Domain-based message authentication reporting and conformance помогает определять подлинность отправителей электронных писем, основывается на протоколах SPF, DKIM. Такие настройки над данными протоколов помогают понять, как почтовыми серверами получатели должны обрабатывать входящие уведомления, если не получается идентифицировать отправителей.

DMARC: необходимость

Механизм Domain-based message authentication reporting and conformance способен эффективно защитить домен от негативного последствия действий злоумышленников. Мошенники нередко высылают нежелательные рассылки с домена авторитетного бренда. Пользователь помечает такое письмо как «Спам», от чего часто страдает имидж компании.

Принцип работы

DMARC анализирует, соответствуют или нет домены емейл-адресов в строке «От:» подписям DKIM и идентификаторам SPF. При полном совпадении, письма будут пересланы во «Входящие», при возникновении сомнений – сообщения обрабатывают с учетом выбранных политик технологии защиты:

  • None – уведомления попадают во «Входящее». Владельцы доменов получают отчеты с данными, в которых описана информация отправки письма для мониторинга, кем оно отправлено (имя) и разрешено ли отправителю выполнять такие действия;
  • Quarantine – емейл-сервера получателей высылают письма в папки «Спам», владельцы доменов могут продолжить изучать информацию;
  • Reject – сообщения, которые не прошли проверки защитой, отклонены DMARC, не попали ни в какие папки почтовых ящиков получателей. При установке такого вида политики важно убедиться, что третье лицо, которым разрешается отправка писем от вашего имени, находится в «Белом списке» (иначе их сообщения будут тоже отклоняться). Это имеет отношение как к сервису емейл-рассылок, так и CRM системе. 

Выполнить проверку, был ли использован мониторинговый инструмент для домена, позволяет URlports. При этом для DMARC даются «подсказки» деталей с помощью DMARC записей для любых доменных имен. 

Domain-based message authentication reporting and conformance и массовая рассылка.

AOL, Yahoo, Mail.ru и некоторые другие бесплатные сервисы рассылок предпочитают использовать защиту DMARC. Цель: запрет массовых емейл-кампаний через любой сторонний сервис рассылок. 

Эксперты рекомендуют регистрировать свои домены и настраивать для них почты. Также можно пользоваться почтовыми сервисами, которые еще не внедряли политики DMARC. Но этот вариант не дает гарантий доставки сообщений адресатам, то есть письма могут попадать в «Спам». 

Настройки DMARC: пошаговая инструкция

  1. Выполняется ревизия писем, которые высылались с ваших доменов, включительно с системными уведомлениями с сервиса и иного оборудования, отчетами о доставках сообщений (NDR, DSN), внутренними ссылками емейл-рассылок и тому подобного. Также в «Белый список» добавляется каждый легитимный адрес. 
  2. Делаются настройки DKIM-подписей, SPF-записей для необходимых доменов. 
  3. В колонке «Управление DNS-зонами» публикуются DMARC-записи (содержат none, запрашивающий отчет об информации). 
  4. Выполняется анализ информации, в флаги политики защиты вносятся изменения (none меняют на reject/quarantine – зависит от того, как вы хотите, чтобы сервер получателей обрабатывал письма неавторизованного отправителя). 

Для понимания, приведем пример, как может выглядеть запись.

v=DMARC1;

p=reject;

rua=mailto:example@domain.com;

ruf=mailto:email@domain.com;

fo=s

Расшифровка означает:

V – версии протоколов, равные DMARC1. Характеристика указывает, что конкретные записи определяют политику защиты, и должны располагаться вначале записей:

P – параметр, указывающий на обработку сообщения. С указанием только одного из вариантов: none/quarantine/reject;

Rua – емейл-адреса для получений отчетов о том, какие проверки аутентификации не были пройдены. С учетом того, что любые ошибки при проверке адресов генерируют отдельные отчеты, рекомендуется указать для этого отдельный почтовый ящик;

Fo – указывает, в какой ситуации отчет будет переслан владельцам доменом. Имеет несколько значений:

  1. Отправление, когда не прошла проверка SPF/DKIM. Устанавливается значениями по умолчанию.
  2. При непрохождении проверкой SPF/DKIM.

D. Отчеты высылаются при любых проваленных проверках механизма DKIM.

S. Отчеты высылаются при любых проваленных проверках ключа SPF.

Дата публикации: 2 марта 2023