Что такое политика DMARC?

DMARC DKIM ADSP Статьи
Автор На чтение 4 мин Просмотров 8 Опубликовано Обновлено
Содержание
  1. Что такое политика DMARC?
  2. Роль DKIM и Author Domain Signing Practices (ADSP) в DMARC
  3. Основные компоненты политики DMARC
  4. Примеры записей политики DMARC
  5. Этапы внедрения политики DMARC
  6. Преимущества DMARC

Что такое политика DMARC?

   DMARC (Domain-based Message Authentication, Reporting, and Conformance) — это протокол аутентификации электронной почты, который основан на механизмах SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail). DMARC позволяет доменным владельцам устанавливать правила обработки писем, которые не проходят проверку подлинности, а также получать отчёты о результатах проверки.

   Политика DMARC публикуется в виде TXT-записи DNS под поддоменом _dmarc вашего домена (например, _dmarc.example.com) и определяет правила аутентификации и отчётности для домена.

Роль DKIM и Author Domain Signing Practices (ADSP) в DMARC

   DKIM (DomainKeys Identified Mail) — это механизм электронной почты, который позволяет отправителю подписывать сообщения цифровой подписью, чтобы получатель мог проверить подлинность письма. Подпись связана с доменом, указанным в заголовке From.

   ADSP (Author Domain Signing Practices) — устаревший механизм, который использовался до появления DMARC для публикации политики подписи DKIM. С помощью ADSP владельцы доменов могли указать:

  • Все ли исходящие письма должны подписываться с использованием DKIM.
  • Как обращаться с неподписанными письмами.

Пример записи ADSP в DNS:

_adsp._domainkey.example.com. IN TXT "dkim=all"

Однако ADSP был ограничен в функционале, так как:

  • Работал только с DKIM и не включал SPF.
  • Не обеспечивал интеграции с отчётностью.
  • Имел низкий уровень внедрения.

   DMARC полностью заменил ADSP, объединив проверку DKIM и SPF, а также добавив возможность указания политики и отчётности. Если ранее ADSP позволял указать, что все письма должны быть подписаны, то теперь DMARC предоставляет более гибкие и надёжные инструменты.

Основные компоненты политики DMARC

  1. Типы политики:
    • none (только мониторинг): Разрешает мониторинг потока писем без влияния на их доставку. Используется для сбора отчётов и анализа результатов проверки.
    • quarantine: Помечает письма, не прошедшие проверку DMARC, как подозрительные (например, отправляет в папку спам/нежелательная почта).
    • reject: Отклоняет письма, не прошедшие проверку DMARC.
  2. Режимы согласования (Alignment Modes):
    • Relaxed (r): Домены в заголовке From и в проверке SPF или DKIM могут совпадать не полностью (например, разрешены поддомены).
    • Strict (s): Домены в заголовке From и в проверке SPF или DKIM должны совпадать полностью.
  3. Отчётность:
    • Агрегированные отчёты (rua): Отправляются на указанный адрес электронной почты, содержат сводную информацию о результатах проверки.
    • Форензические отчёты (ruf): Отправляются при обнаружении конкретного письма, не прошедшего проверку DMARC (поддерживается не всеми почтовыми системами из-за проблем с конфиденциальностью).
  4. Теги политики: Ниже приведены основные теги, используемые в политике DMARC:
ТегОписаниеПример
vВерсия DMARC (должно быть DMARC1)v=DMARC1
pПолитика для обработки неподтверждённых писем (none, quarantine, reject)p=quarantine
spПолитика для поддоменов (если не указана, наследуется от p)sp=reject
adkimРежим согласования DKIM (r для Relaxed, s для Strict)adkim=r
aspfРежим согласования SPF (r для Relaxed, s для Strict)aspf=s
ruaАдрес для получения агрегированных отчётов (список, разделённый запятыми, обычно mailto: адреса)rua=mailto:dmarc-reports@example.com
rufАдрес для получения форензических отчётов (список, разделённый запятыми, реже используется)ruf=mailto:forensics@example.com
pctПроцент сообщений, подпадающих под действия политики (для тестирования)pct=50
foОпции форензической отчётности (например, 1 — для всех неудач)fo=1

Примеры записей политики DMARC

1. Только мониторинг:

_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com"

2. Политика карантина:

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; sp=quarantine; adkim=s; aspf=s"

3. Политика отклонения для полной защиты:

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensics@example.com; pct=100"

Этапы внедрения политики DMARC

1. Настройте записи DKIM и SPF:
   Убедитесь, что ваш домен имеет корректные записи DKIM и SPF, так как DMARC зависит от этих протоколов.

2. Опубликуйте запись DMARC:
   Добавьте TXT-запись в DNS с настройками политики DMARC.

3. Мониторинг результатов:
   Начните с политики p=none, чтобы анализировать, как обрабатываются ваши письма. Сбор отчётов поможет выявить проблемы с аутентификацией.

4. Ужесточение политики:
   Постепенно переходите к политике p=quarantine, а затем к p=reject для защиты от фишинга и спуфинга.

5. Регулярно проверяйте отчёты:
 Анализируйте DMARC-отчёты для выявления некорректной конфигурации или несанкционированной отправки писем.

Преимущества DMARC

  • Защита от подделки писем: Предотвращает использование вашего домена в фишинговых атаках и спаме.
  • Повышение доставляемости: Помогает почтовым провайдерам распознавать подлинные письма.
  • Прозрачность: Предоставляет детальную информацию о том, кто отправляет письма от имени вашего домена.

Если вам нужна помощь в настройке DMARC, DKIM или SPF, обращайтесь!

DKIM DMARC SPF Technologies
Alexey Sholomov
Оцените автора
Серверное администрирование
Добавить комментарий

© 2025 Копирование информации только с разрешения правообладателя.