btv32.ru
Login Form
DMARK
- Подробности
- Категория: Электронная почта - безопастность
- Опубликовано 22.03.2018 11:12
- Автор: Super User
- Просмотров: 878
Оригинал статьи: https://habr.com/ru/companies/vk/articles/170957/ Автор: Денис Аникин, технический директор Почты Mail.Ru
DMARC: защитите вашу рассылку от подделок
Сталкивались ли вы с проблемой, что письма от вашего сервиса подделываются с целью вымогательства пароля или других конфиденциальных данных? Ежедневно к пользователям пытаются пробиться тысячи спамерских, фишинговых и мошеннических писем, которые злоумышленники маскируют под сообщения от известных сервисов.
Такие письма причиняют ущерб адресатам, что, в конечном счете, сказывается на репутации как самих добропорядочных сервисов, так и почтовых провайдеров.
Суть технологии проста: вы как владелец домена, с которого ведутся рассылки, можете прописать в DNS своего домена политику, определяющую, что делать с письмами, которые признаны поддельными.
Письма могут быть пропущены, положены в папку «Спам» или вообще не приняты почтовым сервером.
Для работы этой технологии требуется настроить SPF для вашего домена и подписывать каждое письмо DKIM-подписью. При этом домен DKIM должен совпадать с доменом в заголовке From.
При получении письма наш сервер проверит валидность SPF и DKIM. В случае, если проверка и DKIM и SPF не пройдена, к письму будет применена DMARC-политика вашего домена.
Первое, что необходимо сделать — решить, как будет внедряться DMARC. Мы рекомендуем делать это не сразу, а постепенно:
Такой пошаговый подход позволит вовремя выявить проблемы с DKIM-подписью, если они есть, и исправить их прежде, чем политика будет развернута на 100%.
Для включения политики DMARC нужно разместить в DNS-записи вашего сайта новую TXT-запись вида:
В таком виде запись означает, что все поддельные письма нужно пропускать, а отчеты надо высылать на ящик Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ; exampledomain.ru необходимо заменить на ваш домен.
Если вы хотите получать отчеты на домен, который не совпадает с доменом DMARC, вам необходимо разместить TXT-запись для почтового домена специального вида. Допустим, ваш домен с DMARC — exampledomain.ru, а получать отчеты вы хотите на домен test.ru. В таком случае необходимо в DNS домена test.ru добавить TXT-запись вида:
В данный момент мы поддерживаем отправку только агрегированных отчетов. Отправка образцов, которые не прошли проверку будет запущена позже.
Ежедневные агрегированные отчеты приходят в формате XML с адреса Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. .
Ниже — пример отчета о том, что с одного IP-адреса было отправлено 20 писем, и все они прошли проверку.
Существует множество готовых средств, делающих обработку этих отчетов удобнее. Найти их можно на сайте DMARC: http://www.dmarc.org/resources.html.
Такие письма причиняют ущерб адресатам, что, в конечном счете, сказывается на репутации как самих добропорядочных сервисов, так и почтовых провайдеров.
Как работает DMARC
Суть технологии проста: вы как владелец домена, с которого ведутся рассылки, можете прописать в DNS своего домена политику, определяющую, что делать с письмами, которые признаны поддельными.
Письма могут быть пропущены, положены в папку «Спам» или вообще не приняты почтовым сервером.
Для работы этой технологии требуется настроить SPF для вашего домена и подписывать каждое письмо DKIM-подписью. При этом домен DKIM должен совпадать с доменом в заголовке From.
При получении письма наш сервер проверит валидность SPF и DKIM. В случае, если проверка и DKIM и SPF не пройдена, к письму будет применена DMARC-политика вашего домена.
Я уже хочу. Что мне делать?
Первое, что необходимо сделать — решить, как будет внедряться DMARC. Мы рекомендуем делать это не сразу, а постепенно:
- Сначала включить только получение отчетов и пропускать все письма. Это необходимо, чтобы убедиться, что все письма корректно подписаны.
- Далее можно включить применение политики только на какой-то небольшой процент траффика с помощью опции pct
- Если в отчетах не обнаружено проблем, можно включать политику на 100%
Такой пошаговый подход позволит вовремя выявить проблемы с DKIM-подписью, если они есть, и исправить их прежде, чем политика будет развернута на 100%.
Для включения политики DMARC нужно разместить в DNS-записи вашего сайта новую TXT-запись вида:
_dmarc.exampledomain.ru. 3600 IN TXT "v=DMARC1; p=none; rua=mailto:postЭтот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
" В таком виде запись означает, что все поддельные письма нужно пропускать, а отчеты надо высылать на ящик Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. ; exampledomain.ru необходимо заменить на ваш домен.
Если вы хотите получать отчеты на домен, который не совпадает с доменом DMARC, вам необходимо разместить TXT-запись для почтового домена специального вида. Допустим, ваш домен с DMARC — exampledomain.ru, а получать отчеты вы хотите на домен test.ru. В таком случае необходимо в DNS домена test.ru добавить TXT-запись вида:
exampledomain.ru._report._dmarc.test.ru. 3600 IN TXT "v=DMARC1"В данный момент мы поддерживаем отправку только агрегированных отчетов. Отправка образцов, которые не прошли проверку будет запущена позже.
Как выглядит отчет?
Ежедневные агрегированные отчеты приходят в формате XML с адреса Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра. .
Ниже — пример отчета о том, что с одного IP-адреса было отправлено 20 писем, и все они прошли проверку.
<feedback>
<report_metadata>
<date_range>
<begin>1361304000</begin>
<end>1361390400</end>
</date_range>
<email>dmarc_support@corp.mail.ru</email>
<extra_contact_info>http://corp.mail.ru/en</extra_contact_info>
<org_name>Mail.Ru</org_name>
<report_id>1361304000874948</report_id>
</report_metadata>
<policy_published>
<adkim>r</adkim>
<aspf>r</aspf>
<domain>adan.ru</domain>
<p>none</p>
<pct>100</pct>
<sp>none</sp>
</policy_published>
<record>
<auth_results>
<dkim>
<domain>adan.ru</domain>
<result>pass</result>
</dkim>
<spf>
<domain>adan.ru</domain>
<result>pass</result>
</spf>
</auth_results>
<identifiers>
<header_from>adan.ru</header_from>
</identifiers>
<row>
<count>20</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<source_ip>176.9.9.172</source_ip>
</row>
</record>
</feedback>
Существует множество готовых средств, делающих обработку этих отчетов удобнее. Найти их можно на сайте DMARC: http://www.dmarc.org/resources.html.