Как попасть в inbox: всё о dmarc

Что такое DMARC и зачем он нужен?

На примере ниже — скриншот фишингового письма, маскирующегося под рассылку от Сбербанка. Оно оформлено полностью корректно и использует почту отправителя fomin.s@sberbank.ru — что похоже на реальный корпоративный адрес сотрудника Сбербанка. В действительности при клике по ссылке юзера уводит на сайт, где скачивается zip-архив с вирусом.

Пример фишингового письма

Результат такой атаки — заражённые компьютеры пользователей, украденные личные данные и репутационный ущерб для компании, чьим именем домена пользуются мошенники.

Уберечься от такой рассылки Сбербанк мог, настроив политику reject для DMARC, — тогда почтовый провайдер отклонит фишинговое письмо ещё на этапе анализа на спам и письмо просто не попадёт в ящики пользователей.

Теги записи DMARC

Как DMARC защищает от спуфинга

DMARC сообщает принимающим почтовым серверам, что делать при получении письма, которое якобы отправлено вашей организацией, но не проходит аутентификацию или не соответствует требованиям аутентификации в вашей записи правил DMARC. Если электронное письмо не прошло проверку подлинности, возможно, оно отправлено злоумышленниками от имени вашей организации или с несанкционированных серверов.

DMARC всегда используется в сочетании со следующими двумя методами аутентификации:

• SPF (Sender Policy Framework) позволяет владельцу домена указывать IP-адреса, которым разрешено отправлять электронную почту от имени этого домена. Принимающие сервера могут проверить, было ли письмо с указанным исходным доменом действительно отправлено с сервера, одобренного владельцем домена.
• DKIM (Domain Keys Identified Mail) добавляет цифровую подпись к каждому отправленному электронному письму. Принимающие серверы с помощью подписи проверяют подлинность писем, чтобы убедиться, что они не были подделаны или изменены при доставке.

Аутентификация электронных писем (проверка на соответствие)

После проверки письма с помощью SPF или DKIM оно проходит или не проходит аутентификацию DMARC в зависимости от того, соответствует ли заголовок От: домену-отправителю. Это называется проверкой на соответствие. Поэтому прежде чем настраивать DMARC для домена, необходимо включить SPF и DKIM.

Подробнее …

Обработка электронных писем, не прошедших аутентификацию (правила получателя)

Если почтовый сервер получает из вашего домена письмо, которое не проходит проверку SPF и/или DKIM, DMARC сообщает серверу, что нужно сделать с этим письмом. В зависимости от правил DMARC возможен один из трех вариантов:

• Правила не заданы. Сервер не предпринимает никаких дополнительных действий и доставляет письма обычным образом.
• Письма отправляются в карантин. Сервер помечает письма как спам и отправляет в папки «Спам» получателей или в карантин.
• Письма отклоняются. Сервер отклоняет письма и не доставляет их получателям.

Подробнее …

Отчеты, позволяющие отслеживать работу DMARC и при необходимости менять правила

Настройте запись DMARC, чтобы регулярно получать отчеты от серверов, принимающих электронные письма из вашего домена. Отчеты DMARC содержат информацию обо всех источниках, отправляющих электронную почту из вашего домена, в том числе о ваших собственных почтовых серверах и сторонних серверах.

Отчеты DMARC помогают вам:

• получать сведения обо всех источниках, отправляющих электронные письма вашей организации;
• выявлять неавторизованные источники, отправляющие письма от имени вашей организации;
• определять, какие письма, отправленные вашей организацией, проходят и не проходят аутентификацию (SPF и/или DKIM).

Информация в отчетах DMARC сложна для понимания. Подробнее об использовании отчетов DMARC…

Внедрите DKIM

• Убедитесь, что генерируемые серверами письма соответствуют рекомендациям по структуре, кодировкам и количеству заголовков, иначе возможна ситуация, что при передаче почтовым релеем письмо будет изменено для приведения его в соответствие со стандартами (чаще всего происходит разбивка длинных строк), отчего нарушится DKIM-сигнатура.
• Используйте ключ длиной 1024 или 2048 бит.
• Убедитесь что ваш DNS-сервер поддерживает разрешение больших записей. Обычно для этого помимо доступа к серверу по порту UDP/53 необходимо дополнительно разрешить доступ по TCP/53. Убедитесь что TXT-запись с ключом DKIM корректно разрешается из внешних сетей.
• Используйте режим канонизации relaxed/relaxed, он реже приводит к проблемам, связанным с нормализацией письма при передаче.
• Не подписывайте заголовки, которые меняются при доставке письма (такие как Received: и Return-Path:), убедитесь, что обязательные заголовки (Date:, Message-ID:, From:) формируются до наложения DKIM-подписи
• Внедрите DKIM на всех источниках писем для всех поддоменов.
• Используйте отдельные селекторы с отдельными ключами для внешних источников (провайдеров услуг по рассылке почты), чтобы была возможность отозвать ключ при необходимости.
• Для DMARC необходимо, чтобы домен, используемый в DKIM-подписи, совпадал с точностью до организационного домена с доменом из заголовка From. При этом могут присутствовать и другие DKIM-подписи, но они будут игнорироваться.
• Контролируйте внедрение DKIM по статистическим отчетам от внешних сервисов.
• Используйте в политике DMARC, это позволит получать forensic-репорты по всем проблемам с SPF и DKIM, даже для писем, проходящих авторизацию DMARC.

Что делать дальше?

После создания и проверки, дело за малым – разместить DMARC в DNS-записи сайта. К примеру, если строка сгенерирована автоматически, то запись в DNS для адреса dmarc@example.com имеет следующий вид:

DMARC – не панацея от мошенников. Но он заставляет их в поле «FROM» указывать домен, который отличается от оригинального, что облегчает обнаружение спама. Как почтовым провайдерам, так и самим отправителям. Через механизм отчетов бренды могут не только контролировать безопасность своего домена и отслеживать попытки мошенничества с рассылками, но и определять нарушителей.

Мы дали только базовую настройку DMARC, которая поможет поставить «первый уровень» защиты для одного домена и одного IP, с которого делаются рассылки. Напомним, чтобы настроить DMARC в сервисе Estismail — читайте инструкцию. Если у вас более 2-х IP, как у пользователей тарифа CLOUD, то рекомендуем обратиться в нашу техподдержку. Время это сэкономит точно 🙂

Безопасных рассылок и эффективных кампаний!

Инструкции по настройке:

По запросу мы сгенерируем и настроим на своей стороне подписи DKIM для домена, принадлежащего клиенту.

У подписей будут такие аттрибуты:

• Signing Algorithm (алгоритм подписи): RSA-SHA256
• Key Size (размер ключа): 1024
• Selector (селектор): UE(ГОД)(МЕСЯЦ)

После генерации подписи DKIM Signature клиент получит текстовый файл с публичным ключом (Public Key Record).

Клиент должен установить DNS записи  с такими  двумя (2) TXT записями: Запись о политике и запись о публичном ключе

Примеры записей:

1. _domainkey.(вашдомен). IN TXT «o=~; r=postmaster@(вашдомен)»
2. (селектор)._domainkey.(вашдомен). IN TXT «v=DKIM1; p=MIGfMA0GCSqGSIb4DQ(…..)z2nJSPOxvGGznkcY25w5lIYpxpVwZ/IwIDAQAB;»

Запись о политике (DKIM Policy Record):

Домен, использующий DomainKeys, должен иметь одну запись о политике.

Это DNS TXT- запись с именем «_domainkey» и потом доменным именем –например  «_domainkey.вашдомен.» В TXT-записи должна быть указана политика, которая может быть или «o=-» или «o=~».

Защита почтового сервера без использования антивируса

Итак, прежде чем мы приступим непосредственно к изменению настроек безопасности нашего почтового сервера, нужно разобраться с тем, что именно мы собираемся настраивать. Если тебя не пугают страшные на вид аббревиатуры, состоящие из трех и более заглавных букв латинского алфавита, ты можешь пропустить этот раздел. Остальных приглашаю освежить свои знания, ибо повторение, как гласит народная мудрость, мать учения.

Что такое DKIM?

DKIM (Domain Keys Identified Mail) — это, условно говоря, цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки сообщения и остается незаметной для самого пользователя. Поскольку в DKIM используется асимметричная система шифрования, репозиторий сервера всегда хранит два ключа шифрования — открытый (сертификат) и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS-записи в виде TXT-файла.

Статус DKIM проверяется автоматически на стороне получателя при сохранении письма в контейнер (именной почтовый ящик). И если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или же сразу помещено в папку «Спам», в зависимости от настроенной политики безопасности. Кстати, это одна из ключевых причин, почему письма определенных отправителей постоянно попадают в спам, даже несмотря на валидность домена отправителя.

Для работы с DKIM требуется выполнение следующих условий:

• поддержка DKIM почтовым сервером (а она есть у всех современных почтовиков);
• создание приватного и публичного ключа шифрования (это нужно сделать ручками);
• занесение в DNS домена записей, связанных с DKIM (и это тоже ручками).

Принцип работы DKIM

Что такое SPF?

Важно помнить, что SPF-запись должна быть только одна для одного домена, хотя уже в рамках одной SPF может содержаться несколько записей. И нужно сказать, что для поддоменов будут нужны свои записи

И никак иначе! Безопасность требует времени и усердия.

Принцип работы SPF

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это еще одна подпись, которая позволяет серверу получателя принять решение, что делать с пришедшим письмом

Важно заметить, что DMARC — это скорее дополнительная фича к уже используемым DKIM и SPF. Например, если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC

Все логично. А вот если письмо успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC оно тоже преодолеет. Также при помощи DMARC можно получать репорты от почтовых систем с информацией, сколько через них пыталось пройти или прошло поддельных сообщений на ваш домен. Из сказанного становится понятно, что DMARC добавляется только после того, как уже настроены записи SPF и DKIM.

Принцип работы DMARC

От чего нельзя защититься с помощью DKIM, SPF и DMARC

Некоторые полезные ссылки для проверки корректности настройки DKIM- и SPF-записей, а также репутации домена:

• SPF Policy Tester — онлайн-сервис проверки корректности SPF-записи. Для проведения теста на сайте указываешь почтовый адрес, с которого хочешь отправлять письма, и IP-адрес почтового сервера. Если все хорошо, то после нескольких секунд ожидания внизу страницы должна появиться зеленая надпись .
• Dkimvalidator.com — разработчики этого сервиса дают тебе адрес почты, на который нужно выслать письмо. После этого можно просмотреть отчет о валидности DKIM. Все просто!
• Mail-tester.com — еще один вариант аналогичного сервиса, где тебе предоставляется адрес почты для отправки тестового сообщения, а после этого можно посмотреть отчет о доставке. Если возникли проблемы, из представленного репорта можно понять, в чем именно заключаются косяки.

Также не стоит забывать о регистрации своего сервера в службах постмастера для публичных почтовых серверов (если ты, конечно, администрируешь такой сервер). Это позволит тебе не только получать статистику по рассылкам, но и заработать чуть больше доверия от этого почтового сервиса. Вот самые известные и часто используемые постмастеры: Mail.RU, Yandex и Gmail.

Как это работает?

DMARC работает на основе протоколов аутентификации SPF и DKIM и проверяет корректность прохождения письмом проверок на SPF и DKIM, а также факт, что данные письма действительно были отправлены с доменов под контролем организации. Ключевые функции DMARC — проверка аутентификации и отправка отчётов.

Что проверяется:

• Отправляющий IP-адрес емейла указан в разрешенных в записи SPF.
• Проверка DKIM имеет статус pass — то есть пройдена удачно.

По результатам проверки обновляется информация в отчётах:

• Добавляются данные о факте и результате проверки в агрегированный отчёт, который по умолчанию отправляется раз в сутки.
• В случае негативного срабатывания (проверка DMARC провалена) отправляется письмо с уведомлением о проваленной проверке. Такое уведомление уходит при каждой проваленной проверке — то есть 1000 писем, которые не прошли проверку, генерируют тысячу отправок отчёта вам на почту. Поэтому имеет смысл использовать отдельный адрес для получения этих отчётов, их может быть очень много

Схема использования политики DMARC

DMARC позволяет отправителю указать, как поступать с письмом по результатам проверки. Это делается через указание политики DMARC, которая бывает трёх видов:

1. none — политика для мониторинга. Используется, когда вы только начинаете работу с DMARC и нужно понять, от имени каких доменов отправляется почта.
2. quarantine — политика карантина, с ней письма в зависимости от почтового провайдера будут отправлены в спам, отмечены к более строгой проверке или помечены как подозрительные для пользователя.
3. reject — самая строгая политика и высочайший уровень защиты. При политике reject отправитель указывает почтовому провайдеру блокировать все письма, которые не прошли проверки SPF и/или DKIM.

Как добавить DKIM и SPF записи

В первую очередь необходимо сгенерировать записи в вашем SendPulse аккаунте, а затем прописать их в панели управления вашего сайта.

Как сгенерировать DKIM и SPF записи в сервисе SendPulse

В разделе «Рассылки» выберите «Настройки сервиса».

Откройте вкладку «Аутентификация».

В разделе «Аутентификация (SPF и DKIM записи)» кликните «Подключить».

Укажите свой домен в поле «Имя домена отправки» и кликните «Получить SPF/DKIM записи».

Сервис сгенерирует все данные для добавления DNS записей SPF и DKIM, их необходимо добавить на вашем домене отправителя. 

Настройки в панели управления DNS записями

Откройте настройки DNS

Откройте панель управления вашего сайта и найдите страницу для обновления записей DNS домена. Она может носить название «Управление DNS», «Управление сервером имен» или «Дополнительные настройки».

Вы увидите подобную страницу с незаполненными полями.

Заполните поля для SPF и DKIM.

Как заполнить поля для записи DKIM

В поле «Имя» введите sign._domainkey. В некоторых панелях управления DNS для публичного ключа DKIM необходимо также указывать домен, например, sign._domainkey.example.com

В поле «Тип записи» установите значение «TXT».

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.  

Например: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ…

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите, пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Как заполнить поля для записи SPF

В поле «Имя» укажите ваш домен, например example.com

В поле «Тип записи» установите значение «TXT».  

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.

Например: v=spf1 include:mxsspf.sendpulse.com +a +mx ~all

Если для вашего домена уже добавлена SPF-запись, отредактируйте существующую запись, новую создавать не нужно.

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Письма подтверждения форм подписки и тестовые письма отправленные через опцию «Тестовая отправка», будут содержать дефолтную SPF\DKIM подпись сервиса SendPulse.

Что такое DKIM?

DKIM (DomainKeysIdentifiedMail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.

Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.

Если брать ту же аналогию c почтальоном, как и для SPF, то подписью DKIM будет удостоверение почтальона с печатью и идентификационным номером, которое можно проверить звонком на почтамт.

Запись DKIM формируется проще, чем SPF. Вот 3 главные вещи, которые нужно указать:

• «v» – версия протокола, всегда устанавливается как DKIM1.
• «k» – тип ключа, всегда указывается как rsa.
• «p» – сам открытый ключ.

Пример записи домена mailigen.com:«v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+

UZnYHiNV8rWYvfH/qaOzwD9q8jivC7zk4GJuXh9cECd3MAb3sw+Qet10E5RkeLzDw+

0zKecYQWKCXWSGKOeHDfyP9VqrlL2Bi1KieM8Q0KsFFwC5eoZqil/PwDhGlkFcNYae3TrWwIDAQAB»

Проверить DKIM можно здесь.

SPF-запись

Запись имеет вид: где:

• mail._domainkey — имя записи типа DKIM;
• k, t, p — параметры ключа.

Включите DKIM-подпись в Панели управления, блок «Электронная почта» раздела «Управление сайтами».

Если почта обслуживается внешним сервисом:

• запросите публичный ключ у провайдера;
• перейдите в раздел «Управление сайтами» → ваш сайт → «Настройка DNS» Панели управления;
• добавьте запись DKIM, указав полученный ключ после «p=».

Настройка DMARC

После настройки SPF и DKIM укажите политику их обработки: добавьте запись DMARC.

Она выглядит так:

Параметры:

Обязательно укажите атрибуты, выделенные цветом.

Советы

Перед установкой SPF-записи удостоверьтесь, что учтены все сервера, отправляющие письма в интернет. Не забудьте про web-сервера и другие внешние системы, иначе вы можете потерять часть писем, и тем самым навредить себе и бизнесу.
Правильно выбирайте механизм обработки писем (Pass, Fail, SoftFail, Neutral). При безусловной переадресации вашего письма из одной почтовой системы в другую может возникнуть проблема, так как SPF проверяет только последний «хоп».
Рекомендуется создавать SPF-записи для всех доменов второго уровня, которые принадлежат вам или вашей компании, даже если вы не отправляете от их имени письма. Для таких доменов желательно использовать простую запись «v=spf1 -all», которая говорит, что никто не можем отправлять письма от этих доменов.
Домены третьего уровня защитить можно с помощью wildcard-записи типа «*.example.com. IN TXT «v=spf1 -all»»

Но, обратите внимание на то, что wildcard работает только для несуществующих поддоменов. Например, если у вас есть поддомен moscow.example.com с MX-записями, запись «*.example.com

IN TXT «v=spf1 -all»» не будет на нее распространяться. Подробнее описано в статье на Wikipedia и RFC 1034.
SPF-записи рекомендуется создавать не только для доменов, но и для почтовых серверов, которые занимаются отправкой писем в интернет. Это необходимо, чтобы пройти HELO/EHLO Test принимающего сервера. Стандартная запись: «mx.example.com. IN TXT «v=spf1 a -all»».
Если у вас много доменов, которые обслуживаются несколькими основными MX-серверами, то советую использовать механизм «redirect». Например, основной домен «example.com» имеет SPF-запись «v=spf1 +a +mx -all», то остальным доменам (example1.com, example2.com и т.д.), для упрощения обслуживания, можно прописать запись «v=spf1 redirect=example.com».
Если у вас много доменов и много почтовых серверов отправителей, распределенных географически и организационно, то можно использовать механизм «include» и отдельную зону «_spf.example.com». Как пример можно посмотреть запись для домена gmail.com – «v=spf1 redirect=_spf.google.com».
Кроме защиты своих доменов рекомендуется защитить свою почтовую систему и пользователей, включив проверку SPF/DKIM/DMARC записей на ваших внешних почтовых серверах. Это будет хорошим дополнением даже для таких мощных программно-аппаратных комплексов, как Cisco IronPort.
Как только полностью разберетесь с SPF, советую изучить вопрос подписи ваших электронных писем с помощью технологии DKIM и политики DMARC, это существенно увеличит репутацию ваших исходящих писем.