLS и MTA-STS (Mail Transfer Agent Strict Transport Security), направлены на защиту самого канала передачи электронной почты, дополняя роль DMARC в аутентификации отправителя.
• Упрощенная реализация: Усилия и инструменты для упрощения внедрения и управления DMARC, особенно для небольших организаций, вероятно, будут развиваться и дальше.

Облачное решение DMARC от PowerDMARC

Для владельца бизнеса, поддерживающего онлайн-домен, внедрение DMARC - это перышко в вашей шапке с точки зрения безопасности. Хотя вы можете сделать это вручную, есть определенные дополнительные преимущества выбора стороннего поставщика, такого как PowerDMARC. С нами вы получаете множество средств отчетности, управления и мониторинга по очень доступной цене. Все это не входит в рамки ручной настройки DMARC и может действительно изменить ваш бизнес к лучшему!

Настроив наш DMARC-анализатор, вы сможете:

1. Легко настраивайте размещенный DMARC и другие протоколы аутентификации электронной почты
2. Отслеживайте результаты аутентификации с помощью упрощенных, человекочитаемых отчетов, составленных на основе сложных XML-данных.
3. Получайте оповещения в реальном времени по электронной почте, через slack, discord и webhooks о сбоях или изменениях политики.
4. Повышение эффективности доставки электронной почты с течением времени за счет выявления и устранения проблем с аутентификацией

Наши клиенты получают специализированную поддержку от наших штатных экспертов по DMARC для настройки решений в соответствии с их потребностями. Свяжитесь с нами сегодня, чтобы получить бесплатную пробную версию DMARC!

"Мы долго искали высокоэффективную платформу DMARC и нашли ее!"

Дилан Б.

Вопросы и ответы по DMARC

"`

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Как создать и опубликовать запись DMARC - 3 марта 2025 г.
• Как исправить "Запись SPF не найдена" в 2025 году - 21 января 2025 г.
• Как читать отчет DMARC - 19 января 2025 г.