Благодарим за подписку!

Закрыть

Что такое DMARC и почему эта технология необходима вашим емейл-кампаниям?

На сегодняшний день существует множество способов борьбы со спамом. Одному из них, достаточно эффективному против фишинговых атак, мы решили посвятить отдельную статью. Речь идёт о технической спецификации DMARC (Domain-based Message Authentication, Reporting and Conformance).

 

Зачем это нужно?

Мошенники отправляют сообщения от имени какой-либо надежной компании с хорошей репутацией. Эти письма содержат ссылки на подставные сайты, где пользователя обманным путем вынуждают оставить свою конфиденциальную информацию, например, доступы к личным аккаунтам, номерам банковских карт и другие подобные вещи.

Чтобы защититься от этого, необходимо отличать оригинальные емейлы от поддельных.

Одним из способов борьбы с фишинговыми атаками является размещение ссылок, найденных в фишинговых письмах, в глобальных черных списках. Например, в листах Google safe browsing или SURBL.

Но у этого способа есть свои недостатки. Во-первых, факт наличия атаки должен быть известен, во-вторых, нельзя получить никакой информации об объеме фишинговой кампании, а также предупредить само попадание подобных писем в почтовые ящики.

Второй способ борьбы включает в себя использование различных механизмов аутентификации отправителя. К ним относятся, например,  DKIM (Domain Keys Identified Mail), SPF(Sender Policy Framework) и ADSP (Author Domain Signing Practices). Каждый из этих механизмов имеет свои недостатки, среди которых можно выделить три основных: плохая обработка оригинальных перенаправленных сообщений, неправильное применение политики идентификации к отправителю и невозможность оповещения получателя о том, что письмо было отклонено.

Еще один вариант предотвращения фишинговой атаки — использование технической спецификации DMARC.

LinkedIn совместно с Gmail, Bank of America, Yahoo! Mail, Return Path, а также многими другими известными компаниями, разработали открытую публичную спецификацию использования DMARC. Впервые DMARC был применен в качестве фильтра входящей почты в Gmail. В данный момент работает в Yahoo, AOL, Facebook, LinkedIn, Mail.ru и некоторых других почтовых сервисах.

 

Как это работает?

Суть технологии заключается в идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. DMARC устанавливает стандарт для идентификации электронных сообщений принимающими узлами с использованием механизмов Sender Policy Framework (структуры политики отправителя, SPF) и DomainKeys Identified Mail (почты, идентифицируемой при помощи доменных ключей, DKIM).

shemeDMARC
Защита в этом случае начинается с подписания всех ваших писем DKIM-ключом и обновления записи SPF. Однако опыт показывает, что проверка по SPF работает некорректно, когда емейл пересылается с одного адреса на другой, а DKIM, хотя и лучше с этим справляется, не является полностью надежным из-за сложного алгоритма подписания. Объединяя эти 2 технологии, мы можем избавиться от их недостатков.

После подписания сообщения, DMARC задает концепцию идентификации. Наиболее значимый идентификатор на стороне получателя — это адрес отправителя в поле From в заголовке емейла. Фильтр DMARC проверяет, соответствует ли домен в заголовке идентификаторам проверки SPF и подписи DKIM.

Для прохождение проверки DMARC любой из этих идентификаторов должен соответствовать домену из поля  From, т.е. либо быть полностью идентичным, либо в заголовке должен быть найден поддомен в домене организаций. Это довольно сильно упрощенное описание работы алгоритма DMARC .

 

Как использовать DMARС?

Чтобы начать использование DMARС, необходимо добавить в DNS-настройки доменную запись. На стороне получателя будет производиться проверка, соответствует ли домен в заголовке From тому, что указан в доменной записи DMARC. Если да, то проверка на стороне получателя завершается успешно.

Например, если мы хотим защитить емейл с заголовком:

From: joe@mail.example.com

Мы можем добавить следующую запись в DNS:

_dmarc.example.com IN TXT “v=DMARC1; p=none”

Здесь основной домен для mail.example.com — example.com.

Это простейшая DMARC запись, которая включает только режим мониторинга. Она дает получателю команду выполнить DMARC-тест и сохранить его результат.

Более продвинутая версия аналогичной записи может выглядеть следующим образом :

_dmarc.example.com IN TXT “v=DMARC1; p=none; rua=mailto:dmarc-rua@example.com”

На этот раз мы инициируем отправку ежедневного сводного отчета для всех проверок DMARC в домене всем получателям DMARC-жалоб. Доставка сообщений в данном случае не затронута, это означает, что все емейлы будут доставлены, как если бы этой записи не было.

 

Что такое сводные отчеты и зачем их использовать?

Для того, чтобы пользователь мог видеть статистику работы с письмами, используются сводные отчеты.

Сводный отчет показывает, сколько емейлов было получено, с каких IP они отправлены и как много DMARC-тестов было пройдено успешно или провалено и по каким причинам. Это дает нам информацию о том, какие емейлы отправлены с серверов в домене example.com, т.е. являются оригинальными, а какие нет. Более того, мы можем посмотреть, по каким причинам были отклонены письма, отправленные не из домена example.com.

Подобный отчет также является хорошим способом протестировать инфраструктуру отправки емейлов и отследить возможные ошибки, например, отсутствие на сервере SPF или DKIM-подписи писем.

С помощью сводного отчета можно оценить масштабы фишинговой кампании, определить серверы, с которых ведется атака, и получить ссылки, которые можно добавить в черные списки.

Ниже вы можете увидеть пример отчета из  DMARC FAQ:

 Просмотреть отчет

В заключение

DMARC не решает все проблемы фишинга, но заставляет использовать в заголовке поддельного письма домен, отличный от оригинального, а это, в свою очередь, позволяет почтовым провайдерам, производителям антиспам-решений и конечным пользователям с легкостью определять поддельные письма. Борьба со спамом — это гонка вооружений, но, используя инструменты, облегчающие распознавание подобных писем, мы можем быть уверены, что получим ожидаемое качество и безопасность сообщений.

После того как режим мониторинга и получения отчетов будет освоен, нужно переходить к режиму отклонения емейлов с помощью DMARC. О том, как это сделать, мы расскажем подробнее в следующей статье.

 

 

Узнавайте о новых статьях блога ExpertSender

Нажимая на кнопку, вы даете согласие на обработку персональных данных