Как SPF, DKIM, DMARC обеспечивают доставку электронной почты, безопасность

Опубликовано: 2022-11-28

Три стандарта проверки подлинности электронной почты работают вместе, чтобы улучшить доставку электронной почты для отправителя и безопасность электронной почты для получателя.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting and Conformance (DMARC) помогают гарантировать, что электронные письма, отправленные вашей компанией, являются реальными, а злоумышленники не подделывают или иным образом не вмешиваются в них. их.

SPF, DKIM, DMARC

SPF, DKIM и DMARC показывают принимающему почтовому серверу, что данное сообщение было отправлено с авторизованного IP-адреса, что отправитель является подлинным и что отправитель прозрачен в отношении своей личности.

Давайте возьмем каждого по очереди.

Настройка записей SPF для вашего домена включает добавление типа записи TXT, содержащей авторизованный список серверов исходящей почты, в систему доменных имен (DNS). SPF проверяет, что электронные письма из домена вашей компании исходят от проверенного источника, а не от самозванца.

Ключи DKIM состоят из двух частей: открытого ключа, хранящегося в DNS, и закрытого ключа, хранящегося на почтовом сервере-отправителе. Подпись DKIM, прикрепленная к каждому исходящему письму, используется почтовыми серверами получателей для проверки ее подлинности. DKIM также может указать, было ли изменено данное сообщение электронной почты.

DMARC — это механизм политики, который позволяет компании контролировать, как должны обрабатываться входящие электронные письма из ее домена, если они не проходят аутентификацию SPF или DKIM. Варианты: «отклонить», «карантин» или «нет». Это может быть тревожным звоночком, если злоумышленник пытается использовать ваш домен.

Записи SPF

Для настройки записи SPF требуется доступ к записям DNS вашего домена у регистратора, например GoDaddy или аналогичного. Если вам когда-либо приходилось проверять свой домен или перемещать его на новый сервер, вы, вероятно, обновляли его DNS-запись.

Screenshot of an SPF record in a DNS settings interface

Запись SPF — это просто запись TXT в DNS вашего домена.

Запись SPF будет иметь тип «TXT». И это начнется с версии SPF, которую вы используете.

 v=spf1

За версией следует список авторизованных адресов IP4 или IP6, например:

 v=spf1 ip4:192.168.0.1

Эта запись SPF будет разрешать электронные письма с IP-адреса 192.168.0.1. Чтобы разрешить диапазон IP-адресов, вы можете использовать нотацию бесклассовой междоменной маршрутизации (CIDR) (иногда называемую нотацией «косой черты»).

 v= spf1 ip4:192.168.0.0/16

Приведенная выше запись SPF разрешает диапазон IP-адресов от 192.168.0.0 до 192.168.255.255 — на это указывает «/16».

Используя префикс «a», запись SPF может авторизовать домен по имени. Запись ниже авторизует сервер, связанный с доменом example.com.

 v=spf1 a:example.com

Точно так же префикс «mx» («обмен почтой») авторизует определенные почтовые серверы.

 v=spf1 мх:mail.example.com

Чтобы авторизовать стороннего отправителя, используйте префикс «include». В приведенном ниже примере разрешен диапазон IP-адресов и серверы Google.

 v=spf1 ip4:192.168.0.0/16 включает:_spf.google.com

Есть также два квалификатора SPF. Первый ~все с тильдой (~). Второй - все через дефис (-).

Версия с тильдой (~all) является квалификатором soft-fail. В большинстве случаев принимающий почтовый сервер будет принимать сообщения от отправителей, которых нет в соответствующей записи SPF, но считает их подозрительными.

Версия с дефисом (-all) является квалификатором жесткого сбоя. Принимающий почтовый сервер, скорее всего, пометит сообщения, отправленные с сервера, не авторизованного в записи SPF, как спам и отклонит их.

Наконец, все они могут использоваться вместе для относительно сложных авторизаций.

 v=spf1 ip4:192.168.0.0/16 a:example.com включает:_spf.google.com

Помните, что записи SPF помогают принимающим почтовым серверам идентифицировать подлинные сообщения электронной почты из домена вашей компании.

DKIM-ключи

DKIM защищает ваш домен и помогает предотвратить выдачу себя за вашу компанию. Два ключа DKiM позволяют почтовому серверу получателя убедиться, что ваша компания отправила сообщение и что оно не было изменено после того, как вы его отправили.

Первым шагом в настройке DKIM является генерация ключей — одного открытого и одного закрытого. Закрытый ключ находится в безопасности на сервере, используемом для отправки электронных писем с вашего домена. Открытый ключ добавляется в DNS как запись TXT.

Сложная часть — генерация ключей, поскольку точная процедура их создания варьируется от одного поставщика услуг электронной почты к другому. И совсем другое, если в вашей компании есть собственный почтовый сервер.

Поставщики услуг электронной почты предлагают инструкции. Вот несколько примеров в произвольном порядке.

  • Mailchimp: настроить аутентификацию домена электронной почты,
  • Klaviyo: Как настроить выделенный домен для отправки,
  • Кампании Zoho: как аутентифицировать мой домен,
  • MailerLite: аутентификация домена электронной почты,
  • Участник кампании: DKIM, SPF и DMARC,
  • ConvertKit: использование проверенного домена для отправки электронной почты,
  • MailUp: максимальная доставляемость ваших электронных писем,
  • ActiveCampaign: аутентификация SPF, DKIM и DMARC,
  • Сохранить: ДКИМ.

В каждом случае DKIM завершается, когда вы добавляете — копируете и вставляете — запись CNAME провайдера электронной почты в DNS вашего домена. Эти записи представляют собой открытый ключ для аутентификации исходящих маркетинговых сообщений электронной почты вашей компании.

DMARC

DMARC обеспечивает еще один уровень защиты, а также указывает почтовым серверам, что делать с сообщениями, которые не прошли аутентификацию SPF или DKIM.

Основой DMARC является запись TXT, размещенная в DNS вашего домена. Он будет содержать политику DMARC как минимум с двумя элементами:

  • Адрес электронной почты для получения сводных отчетов об аутентификации по электронной почте и
  • Действие, предпринимаемое для сообщений электронной почты, не прошедших проверку подлинности (например, отклонение или помещение в карантин).

Вот пример записи DMARC TXT в DNS:

 v=DMARC1; р=карантин; rua=mailto:[email protected]; ruf=mailto:[email protected].

Запись начинается с версии DMARC.

 v=DMARC1;

Элемент «p» назначает действие для писем, не прошедших аутентификацию. В этом случае он установлен на «карантин», который указывает принимающему серверу перемещать такие сообщения в зону ожидания. Другие варианты включают «нет» — что не останавливает электронную почту, но отслеживает сбои SPF или DKIM — или «отклонить».

 р=карантин;

Префиксы «rua» и «ruf» сообщают принимающему серверу, куда отправлять сводные отчеты (rua — Reporting URI для сводных данных) и аналитические отчеты (ruf — Reporting URI для данных об ошибках). Эти отчеты могут раскрыть преступника, пытающегося выдать себя за ваш бизнес.

К дополнительным модификаторам относятся:

  • pct — процент сообщений электронной почты, на которые распространяется политика DMARC.
  • sp — политика DMARC для поддоменов.
  • adkim — назначает строгий (adkim:s) или смягченный (adkim:r) режим для DKIM.
  • aspf — назначает строгий (adkim:s) или смягченный (adkim:r) режим для SPF.

Сторонние сервисы могут помочь создать запись DMARC на основе официального стандарта. Эти услуги включают в себя:

  • MXToolBox,
  • PowerDMARC,
  • Дмарсиан,
  • EasyDMARC.

Защитите отправителя и получателей

Настройка записей SPF, DKIM и DMARC для вашего домена гарантирует, что почтовые серверы распознают сообщения от вашей компании как подлинные и отвергают самозванцев. Результат защищает репутацию вашей компании и защищает клиентов от фишинговых атак и других видов мошенничества с электронной почтой.