Light-electric.com

IT Журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Dmarc запись для домена

DMARC для защиты корпоративной почты

DMARC – Domain-based Message Authentication, Reporting and Conformance (аутентификация сообщений, предоставление отчётов и проверка соответствия на базе доменного имени). Это относительно новая технология (утверждена в качестве RFC 7489 — https://tools.ietf.org/html/rfc7489 в марте 2015 года), призванная уменьшить количество подделок сообщений электронной почты, снизить количество фишинговых писем и способствовать борьбе со спамом.

Как настроить DMARC?

DMARC работает как надстройка над уже существующими технологиями SPF и DKIM. Это означает, что перед внедрением DMARC для почтового домена уже должны существовать корректные SPF и DKIM-записи, а на почтовом сервере должно производиться подписание исходящих сообщений доменными ключами. Без этой базы DMARC работать не будет, поэтому:

Шаг 1. SPF – настройка Sender Policy Framework

Наилучшей практикой для большинства почтовых доменов будет следующая SPF-политика:

где v=spf1 – зарезервированное имя механизма авторизации, a и mx разрешают приём почты с A- и MX-записей, описанных в доменной зоне отправителя, а политика по умолчанию -all требует безоговорочно отклонять приём сообщений со всех других адресов. За информацией о более детальной настройки SPF следует обратиться к отдельной статье по этому вопросу «SPF — применение в почтовых серверах и массовых рассылках».

Шаг 2. DKIM – настройка Domain Keys Identified Mail

Настройка DKIM несколько более сложная, чем SPF, так как подразумевает внесение уникальных изменений в каждое отправляемое сообщение. Значит, без настроек самого почтового сервера или установки дополнительного ПО не обойтись. В Linux это может быть, например, пакет OpenDKIM, который будучи установленным в режиме milter (mail filter) осуществляет подписание всех исходящих через него сообщений доменными ключами.

После настройки ПО необходимо опубликовать открытую часть ключа DKIM (public key) в DNS-зоне защищаемого домена. Запись должна иметь тип TXT и может выглядеть подобным образом:

dkimselector._domainkey IN TXT «v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX6lXGcAh7J5DfH9fBmHMAMiMaWN3GPD6+t7IaDACNcd4NDYYwi3VTXQxtqbPlB68ZnH7BLHefST+uiXZB RJffSJjqMlpylGGJ5wmTrgAg2LJ5iohd21LfwOQsDoAuwx295JzyZi89Cfa7zs/vnoWUdd8wEEHOEteSeUE/ejHuqQIDAQAB»

_adsp._domainkey IN TXT «dkim=discardable»

Шаг 3. Собственно настройка DMARC

Настройка DMARC весьма несложная и подобна указанию записи SPF. В DNS-зону защищаемого домена вносится дополнительная TXT-запись предопределённого наименования _dmarc Например, для домена корпоративной почты example.com DMARC-запись должна называться _dmarc.example.com Содержимое этой записи регламентируется следующими операторами:

Для большинства почтовых доменов с правильно настроенными и корректно функционирующими SPF и DKIM наилучшим вариантом настройки DMARC будет:

так как только такая настройка может гарантировать отклонение поддельных писем от имени защищаемого домена на почтовых серверах, проверяющих DMARC.

Серверы корпоративной почты Tendence.ru производят проверку политики DMARC наряду с SPF и DKIM и отклоняют не прошедшие проверку сообщения согласно указанными отправителями значениям. Благодаря этому пользователи почтового хостинга защищены от спама, фишинга и подделки сообщений с доменов, опубликовавших запись DMARC.

Критика DMARC

Технология DMARC, являясь по сути лишь надстройкой над SPF и DKIM, не привнесла практически ничего нового в процесс идентификации отправителя сообщения. Для определения спам/не спам используются те же старые добрые технологии. То есть вполне достаточно было бы просто применять (внедрять в доменные зоны с одной стороны и проверять на принимающих почтовых серверах, с другой) в полном объёме имеющийся у них потенциал.

Например, в политике SPF присутствует оператор all , задав которому значение «-» можно запретить приём всех сообщений в неавторизованных IP-адресов/доменных имён. Аналог в DMARC – p=reject;

А в стандарте DKIM (вернее в его подстандарте ADSP RFC 5617 — https://tools.ietf.org/html/rfc5617) описан Author Domain Signing Practices, который в случае значения dkim=discardable предписывает отклонять неподписанные/подписанные неверно сообщения. Нынешний аналог в DMARC опять же p=reject;

Если бы все отправители опубликовали у себя эти политики, а все почтовые серверы при получении проверяли бы эти записи, то во внедрении нового стандарта DMARC не возникло бы особой необходимости. К сожалению, многолетняя практика использования SPF и DKIM показывает, что отправители неохотно публикуют запретительные политики (если публикуют их вообще), а серверы-получатели зачастую игнорируют при приёме почты даже явные запреты. Так, например, почтовый сервер mail.ru не учитывает значение политики ADSP при проверке подписи DKIM, что делает возможным отправку на почтовые ящики этого сервиса фишинговых сообщений даже от имени доменов с политикой dkim=discardable . Это, конечно же, является игнорированием RFC со стороны mail.ru (т.н. rfc ignorant).

Остаётся лишь надеяться, что подобная участь не постигнет DMARC и эта технология будет широко внедрена и повсеместно станет применяться согласно стандартам RFC.

Единственной по-настоящему полезной новинкой DMARC может быть средство обратной связи, реализуемое через отправку агрегированных отчётов. Это действительно интересная возможность по контролю за попытками фишинга и/или рассылкой спама от имени легитимного отправителя.

Пример отчёта DMARC

Название сервиса
Email-адрес отправителя
Контактная информация — сайт, телефон
4037169972434315646

1470518900
1470416399

Настройка DMARC записи на домене

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) — протокол, позволяющий администратору доменной зоны опубликовать политику приема и отправки отчетов для писем, не имеющих авторизации. В качестве протоколов авторизации используются протоколы SPF (RFC 7208) и DKIM (RFC 6376).

Как работает DMARC?

Суть технологии проста: вы как владелец домена, с которого ведутся рассылки, можете прописать в DNS своего домена политику, определяющую, что делать с письмами, которые признаны поддельными.

Письма могут быть пропущены, положены в папку «Спам» или вообще не приняты почтовым сервером.

Для работы этой технологии требуется настроить SPF для вашего домена и подписывать каждое письмо DKIM-подписью. При этом домен DKIM должен совпадать с доменом в заголовке From.

Читать еще:  Доменное имя vpn сервера

При получении письма принимающий сервер проверит валидность SPF и DKIM. В случае, если проверка и DKIM и SPF не пройдена, к письму будет применена DMARC-политика вашего домена.

Для включения политики DMARC нужно разместить в DNS-записи вашего сайта новую TXT-запись.

Чтобы настроить Dmarc запись:

  1. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом (где вы покупали доменное имя);
  2. Введите логин и пароль для входа в «Панель управления»;
  3. Перейдите в раздел управления DNS-зонами необходимого домена;
  4. Добавьте новую ТХТ-запись со следующими данными:

В поле Имя: _dmarc
В поле Значение: v=DMARC1;p=none;


В таком виде запись означает, что все поддельные письма нужно пропускать.

Есть записи и с другой политикой:

  • v=DMARC1;p=reject; — поддельные письма не будут приниматься;
  • v=DMARC1;p=quarantine; — поддельные письма будут попадать в СПАМ.

DMARC такого вида отобразятся в сервисе как неактивные, но работать будут исправно.

Как проверить, прописалась ли запись?

Мы постоянно сканируем домены наших пользователей и выводи информацию в ваш аккаунт. Если вы правильно прописали DMARC запись, в вашем домене, в разделе «Настройки отправителя» во вкладке «Dmarc» вы увидите статус «Активный».

Если вы не понимаете о чем речь или у вас просто не получается, обратитесь к своему почтовому Администратору или службе поддержки регистратора вашего домена. Покажите данную инструкцию и вам помогут.

Добавление новой TXT записи и настройка DMARC — процедура очень распространенная и для данных специалистов не будет являться сложной задачей.

Инструменты для проверки доменных записей

MXtoolbox — проверка DNS записей, полная диагностика домена

Отправляем почту: что такое SPF, DKIM и DMARC

Время чтения — 7 минут.

Ресурсные записи

Ресурсные записи DNS (или DNS-записи домена) – это записи, которые в системе доменных имен указывают соответствие между именем и служебной информацией.

Проще говоря, ресурсные записи связывают имя и служебную информацию о сервере, на который указывает это имя. Например, вы вводите адрес сайта в браузере – и именно DNS-запись позволит вашему провайдеру отправить запрос на сервер с нужным вам сайтом, чтобы затем отобразить его на экране вашего компьютера.

Небольшая справка. DNS (Domain Name System) — это система доменных имен. Она используется для получения информации о доменах, в частности IP-адреса. Более подробно об этом можно прочитать в статье « Введение в терминологию, элементы и понятия DNS ».

Ресурсные записи не ограничиваются только соответствием «домен — IP-адрес». Существует несколько десятков типов ресурсных записей . Каждый тип необходим для работы определенной службы.

В этой статье мы остановимся на элементах ресурсных записей, связанных с почтовыми отправлениями: SPF, DKIM, DMARC. И для начала разберемся в том, с какими проблемами могут столкнуться те, кто хочет сделать свою рассылку.

Мое письмо ушло в спам

«Почему мое письмо попало в папку “Спам”?» — этим вопросом задаются многие начинающие пользователи, которые сделали рассылку по своей базе подписчиков.

Сначала определимся, что такое спам. Спам — это массовая рассылка пользователям, которые не давали согласия на ее получения. Весомую долю спама составляют мошеннические письма. Почтовые сервисы отправляют такие письма в папку «Спам», чтобы уберечь своих пользователей от неприятностей: вирусов, фишинга и других видов интернет-мошенничества.

Естественно, процесс анализа «спам-не спам» проходит в автоматическом режиме — у почтовых сервисов есть свои алгоритмы. После их анализа одни письма отправляются во входящие, а другие исчезают в недрах папки «Спам», в которую многие пользователи даже не заглядывают.

Настройка ресурсных записей дает возможность если не исключить, то хотя бы максимально уменьшить вероятность попадания вашего письма в спам.

SPF (Sender Policy Framework, инфраструктура политики отправителя) — это расширение для протокола отправки электронной почты через SMTP. Используя SPF, владелец домена может указать список серверов, которые смогут отправлять почтовые сообщения с адресом отправителя в этом домене. Иными словами, только указанные серверы смогут отправлять письма от имени этого домена.

Именно настройка SPF-записи защищает домен от несанкционированного использования. Это не позволяет допустить ситуации, когда от имени вашего домена будут рассылаться мошеннические письма.

Поэтому почтовые службы обращают внимание на SPF-запись, а также DKIM и DMARC, о которых будет рассказано далее.

Обязательно проверьте SPF-запись, если почтовые службы отправляют письма, отправленные с помощью phpmail(), в спам.

Как настроить SPF

SPF настраивается как TXT-запись для домена.

Небольшая справка. TXT-запись — это тип ресурсной записи, который содержит дополнительную информацию о домене. Чаще всего TXT-запись используется для подтверждения прав собственности на домен и настройки почтовых данных.

В справочном центре Timeweb есть подробная статья об основном синтаксисе и других механизмах настройки SPF — « Настройка SPF-записи ».

Более подробно ознакомиться с синтаксисом можно в документации SPF .

Если ваш домен расположен на нашем хостинге (и для него указаны NS-серверы Timeweb), то смело обращайтесь в службу поддержки, наши специалисты помогут вам настроить SPF-запись.

Клиентам с другими NS-серверами необходимо обращаться к держателю NS-серверов.

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, который дает возможность получателю проверить, было ли письмо отправлено с заявленного домена.

Главная задача DKIM — это упростить обнаружение электронных писем с поддельными адресами, когда заявленный адрес не соответствует адресу, с которого было отправлено письмо (один из видов мошеннических писем).

DKIM позволяет значительно облегчить идентификацию законной, правомочной электронной почты.

Технология DomainKeys позволяет передавать через DNS открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан.

Читать еще:  Как узнать домен пк

Настройки SPF и DKIM подтверждают, что отправитель письма определен и не является мошенником.

Как настроить DKIM

Информация о DKIM есть в нашем справочном центре в статье « Настройка DNS-записей ».

Если вы используете почту Timeweb, то DKIM-подпись создается автоматически: все необходимые настройки автоматически прописываются в тот момент, когда вы создаете первый почтовый ящик на своем домене.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance, идентификация сообщений, создание отчетов и определение соответствия по доменному имени) — это спецификация, направленная на снижение количества мошеннических электронных писем, в частности фишинговых атак.

SPF и DKIM – это хорошие и надежные методы аутентификации отправителя, но они имеют свои недостатки, поэтому была разработана открытая спецификация использования DMARC.

Изначально технология DMARC применялась в Gmail; в данный момент она работает в сервисах Facebook, LinkedIn, Hotmail, Yahoo!, Mail.ru, Яндекс.Почта и других принимающих узлах, которые используют данную технологию.

DMARC позволяет идентифицировать почтовые домены отправителя, основываясь на признаках и правилах, которые заданы на сервере адресата. Стандарт DMARC для принимающих узлов устанавливается в соответствии с механизмами SPF и DKIM, то есть как бы объединяет эти два механизма. И на всех принимающих узлах, поддерживающих эту технологию, будут выдаваться единые результаты.

DMARC дает возможность проверить, соответствует ли домен в заголовке (адрес отправителя) идентификаторам SPF и DKIM. Для того, чтобы письмо прошло проверку, идентификатор должен соответствовать домену, указанному в поле “From” («от»).

Как настроить DMARC

Почтовый сервис Timeweb использует только SPF/DKIM. Но DMARС-запись может быть указана для домена, если домен должен быть настроен для стороннего почтового сервиса, использующего эту спецификацию.

Для настройки DMARC нужно добавить доменную запись в DNS-настройки.

Пример самой простой записи, позволяющей включить режим мониторинга (выполнить тест DMARC и сохранить его результат):

_dmarc.timeweb.com IN TXT “v=DMARC1; p=none”

Такая запись позволить защитить письма, которые будут отправлены от домена timeweb.com, а также от поддоменов (например, mail.timeweb.com).

В этом случае если проверка на стороне получателя покажет, что домен в заголовке “From” соответствует указанному в доменной записи DMARC, то письмо пройдет проверку и попадет в почтовый ящик адресата.

Полную информацию о синтаксисе DMARC можно найти на официальном сайте .

Общие рекомендации

В этой статье советы по настройке почтовых отправлений касаются только SPF, DKIM и DMARC, однако только этими настройками они не ограничиваются. Мы рекомендуем прочитать в нашем справочном центре статью « Рекомендации для рассылок », где рассказывается об общих правилах рассылок, которые обязательно нужно иметь в виду.

Если у вас есть какие-нибудь вопросы, задавайте в комментариях, будем рады помочь!

Что такое SPF, DKIM и DMARC и почему вы обязательно должны их настроить

Разобраться в технических записях и терминологии, когда ты обычный макетолог, не всегда легко. На всех курсах для email-маркетологов, говорят, что у каждого домена-отправителя должны быть прописаны SPF, DKIM и DMARC. Что без этого письма не будут доставляться или, в лучшем случае, попадут в СПАМ.

Чтобы раз и навсегда разобраться с этими аббревиатурами и разложить вбитые насмерть аксиомы по полочкам, попросила нашего саппорт-ангела Артема написать доходчиво и понятно: как, зачем и почему у всех должны быть эти цифровые подписи.

Итак, чтобы прописать необходимые записи, нам нужен доступ к DNS (Domain Name System). Обычно доступ к DNS в компании имеют системные администраторы или, на крайний случай, программисты. Для них вы должны написать ТЗ, по которому они смогут добавить записи в DNS.

Что такое SPF?

SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять почту с вашего домена. Важно помнить, что SPF запись может быть только одна для одного домена. В рамках одной SPF может быть несколько записей (например, если письма отправляются с нескольких платформ для рассылок — маловероятно, но все же). Для поддоменов нужны свои записи.

Допустим, почтальон принес письмо с доставкой до квартиры, но, как бдительный гражданин, вы для начала звоните на почтамт и спрашиваете, есть ли у них такой сотрудник и может ли он приносить письма. На почтамте сверяются со списком всех служащих и отвечают. Так вот SPF – это список таких вот «сотрудников», которым вы доверяете доставлять свои письма.

Сама запись SPF создается с помощью нескольких правил. Синтаксис SPF:

  • «+» – пропустить. Используется, чтобы добавить адрес(а).
  • «?» – результат не определен. Примерно то же самое, что полное отсутствие записи.
  • «

» – мягкий отказ. Что-то среднее между неопределенностью и отказом. Такие письма обычно принимаются, но скорее всего попадут в папку «Спам».

  • «–» – твердый отказ. Такие письма не будут приниматься вообще.
  • Наиболее используемые механизмы:

    • «a» – позволяет добавить (удалить) в список адреса из всех записей типа А для домена. Такая запись необходима, если письма отправляются напрямую с хостинга или сервера, привязанного к домену.
    • «mx» – позволяет добавить (удалить) в список адреса из всех записей типа MX для домена. Такая запись необходима, если письма отправляются с личных почтовых серверов, принадлежащих домену.
    • «include:example.com» – позволяет добавить (удалить) в список адреса, прописанные для другого домена.
    • «ip4» или «ip6» – такая запись позволит напрямую добавить (удалить) IP-адрес(а) сервера, имеющего разрешение отправлять письма. Число, соответственно, обозначает 4 или 6 версию протокола.
    • «all» – все случаи. Обычно используется после внесения всех положительных правил для отсечения остальных случаев.

    А также часто используемый модификатор:
    «redirect=example.com» – позволяет полностью перевести запрос на другой домен. Обычно такая запись имеет смысл, если письма принимаются и отправляются только внешним сервисом.

    Например, запись: «v=spf1 +a -mx ?include:example.com

    all» даст следующий результат:
    1) «+а» – добавить в список все ip-адреса из записей A на домене;
    2) «- mx» – исключить из списка все ip-адреса из записей MX на домене;
    3) «?include:example.com» – всем правилам, прописанным для домена «example.com», присвоить нейтральное отношение;
    4) «

    all» – всем остальным ip-адресам присвоить мягкий возврат (попадание в папку «спам»).

    Проверить SPF можно здесь .

    Что такое DKIM?

    DKIM (DomainKeysIdentifiedMail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.

    Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.

    Если брать ту же аналогию c почтальоном, как и для SPF, то подписью DKIM будет удостоверение почтальона с печатью и идентификационным номером, которое можно проверить звонком на почтамт.

    Запись DKIM формируется проще, чем SPF. Вот 3 главные вещи, которые нужно указать:

    • «v» – версия протокола, всегда устанавливается как DKIM1.
    • «k» – тип ключа, всегда указывается как rsa.
    • «p» – сам открытый ключ.

    Пример записи домена mailigen.com:
    «v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+

    Проверить DKIM можно здесь .

    Что такое DMARC?

    DMARC (Domain-based Message Authentication, Reportingand Conformance) —это политика, которая показывает как обходиться с письмами, не прошедшими проверок SPF и DKIM.

    Прибегая к аналогии с почтальоном – это решение, которое вы примете после всех проверок: пустить или не пустить.

    На самом деле в случае с DMARC есть три настройки, что делать с письмами, не прошедшими проверку: ничего, отправить в спам или вообще не принимать. Более того, каждый день можно получать отчеты на свой почтовый ящик.

    К сожалению, отчеты приходят в формате, плохо воспринимаемым людьми, но есть специальные инструменты для преобразования отчета в читаемый формат, например, этот.

    Проверить DMARC можно здесь .

    Надеюсь, что эта статья помогла вам разобраться в синтаксисе записей, и теперь вы с легкостью сможете написать ТЗ для системного администратора или программиста на внесение этих записей в DNS.

    P.S. Остались вопросы? Пишите на team@mailigen.ru

    Рекомендуемые статьи

    Если вы для отправки рассылок через Mailigen пользуетесь публичными доменами, например, Mail или Gmail, то…

    Email-маркетинг в B2B – это не акционные письма, яркие баннеры и подборка товаров каждую неделю.…

    Понравился кейс?

    Мы поможем его реализовать и у вас! Напишите нам

    Настройка SPF, DKIM и DMARC без панели для postfix

    В предыдущих статьях мы рассказывали о подготовительных работах на сервере и двух способах установки и настройки почтового сервера — с хранением почтовых паролей в файле и в базе данных.

    Теперь пришло время повысить лояльность почтовых сервисов к письмам, отправляемым с сервера, чтобы они не попадали в спам. Для этого мы настроим несколько дополнительных параметров.

    Настраиваем spf

    SPF-запись указывает, с каких серверов может отправляться почта для домена.

    Для домена нужно добавить TXT-запись на серверах имён следующего вида:
    Имя: ВАШ_ДОМЕН.
    Значение: v=spf1 ip4:IP_ПОЧТОВОГО_СЕРВЕРА a mx

    all
    Где вместо IP_ПОЧТОВОГО_СЕРВЕРА нужно указать ip вашего сервера.

    Так это будет выглядеть при использовании наших серверов имён:

    Настраиваем DKIM

    DKIM добавляет в заголовки письма цифровую подпись, которая подтверждает подлинность отправителя и гарантирует целостность письма.

    Centos:

    Debian/Ubuntu:

    Запускаем службу и добавляем ее в автозагрузку:

    Создаём директорию, где будут лежать ключи:

    *домен mailtest.fvds.ru нужно заменить на свой домен

    Правим права на ключи:

    В конец файла /etc/opendkim.conf добавляем следующие настройки:

    В файл /etc/opendkim/TrustedHosts вносим наш домен:

    Файл должен выглядеть таким образом:

    Открываем файл /etc/opendkim/KeyTable и приводим к такому виду:

    Нужно заменить домен на свой и указать ваш путь до приватного ключа.

    Правим файл /etc/opendkim/SigningTable и указываем в нём следующие данные:

    Домен также нужно поменять на свой.

    Для Debian/Ubuntu указываем порт, на котором будет работать opendkim :

    И добавляем работу с DKIM в настройку postfix :

    Перезапускаем службы для применения настроек:

    Теперь нужно разместить публичный ключ на серверах имён домена, узнать его можно в файле /etc/opendkim /keys/mailtes.fvds.ru/dkim.txt :

    Запись должна быть следующего вида:
    Имя: dkim._domainkey.ВАШ_ДОМЕН.
    Значение (подставить свой ключ): v=DKIM1; k=rsa;

    Пример, как это выглядит в нашей панели управления записями доменов:

    Настраиваем DMARC

    DMARC — это ещё одна настройка, которая позволяет идентифицировать отправителя и снизить количество спама и фишинга.

    На серверах имён нужно разместить TXT-запись со следующим содержанием:
    Имя: _dmarc.ВАШ_ДОМЕН.
    Значение: v=DMARC1; p=none; aspf=r; sp=none

    Вот так это будет выглядеть в DNSmanager:

    Теперь при отправлении писем с сервера принимающая сторона не будет расценивать их как спам и ваши сообщения дойдут до адресата.

    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector
    ×
    ×