Введение DMARC

Roland Piątkowski
7 grudnia, 2021
Porady

Что такое DMARC

Spis treści

DMARC – это расширение безопасности SPF и DKIM, также работающее на основе DNS-записи, но не только на ней. Основной принцип DMARC заключается в информировании администраторов доменов о том, что кто-то пытается выдать себя за их домен и отправить с него поддельные электронные письма.

Первое, что нам нужно знать о DMARC, это то, что он требует введения SPF и DKIM. Без обоих этих расширений DMARC может внести беспорядок в почту и даже помешать ее отправке на серверы, которые ее поддерживают. Образец записи DMARC:

Можно сразу заметить, что запись DMARC, как и SPF, всегда находится в одном месте (запись _dmarc.domain.pl txt), она не требует знания селектора, как в случае с DKIM. Остальное похоже на SPF, но есть некоторые исключения:

v – используемая версия DMARC (обязательно)
p – политика, что делать с сообщениями (обязательно)
pct – процент сообщений (например, 20), которые будут переданы политике (по умолчанию 100, не требуется).
rua – указанный адрес электронной почты, на который следует отправлять сообщения о потенциальных злоупотреблениях (не обязательно)
sp – политика для поддоменов, например, zlodziej.roan24.pl (не обязательно)
aspf – политика в отношении DKIM и SPF – см. ниже (не обязательно)

P и SP – указанные метки принимают три варианта

none – не предпринимать никаких специальных действий на основе DMARC, просто собирать информацию – хорошо, когда вы только внедряете DMARC, это может защитить вас от ложных срабатываний, когда, например, вы забыли добавить какой-то SPF сервер или подписываете сообщения DKIM, но не имеете DNS записи, очень хороший вариант для проверки ваших настроек.
карантин – то есть, если сообщение не прошло проверку DMARC, то оно должно быть доставлено, но помечено как спам.
reject – сообщение должно быть отклонено, если оно не прошло проверку DMARC.

Aspf – Важный элемент, который скоро будет установлен в s в нашем посте – то есть строгий, когда сообщение должно идеально пройти проверку SPF и DKIM, в случае. В то время как второй вариант является стандартным r – то есть расслабленным, сообщение может пройти проверку SPF или DKIM только частично, например, с действительной подписью DKIM, но недействительным доменом.

Собрав всю информацию, я рекомендую начать с использования записи, подобной той, что приведена для нашего домена, просто измените адрес электронной почты на свой собственный и протестируйте. Если тесты прошли успешно, переходите постепенно.

Примеры отчетов

То есть отчеты, которые мы получили, например, от hotmail.com:

[codeblocks name='hotmail']

Где сразу видно, что у hotmail была временная проблема с подключением к одному из наших DNS-серверов, потому что IP-адрес был совершенно действительным, а рядом с DKIM и SPF видно, что это просто временная ошибка. Другой важной частью информации является диапазон времени, указанный в виде метки времени unix. Это поможет нам позже определить время отправки сообщения, если оно было отправлено с нашего сервера.

Напротив, 163.com прислал нам:

[codeblocks name='163']

После чего становится ясно, что кто-то пытался выдать себя за адрес нашего домена, но, как вы можете видеть, сообщение провалило оба теста DKIM и SPF.

Резюме

DMARC – это вишенка на торте вместе с DKIM и SPF, потому что он помогает четко определить, что делать с сообщением и кого информировать о возможной попытке выдать себя за наш домен, и его стоит внедрить хотя бы для того, чтобы получать сообщения о сбоях в работе почты.

Для получения дополнительной информации посетите главный сайт проекта: . Или спрашивайте в комментариях.