Light-electric.com

IT Журнал
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка dmarc для домена

Настройка DMARC записи на домене

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) — протокол, позволяющий администратору доменной зоны опубликовать политику приема и отправки отчетов для писем, не имеющих авторизации. В качестве протоколов авторизации используются протоколы SPF (RFC 7208) и DKIM (RFC 6376).

Как работает DMARC?

Суть технологии проста: вы как владелец домена, с которого ведутся рассылки, можете прописать в DNS своего домена политику, определяющую, что делать с письмами, которые признаны поддельными.

Письма могут быть пропущены, положены в папку «Спам» или вообще не приняты почтовым сервером.

Для работы этой технологии требуется настроить SPF для вашего домена и подписывать каждое письмо DKIM-подписью. При этом домен DKIM должен совпадать с доменом в заголовке From.

При получении письма принимающий сервер проверит валидность SPF и DKIM. В случае, если проверка и DKIM и SPF не пройдена, к письму будет применена DMARC-политика вашего домена.

Для включения политики DMARC нужно разместить в DNS-записи вашего сайта новую TXT-запись.

Чтобы настроить Dmarc запись:

  1. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом (где вы покупали доменное имя);
  2. Введите логин и пароль для входа в «Панель управления»;
  3. Перейдите в раздел управления DNS-зонами необходимого домена;
  4. Добавьте новую ТХТ-запись со следующими данными:

В поле Имя: _dmarc
В поле Значение: v=DMARC1;p=none;


В таком виде запись означает, что все поддельные письма нужно пропускать.

Есть записи и с другой политикой:

  • v=DMARC1;p=reject; — поддельные письма не будут приниматься;
  • v=DMARC1;p=quarantine; — поддельные письма будут попадать в СПАМ.

DMARC такого вида отобразятся в сервисе как неактивные, но работать будут исправно.

Как проверить, прописалась ли запись?

Мы постоянно сканируем домены наших пользователей и выводи информацию в ваш аккаунт. Если вы правильно прописали DMARC запись, в вашем домене, в разделе «Настройки отправителя» во вкладке «Dmarc» вы увидите статус «Активный».

Если вы не понимаете о чем речь или у вас просто не получается, обратитесь к своему почтовому Администратору или службе поддержки регистратора вашего домена. Покажите данную инструкцию и вам помогут.

Добавление новой TXT записи и настройка DMARC — процедура очень распространенная и для данных специалистов не будет являться сложной задачей.

Инструменты для проверки доменных записей

MXtoolbox — проверка DNS записей, полная диагностика домена

DMARC для защиты корпоративной почты

DMARC – Domain-based Message Authentication, Reporting and Conformance (аутентификация сообщений, предоставление отчётов и проверка соответствия на базе доменного имени). Это относительно новая технология (утверждена в качестве RFC 7489 — https://tools.ietf.org/html/rfc7489 в марте 2015 года), призванная уменьшить количество подделок сообщений электронной почты, снизить количество фишинговых писем и способствовать борьбе со спамом.

Как настроить DMARC?

DMARC работает как надстройка над уже существующими технологиями SPF и DKIM. Это означает, что перед внедрением DMARC для почтового домена уже должны существовать корректные SPF и DKIM-записи, а на почтовом сервере должно производиться подписание исходящих сообщений доменными ключами. Без этой базы DMARC работать не будет, поэтому:

Шаг 1. SPF – настройка Sender Policy Framework

Наилучшей практикой для большинства почтовых доменов будет следующая SPF-политика:

где v=spf1 – зарезервированное имя механизма авторизации, a и mx разрешают приём почты с A- и MX-записей, описанных в доменной зоне отправителя, а политика по умолчанию -all требует безоговорочно отклонять приём сообщений со всех других адресов. За информацией о более детальной настройки SPF следует обратиться к отдельной статье по этому вопросу «SPF — применение в почтовых серверах и массовых рассылках».

Шаг 2. DKIM – настройка Domain Keys Identified Mail

Настройка DKIM несколько более сложная, чем SPF, так как подразумевает внесение уникальных изменений в каждое отправляемое сообщение. Значит, без настроек самого почтового сервера или установки дополнительного ПО не обойтись. В Linux это может быть, например, пакет OpenDKIM, который будучи установленным в режиме milter (mail filter) осуществляет подписание всех исходящих через него сообщений доменными ключами.

После настройки ПО необходимо опубликовать открытую часть ключа DKIM (public key) в DNS-зоне защищаемого домена. Запись должна иметь тип TXT и может выглядеть подобным образом:

dkimselector._domainkey IN TXT «v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX6lXGcAh7J5DfH9fBmHMAMiMaWN3GPD6+t7IaDACNcd4NDYYwi3VTXQxtqbPlB68ZnH7BLHefST+uiXZB RJffSJjqMlpylGGJ5wmTrgAg2LJ5iohd21LfwOQsDoAuwx295JzyZi89Cfa7zs/vnoWUdd8wEEHOEteSeUE/ejHuqQIDAQAB»

_adsp._domainkey IN TXT «dkim=discardable»

Шаг 3. Собственно настройка DMARC

Настройка DMARC весьма несложная и подобна указанию записи SPF. В DNS-зону защищаемого домена вносится дополнительная TXT-запись предопределённого наименования _dmarc Например, для домена корпоративной почты example.com DMARC-запись должна называться _dmarc.example.com Содержимое этой записи регламентируется следующими операторами:

Для большинства почтовых доменов с правильно настроенными и корректно функционирующими SPF и DKIM наилучшим вариантом настройки DMARC будет:

так как только такая настройка может гарантировать отклонение поддельных писем от имени защищаемого домена на почтовых серверах, проверяющих DMARC.

Серверы корпоративной почты Tendence.ru производят проверку политики DMARC наряду с SPF и DKIM и отклоняют не прошедшие проверку сообщения согласно указанными отправителями значениям. Благодаря этому пользователи почтового хостинга защищены от спама, фишинга и подделки сообщений с доменов, опубликовавших запись DMARC.

Критика DMARC

Технология DMARC, являясь по сути лишь надстройкой над SPF и DKIM, не привнесла практически ничего нового в процесс идентификации отправителя сообщения. Для определения спам/не спам используются те же старые добрые технологии. То есть вполне достаточно было бы просто применять (внедрять в доменные зоны с одной стороны и проверять на принимающих почтовых серверах, с другой) в полном объёме имеющийся у них потенциал.

Например, в политике SPF присутствует оператор all , задав которому значение «-» можно запретить приём всех сообщений в неавторизованных IP-адресов/доменных имён. Аналог в DMARC – p=reject;

А в стандарте DKIM (вернее в его подстандарте ADSP RFC 5617 — https://tools.ietf.org/html/rfc5617) описан Author Domain Signing Practices, который в случае значения dkim=discardable предписывает отклонять неподписанные/подписанные неверно сообщения. Нынешний аналог в DMARC опять же p=reject;

Если бы все отправители опубликовали у себя эти политики, а все почтовые серверы при получении проверяли бы эти записи, то во внедрении нового стандарта DMARC не возникло бы особой необходимости. К сожалению, многолетняя практика использования SPF и DKIM показывает, что отправители неохотно публикуют запретительные политики (если публикуют их вообще), а серверы-получатели зачастую игнорируют при приёме почты даже явные запреты. Так, например, почтовый сервер mail.ru не учитывает значение политики ADSP при проверке подписи DKIM, что делает возможным отправку на почтовые ящики этого сервиса фишинговых сообщений даже от имени доменов с политикой dkim=discardable . Это, конечно же, является игнорированием RFC со стороны mail.ru (т.н. rfc ignorant).

Читать еще:  Резервный контроллер домена

Остаётся лишь надеяться, что подобная участь не постигнет DMARC и эта технология будет широко внедрена и повсеместно станет применяться согласно стандартам RFC.

Единственной по-настоящему полезной новинкой DMARC может быть средство обратной связи, реализуемое через отправку агрегированных отчётов. Это действительно интересная возможность по контролю за попытками фишинга и/или рассылкой спама от имени легитимного отправителя.

Пример отчёта DMARC

Название сервиса
Email-адрес отправителя
Контактная информация — сайт, телефон
4037169972434315646

1470518900
1470416399

Защищаем почтовый сервер без антивируса. Настройка DKIM-, SPF- и DMARC-записей

Содержание статьи

Немного теории о том, что мы будем настраивать

Итак, прежде чем мы приступим непосредственно к изменению настроек безопасности нашего почтового сервера, нужно разобраться с тем, что именно мы собираемся настраивать. Если тебя не пугают страшные на вид аббревиатуры, состоящие из трех и более заглавных букв латинского алфавита, ты можешь пропустить этот раздел. Остальных приглашаю освежить свои знания, ибо повторение, как гласит народная мудрость, мать учения.

WARNING

Важно помнить, что, к сожалению, настройка DKIM-, SPF- и DMARC-записей не панацея от всех бед. Если почтовый сервер был взломан, эти функции безопасности не смогут защитить от нелегитимного трафика. Поэтому важно заранее продумать эшелонированную защиту системы, включая антиспам-фильтры, антивирусное детектирование и прочее.

Что такое DKIM?

DKIM (Domain Keys Identified Mail) — это, условно говоря, цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки сообщения и остается незаметной для самого пользователя. Поскольку в DKIM используется асимметричная система шифрования, репозиторий сервера всегда хранит два ключа шифрования — открытый (сертификат) и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS-записи в виде TXT-файла.

Статус DKIM проверяется автоматически на стороне получателя при сохранении письма в контейнер (именной почтовый ящик). И если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или же сразу помещено в папку «Спам», в зависимости от настроенной политики безопасности. Кстати, это одна из ключевых причин, почему письма определенных отправителей постоянно попадают в спам, даже несмотря на валидность домена отправителя.

Для работы с DKIM требуется выполнение следующих условий:

  • поддержка DKIM почтовым сервером (а она есть у всех современных почтовиков);
  • создание приватного и публичного ключа шифрования (это нужно сделать ручками);
  • занесение в DNS домена записей, связанных с DKIM (и это тоже ручками).

Принцип работы DKIM

Для интересующихся этой темой в нашем журнале публиковался краткий гайд «Как настроить почтовый сервер для обхода спам-фильтров: руководство по DNS, SPF, DKIM», который поможет тебе взглянуть на проблему рассылки спама, вредоносного ПО и фишинга глазами владельца почтового ботнета.

Что такое SPF?

SPF (Sender Policy Framework) — это еще одна специальная подпись, содержащая информацию о серверах, которые могут отправлять почту с твоего домена. То есть SPF позволяет владельцу домена указать в TXT-записи для DNS-домена специальным образом сформированную строку, содержащую весь список серверов, которые имеют право отправлять email-сообщения с обратными адресами в этом домене. А если сказать то же самое понятными словами, то в этой записи мы сообщаем, с каких почтовых серверов можно посылать письма от имени сотрудников нашей компании. Воу! Вот так просто! В общем, наличие SPF снижает вероятность, что твое письмо попадет в спам.

Важно помнить, что SPF-запись должна быть только одна для одного домена, хотя уже в рамках одной SPF может содержаться несколько записей. И надо сказать, что для поддоменов будут нужны свои записи. И никак иначе! Безопасность требует времени и усердия.

Принцип работы SPF

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это еще одна подпись, которая позволяет серверу получателя принять решение, что делать с пришедшим письмом. Важно заметить, что DMARC — это скорее дополнительная фича к уже используемым DKIM и SPF. Например, если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Все логично. А вот если письмо успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC оно тоже преодолеет. Также при помощи DMARC можно получать репорты от почтовых систем с информацией, сколько через них пыталось пройти или прошло поддельных сообщений на ваш домен. Из сказанного становится понятно, что DMARC добавляется только после того, как уже настроены записи SPF и DKIM.

Принцип работы DMARC

От чего нельзя защититься с помощью DKIM, SPF и DMARC

С использованием DKIM, SPF и DMARC можно противостоять email-спуфингу и распространению малвари. Однако важно понимать, что это не гарантирует безопасности в случае взлома сервера, например путем компрометации админки или применения эксплоита, а также если письма форвардятся через иные почтовые сервисы с сомнительной репутацией или с полностью отсутствующими записями DKIM, SPF и DMARC.

Некоторые полезные ссылки для проверки корректности настройки DKIM- и SPF-записей, а также репутации домена:

SPF Policy Tester — онлайн-сервис проверки корректности SPF-записи. Для проведения теста на сайте указываешь почтовый адрес, с которого хочешь отправлять письма, и IP-адрес почтового сервера. Если все хорошо, то после нескольких секунд ожидания внизу страницы должна появиться зеленая надпись PASS .

Dkimvalidator.com — разработчики этого сервиса дают тебе адрес почты, на который нужно выслать письмо. После этого можно просмотреть отчет о валидности DKIM. Все просто!

Mail-tester.com — еще один вариант аналогичного сервиса, где тебе предоставляется адрес почты для отправки тестового сообщения, а после этого можно посмотреть отчет о доставке. Если возникли проблемы, из представленного репорта можно понять, в чем именно заключаются косяки.

Также не стоит забывать о регистрации своего сервера в службах постмастера для публичных почтовых серверов (если ты, конечно, администрируешь такой сервер). Это позволит тебе не только получать статистику по рассылкам, но и заработать чуть больше доверия от этого почтового сервиса. Вот самые известные и часто используемые постмастеры: Mail.RU, Yandex и Gmail.

Практика и еще раз практика

В практической части мы рассмотрим конфигурирование описанных выше настроек безопасности на примере двух наиболее популярных почтовых серверов — опенсорсного Postfix на Debian (ну, или Ubuntu Server) и проприетарного Microsoft Exchange Server 2013+. Предполагается, что почтовые серверы у тебя уже установлены и настроены под твой домен, поэтому рассматривать будем только само конфигурирование фич на обезличенных данных.

Читать еще:  Настройка контроллера домена с нуля

Настраиваем SPF, DKIM и DMARC на Postfix (Debian)

Общий принцип работы нашего почтового сервера будет таков:

  1. Принимающий сервер получает письмо с адреса info@example.com, отправленное с сервера mx.example.com.
  2. Сервер получателя делает запрос к DNS для домена example.com и ищет записи SPF и DKIM.
  3. В случае если записей нет, письму проставляется статус neutral (конкретно по этим проверкам) и письмо проверяется дополнительными фильтрами.
  4. В случае если записи обнаружены, проверяется, разрешено ли серверу mx.example.com отправлять почту домена example.com.
  5. Если домен mx.example.com не найден в списке разрешенных, то или письмо отбрасывается, или ему устанавливается статус neutral.
  6. Если домен mx.example.com таки найден в списке разрешенных, письму устанавливается статус Pass и повышается его рейтинг при прохождении других фильтров.

WARNING

Перед любыми операциями по конфигурированию системы не забывай сделать бэкап! Даже одна неправильно включенная опция может отрезать всех пользователей от получения и отправки почтовой корреспонденции. И обязательно тестируй все изменения перед переносом в их продакшен!

Настройка SPF-записи

Если ты отправляешь все сообщения только с одного сервера (почтовые клиенты не считаются), то в SPF-записи будет достаточно указать IP-адрес этого сервера:

  • v=spf1 — используемая версия SPF;
  • + — принимать корреспонденцию (Pass). Этот параметр установлен по умолчанию. То есть, если никаких параметров не установлено, это автоматически Pass ;
  • — — отклонить (Fail);

— мягкое отклонение (SoftFail). Письмо будет принято, но будет помечено как спам;

  • ? — нейтральное отношение, то есть никаких действий не предпринимать;
  • mx — включает в себя все адреса серверов, указанные в MX-записях домена;
  • ip4 — опция позволяет указать конкретный IP-адрес или подсеть IP-адресов;
  • a — указываем поведение в случае получения письма от конкретного домена;
  • include — включает в себя хосты, разрешенные SPF-записью указанного домена;
  • all — все остальные серверы, не перечисленные в SPF-записи.
  • Продолжение доступно только участникам

    Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

    Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

    Вариант 2. Открой один материал

    Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

    Иван Пискунов

    Технический эксперт, ресерчер, участник CTF-команды CraZY Geek$, 10 лет в индустрии ИБ. Автор блога ipiskunov.blogspot.com. Канал в telegram @w2hack или t.me/w2hack. Увлекается миром Unix, malware analysis, reverse engineering и тестированием сетей на проникновение

    Check Also

    Захват поддоменов. Как я захватил поддомены Microsoft и как работают такие атаки

    Несколько лет назад мне удалось захватить поддомены на сайтах компании Microsoft и получит…

    Что такое SPF, DKIM и DMARC и почему вы обязательно должны их настроить

    Разобраться в технических записях и терминологии, когда ты обычный макетолог, не всегда легко. На всех курсах для email-маркетологов, говорят, что у каждого домена-отправителя должны быть прописаны SPF, DKIM и DMARC. Что без этого письма не будут доставляться или, в лучшем случае, попадут в СПАМ.

    Чтобы раз и навсегда разобраться с этими аббревиатурами и разложить вбитые насмерть аксиомы по полочкам, попросила нашего саппорт-ангела Артема написать доходчиво и понятно: как, зачем и почему у всех должны быть эти цифровые подписи.

    Итак, чтобы прописать необходимые записи, нам нужен доступ к DNS (Domain Name System). Обычно доступ к DNS в компании имеют системные администраторы или, на крайний случай, программисты. Для них вы должны написать ТЗ, по которому они смогут добавить записи в DNS.

    Что такое SPF?

    SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять почту с вашего домена. Важно помнить, что SPF запись может быть только одна для одного домена. В рамках одной SPF может быть несколько записей (например, если письма отправляются с нескольких платформ для рассылок — маловероятно, но все же). Для поддоменов нужны свои записи.

    Допустим, почтальон принес письмо с доставкой до квартиры, но, как бдительный гражданин, вы для начала звоните на почтамт и спрашиваете, есть ли у них такой сотрудник и может ли он приносить письма. На почтамте сверяются со списком всех служащих и отвечают. Так вот SPF – это список таких вот «сотрудников», которым вы доверяете доставлять свои письма.

    Сама запись SPF создается с помощью нескольких правил. Синтаксис SPF:

    • «+» – пропустить. Используется, чтобы добавить адрес(а).
    • «?» – результат не определен. Примерно то же самое, что полное отсутствие записи.
    • «

    » – мягкий отказ. Что-то среднее между неопределенностью и отказом. Такие письма обычно принимаются, но скорее всего попадут в папку «Спам».

  • «–» – твердый отказ. Такие письма не будут приниматься вообще.
  • Наиболее используемые механизмы:

    • «a» – позволяет добавить (удалить) в список адреса из всех записей типа А для домена. Такая запись необходима, если письма отправляются напрямую с хостинга или сервера, привязанного к домену.
    • «mx» – позволяет добавить (удалить) в список адреса из всех записей типа MX для домена. Такая запись необходима, если письма отправляются с личных почтовых серверов, принадлежащих домену.
    • «include:example.com» – позволяет добавить (удалить) в список адреса, прописанные для другого домена.
    • «ip4» или «ip6» – такая запись позволит напрямую добавить (удалить) IP-адрес(а) сервера, имеющего разрешение отправлять письма. Число, соответственно, обозначает 4 или 6 версию протокола.
    • «all» – все случаи. Обычно используется после внесения всех положительных правил для отсечения остальных случаев.

    А также часто используемый модификатор:
    «redirect=example.com» – позволяет полностью перевести запрос на другой домен. Обычно такая запись имеет смысл, если письма принимаются и отправляются только внешним сервисом.

    Например, запись: «v=spf1 +a -mx ?include:example.com

    all» даст следующий результат:
    1) «+а» – добавить в список все ip-адреса из записей A на домене;
    2) «- mx» – исключить из списка все ip-адреса из записей MX на домене;
    3) «?include:example.com» – всем правилам, прописанным для домена «example.com», присвоить нейтральное отношение;
    4) «

    all» – всем остальным ip-адресам присвоить мягкий возврат (попадание в папку «спам»).

    Проверить SPF можно здесь .

    Что такое DKIM?

    DKIM (DomainKeysIdentifiedMail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.

    Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.

    Если брать ту же аналогию c почтальоном, как и для SPF, то подписью DKIM будет удостоверение почтальона с печатью и идентификационным номером, которое можно проверить звонком на почтамт.

    Запись DKIM формируется проще, чем SPF. Вот 3 главные вещи, которые нужно указать:

    • «v» – версия протокола, всегда устанавливается как DKIM1.
    • «k» – тип ключа, всегда указывается как rsa.
    • «p» – сам открытый ключ.

    Пример записи домена mailigen.com:
    «v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+

    Проверить DKIM можно здесь .

    Что такое DMARC?

    DMARC (Domain-based Message Authentication, Reportingand Conformance) —это политика, которая показывает как обходиться с письмами, не прошедшими проверок SPF и DKIM.

    Прибегая к аналогии с почтальоном – это решение, которое вы примете после всех проверок: пустить или не пустить.

    На самом деле в случае с DMARC есть три настройки, что делать с письмами, не прошедшими проверку: ничего, отправить в спам или вообще не принимать. Более того, каждый день можно получать отчеты на свой почтовый ящик.

    К сожалению, отчеты приходят в формате, плохо воспринимаемым людьми, но есть специальные инструменты для преобразования отчета в читаемый формат, например, этот.

    Проверить DMARC можно здесь .

    Надеюсь, что эта статья помогла вам разобраться в синтаксисе записей, и теперь вы с легкостью сможете написать ТЗ для системного администратора или программиста на внесение этих записей в DNS.

    P.S. Остались вопросы? Пишите на team@mailigen.ru

    Рекомендуемые статьи

    Если вы для отправки рассылок через Mailigen пользуетесь публичными доменами, например, Mail или Gmail, то…

    Email-маркетинг в B2B – это не акционные письма, яркие баннеры и подборка товаров каждую неделю.…

    Понравился кейс?

    Мы поможем его реализовать и у вас! Напишите нам

    Политика DMARC — что это и зачем она нужна

    Политика DMARC — что это

    Domain-based Message Authentication, Reporting & Conformance (DMARC) — политика проверки подлинности отправителя электронного письма, основанная на протоколах DKIM и SPF. Данная политика определяет, как почтовый сервер получателя должен обрабатывать входящие письма, если адрес отправителя не удалось идентифицировать.

    Зачем нужна политика DMARC

    Политика DMARC защищает владельцев доменов от отрицательных последствий мошеннических действий. Злоумышленники рассылают мошеннические письма с доменов авторитетных компаний. Получатели помечают их как спам и в результате страдает репутация владельца домена, с которого они отправляются.

    Как работает DMARC

    Проверяется, соответствует ли домен email адреса в строке «От:» идентификаторам проверки SPF и подписи DKIM. Если совпадение полное, письмо отправляется во входящие получателя, если есть сомнения, оно обрабатывается согласно выбранной политике DMARC:

    1. «none» — письмо попадает во входящие получателя. Владельцу домена приходит отчет с информацией об отправке сообщения для анализа, кто отправляет письма от данного имени и разрешено ли им это делать.
    2. «quarantine» — email сервер получателя отправляет письмо в папку «Спам», владельцы домена продолжают анализировать данные.
    3. «reject» — письма, не прошедшие проверку DMARC, отклоняются и не попадают ни в одну папку почтового ящика получателя. Устанавливая данный тип политики, убедитесь, что третьи лица, которым разрешено отправлять сообщения от вашего имени, добавлены в белый список, иначе их письма также будут отклонены. Это относится и к CRM системам и сервисам email рассылок.

    Проверить, используются ли мониторинговые инструменты для вашего домена, можно с помощью URlports, а dmarcian подскажет детали DMARC записи для любого доменного имени.

    Массовые рассылки и DMARC политика

    Некоторые бесплатные почтовые сервисы, например Mail.ru, AOL, Yahoo, используют политику DMARC, чтобы запретить массовые email кампании через сторонние сервисы рассылок. Поэтому SendPulse, как и другие сервисы рассылок, ограничивает возможность отправлять email кампании c адресов с такими доменными именами.

    Мы рекомендуем зарегистрировать свой домен и настроить для него почту. Вы также можете использовать почтовый сервис, который еще не внедрил политику DMARC. Но такое решение не гарантирует доставку писем адресатам и они все так же могут уходить в папку «Спам».

    Как настроить DMARC

    1. Проведите ревизию писем, отправляемых с вашего домена, включая системные письма с серверов и другого оборудования, отчеты о доставке писем (DSN и NDR), внутренние списки рассылок и тому подобное, и добавьте в белый список все легитимные адреса
    2. Настройте SPF-запись и DKIM-подпись для необходимого домена.
    3. В разделе управления DNS-зонами домена опубликуйте DMARC-запись с установленным для политик флагом «none» , который запрашивает отчеты о данных.
    4. Проанализируйте данные и измените флаги политики DMARC с «none» на «quarantine» или «reject» , в зависимости от того, как вы хотите, чтобы письма от неавторизованных отправителей обрабатывались сервером получателя.

    Пример записи:
    v=DMARC1;p=reject;rua=mailto:example@domain.com;ruf=mailto:email@domain.com;fo=s

    где:
    v — версия протокола, равна DMARC1. Этот параметр означает, что именно эта запись определяет политику DMARC, и должен быть первым в записи.

    p — политика обработки писем. Указывается один из возможных вариантов — none, quarantine или reject.

    rua — email адрес для получения статистических отчетов. Адрес должен принадлежать тому же домену, для которого настраивается DMARC запись.

    ruf — email адрес для получения отчетов о непройденных проверках аутентификации. Так как каждая ошибка при проверке адреса отправителя генерирует отдельный отчет, лучше указывать отдельный почтовый ящик для этого.

    fo — определяет, в каких случаях будут отправляться отчёты владельцу домена.

    Возможные значения fo :

    0 — отчет отправляется, если не пройдены проверки SPF и DKIM. Установлено значением по умолчанию.

    1 — отчет отправляется, если не пройдена одна из проверок — или SPF, или DKIM.

    d — отчет отправляется при каждой проваленной проверке ключа DKIM.

    s — отчет отправляется при каждой проваленной проверке механизма SPF.

    Оценка: 2 / 5 (46)

    Ссылка на основную публикацию
    ВсеИнструменты
    Adblock
    detector