Мошеннические электронные письма становятся все более опасными. В наши дни получателям зачастую очень трудно отличить их от настоящих сообщений. Они приходят от известного имени отправителя и выглядят как обычные информационные бюллетени и служебные электронные письма. Механизм проверки DMARC — Domain-based Message Authentication Reporting and Conformance — был создан для борьбы с этой угрозой.
Задача: защитить репутацию домена
Для защиты от фишинговых атак было введено несколько различных механизмов безопасности:
- SPF (Sender Policy Framework) для проверки адреса отправителя электронных писем.
- DKIM (DomainKeys Identified Mail), для проверки подлинности электронных писем с помощью цифровых подписей.
Ни один владелец домена не хочет, чтобы мошенники рассылали вредоносные сообщения или спам, используя его имя, поскольку это может привести к тому, что его домен будет занесен в черный список, а письма будут отклонены (bounced) или расценены как нежелательная почта на многих почтовых серверах.
Например: Мартин Манн владеет доменом test.com и отправляет электронные письма с адреса martin.mann@test.com. Если мошенник использует адрес электронной почты sales@test.com для рассылки спама, test.com будет занесен в черный список, а сообщения с адреса martin.mann@test.com будут блокироваться серверами входящей почты.
Решение проблемы? DMARC
DMARC — это сокращение от «Domain-based Message Authentication Reporting and Conformance». Концепция была разработана для того, чтобы серверы входящей почты не только проверяли подлинность писем (с помощью SPF и DKIM), но и инициировали действия (заранее определенные владельцем имени отправителя), если письмо не проходит проверку подлинности.
Идея DMARC
Владелец домена сообщает всем потенциальным получателям электронной почты (точнее, их почтовым серверам), что он/она подписывает электронные письма с помощью DKIM и/или проверяет их подлинность с помощью SPF. Серверам дается указание проверять все электронные письма от домена и применять определенные меры в случае получения подозрительного сообщения (не прошедшего проверку). Это делается путем добавления специальной записи в файл доменной зоны и в заголовок электронного письма.
Сервер входящей почты проверяет, может ли письмо быть аутентифицировано хотя бы по одному из протоколов — DKIM или SPF. Любое сообщение, которое не может быть аутентифицировано, рассматривается как «подозрительное», поскольку оно может быть мошенническим, т.е. полученным от кого-то, кто использует адрес отправителя в своих целях.
Владелец домена может дать указание серверу-получателю предпринять одно из следующих действий:
- Отклонить подозрительное сообщение,
- поместить его в карантин
- Принять его и просто сообщить о нем владельцу домена.
Владелец домена указывает действие, которое должно быть выполнено, в записи DMARC (см. ниже).
DMARC также включает функцию отчетности. Серверы входящей почты должны регулярно отправлять отчеты владельцу домена с подробным описанием всех подозрительных писем, т.е. писем, которые не могут быть аутентифицированы с помощью DKIM или SPF. Адреса электронной почты, используемые для отчетности, также указываются в записи DMARC.
Серверы входящей почты не обязаны принимать во внимание запись DMARC. Следовательно, даже если нет сообщений о неудачных проверках DKIM или SPF, проблема все равно может существовать.
Содержание записи DMARC
|
Поле |
Значение |
|
v=DMARC1 |
Версия DMARC-Eintrags; DMARC1 означает актуальную версию. |
|
p= sp= |
Политика, которую должен применить принимающий сервер, если проверки подлинности DKIM и SPF не прошли: — none: Ничего не делать; обрабатывать сообщение как обычно. — карантин: Поместить сообщение в карантин. — reject (отклонить): Отклонить (отбить) сообщение. «p» означает «политику» домена. «sp» означает «политику субдомена». |
|
pct= |
Процент сообщений, которые будут обработаны в соответствии с заданной политикой. Обычно это значение устанавливается равным 100. |
|
rua |
Определяет, должны ли серверы входящей почты отправлять «агрегированные» сводные отчеты о подозрительных письмах, и куда они должны их отправлять. (Внимание: соблюдайте правила защиты данных!) |
|
ruf |
Аналогичен «rua», но относится к «криминалистическим» отчетам, которые предоставляют подробную информацию о подозрительных письмах на уровне сообщений. (Внимание: соблюдайте правила защиты данных!) |
|
fo |
Failure Reporting Options; тонкая настройка, определяющая, когда сообщения должны быть зарегистрированы: |
|
rf |
Формат отчетности: |
|
ri |
Интервал отчетов в секундах. Значение по умолчанию — 86 400 секунд, т.е. 24 часа (один раз в день). |
|
adkim aspf |
Настройки для проверки DKIM и SPF соответственно: |
Настройка записи DMARC
Прежде чем создавать запись DMARC, необходимо настроить DKIM и SPF записи, что можно сделать, как описано в статьях о DKIM и SPF.
Вы можете использовать онлайн-инструмент для создания DMARC-записи, например, DMARC Record Generator, предоставляемый EasyDMARC. Затем вы копируете эту запись в доменную зону вашего сервера имен в виде TXT-записи с поддоменом _DMARC.
Рекомендуется сначала установить политику на «none» (в данном инструменте эта настройка называется «monitoring») и некоторое время понаблюдать за получаемыми отчетами, чтобы убедиться, что DMARC работает так, как вам нужно.
Добавление записи DMARC на ваш сервер имен
После создания записи DMARC ее необходимо добавить на сервер имен в виде записи ресурса TXT. Для этого войдите на хостинг вашего домена и зайдите в настройки домена (в примере выше домен gmx.com). В инструменте хостинга «cPanel» меню называется «Редактор зон». Здесь вы можете создать новую TXT-запись под именем субдомена _DMARC. В нашем примере полное имя записи DMARC — _DMARC.gmx.com.
В Справочном центре есть руководство, которое объясняет, как настроить DMARC-запись для домена IONOS.
Проверка записи DMARC
В зависимости от используемого сервера имен, публикация записи DMARC может занять несколько минут или несколько часов. Если вы хотите проверить, была ли запись успешно опубликована, вы можете использовать один из онлайн-инструментов, предназначенных для этой цели, например, DMARC Record Lookup Tool, предоставляемый EasyDMARC.
Настройка адреса электронной почты для отчетности
Самый простой вариант — настроить новый адрес электронной почты в вашем домене исключительно для получения отчетов DMARC. В нашем примере: DMARC@test.com.
Для того чтобы получать отчеты, домены-получатели должны быть настроены на их прием. Это также делается с помощью записи DNS. Если вы не получаете никаких отчетов DMARC, это может быть связано с тем, что серверы входящей почты не настроены на получение отчетов DMARC.