Что такое DMARC и почему эта технология необходима вашим емейл-кампаниям?

На сегодняшний день существует множество способов борьбы со спамом. Одному из них, достаточно эффективному против фишинговых атак, мы решили посвятить отдельную статью. Речь идёт о технической спецификации DMARC (Domain-based Message Authentication, Reporting and Conformance).

Зачем это нужно?

Мошенники отправляют сообщения от имени какой-либо надежной компании с хорошей репутацией. Эти письма содержат ссылки на подставные сайты, где пользователя обманным путем вынуждают оставить свою конфиденциальную информацию, например, доступы к личным аккаунтам, номерам банковских карт и другие подобные вещи.

Чтобы защититься от этого, необходимо отличать оригинальные емейлы от поддельных.

Одним из способов борьбы с фишинговыми атаками является размещение ссылок, найденных в фишинговых письмах, в глобальных черных списках. Например, в листах Google safe browsing или SURBL.

Но у этого способа есть свои недостатки. Во-первых, факт наличия атаки должен быть известен, во-вторых, нельзя получить никакой информации об объёме фишинговой кампании, а также предупредить само попадание подобных писем в почтовые ящики.

Второй способ борьбы включает в себя использование различных механизмов аутентификации отправителя. К ним относятся, например,  DKIM (Domain Keys Identified Mail), SPF(Sender Policy Framework) и ADSP (Author Domain Signing Practices). Каждый из этих механизмов имеет свои недостатки, среди которых можно выделить три основных: плохая обработка оригинальных перенаправленных сообщений, неправильное применение политики идентификации к отправителю и невозможность оповещения получателя о том, что письмо было отклонено.

Ещё один вариант предотвращения фишинговой атаки — использование технической спецификации DMARC.

LinkedIn совместно с Gmail, Bank of America, Yahoo! Mail, Return Path, а также многими другими известными компаниями, разработали открытую публичную спецификацию использования DMARC. Впервые DMARC был применен в качестве фильтра входящей почты в Gmail. В данный момент работает в Yahoo, AOL, Facebook, LinkedIn, Mail.ru и некоторых других почтовых сервисах.

Как это работает?

Суть технологии заключается в идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. DMARC устанавливает стандарт для идентификации электронных сообщений принимающими узлами с использованием механизмов Sender Policy Framework (структуры политики отправителя, SPF) и DomainKeys Identified Mail (почты, идентифицируемой при помощи доменных ключей, DKIM).

Защита в этом случае начинается с подписания всех ваших писем DKIM-ключом и обновления записи SPF. Однако опыт показывает, что проверка по SPF работает некорректно, когда емейл пересылается с одного адреса на другой, а DKIM, хотя и лучше с этим справляется, не является полностью надежным из-за сложного алгоритма подписания. Объединяя эти 2 технологии, мы можем избавиться от их недостатков.

После подписания сообщения, DMARC задает концепцию идентификации. Наиболее значимый идентификатор на стороне получателя — это адрес отправителя в поле From в заголовке емейла. Фильтр DMARC проверяет, соответствует ли домен в заголовке идентификаторам проверки SPF и подписи DKIM.

Для прохождение проверки DMARC любой из этих идентификаторов должен соответствовать домену из поля  From, т.е. либо быть полностью идентичным, либо в заголовке должен быть найден поддомен в домене организаций. Это довольно сильно упрощенное описание работы алгоритма DMARC.

Как использовать DMARС?

Чтобы начать использование DMARС, необходимо добавить в DNS-настройки доменную запись. На стороне получателя будет производиться проверка, соответствует ли домен в заголовке From тому, что указан в доменной записи DMARC. Если да, то проверка на стороне получателя завершается успешно.

Например, если мы хотим защитить емейл с заголовком:

Мы можем добавить следующую запись в DNS:

Здесь основной домен для mail.example.com — example.com.

Это простейшая DMARC запись, которая включает только режим мониторинга. Она дает получателю команду выполнить DMARC-тест и сохранить его результат.

Более продвинутая версия аналогичной записи может выглядеть следующим образом:

На этот раз мы инициируем отправку ежедневного сводного отчета для всех проверок DMARC в домене всем получателям DMARC-жалоб. Доставка сообщений в данном случае не затронута, это означает, что все емейлы будут доставлены, как если бы этой записи не было.

Что такое сводные отчеты и зачем их использовать?

Для того, чтобы пользователь мог видеть статистику работы с письмами, используются сводные отчеты.

Сводный отчет показывает, сколько емейлов было получено, с каких IP они отправлены и как много DMARC-тестов было пройдено успешно или провалено и по каким причинам. Это дает нам информацию о том, какие емейлы отправлены с серверов в домене example.com, т.е. являются оригинальными, а какие нет. Более того, мы можем посмотреть, по каким причинам были отклонены письма, отправленные не из домена example.com.

Подобный отчет также является хорошим способом протестировать инфраструктуру отправки емейлов и отследить возможные ошибки, например, отсутствие на сервере SPF или DKIM-подписи писем.

С помощью сводного отчета можно оценить масштабы фишинговой кампании, определить серверы, с которых ведется атака, и получить ссылки, которые можно добавить в черные списки.

Ниже вы можете увидеть пример отчета из  DMARC FAQ:

<feedback>
        <report_metadata>
        <org_name>acme.com</org_name>
        <email>noreply-dmarc-support@acme.com</email>
        <extra_contact_info>http://acme.com/dmarc/support</extra_contact_info>
        <report_id>9391651994964116463</report_id>
        <date_range>
        <begin>1335571200</begin>
        <end>1335657599</end>
        </date_range>
        </report_metadata>
        <policy_published>
        <domain>example.com</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>none</p>
        <sp>none</sp>
        <pct>100</pct>
        </policy_published>
        <record>
        <row>
        <source_ip>72.150.241.94</source_ip>
        <count>2</count>
        <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
        </policy_evaluated>
        </row>
        <identifiers>
        <header_from>example.com</header_from>
        </identifiers>
        <auth_results>
        <dkim>
        <domain>example.com</domain>
        <result>fail</result>
        <human_result></human_result>
        </dkim>
        <dkim>
        <domain>example.net</domain>
        <result>pass</result>
        <human_result></human_result>
        </dkim>
        <spf>
        <domain>example.com</domain>
        <result>pass</result>
        </spf>
        </auth_results>
        </record>
        </feedback>

В заключение

DMARC не решает все проблемы фишинга, но заставляет использовать в заголовке поддельного письма домен, отличный от оригинального, а это, в свою очередь, позволяет почтовым провайдерам, производителям антиспам-решений и конечным пользователям с легкостью определять поддельные письма. Борьба со спамом — это гонка вооружений, но, используя инструменты, облегчающие распознавание подобных писем, мы можем быть уверены, что получим ожидаемое качество и безопасность сообщений.