DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) — это технология аутентификации электронной почты, основанная на домене, которая позволяет владельцам почтовых доменов защитить свои домены от несанкционированного использования, например, в фишинговых атаках и спуфинге (подделке отправителя). DMARC определяет механизм проверки подлинности сообщений с использованием протоколов SPF и DKIM, а также задаёт политику обработки писем, не прошедших проверку, и предоставляет отчётность о результатах аутентификации.
История и развитие
Протокол DMARC был разработан в 2012 году группой организаций, включая PayPal, Google, Microsoft и Yahoo!, в ответ на рост числа фишинговых атак, использующих подделку доменов отправителя. Первая версия спецификации была опубликована в RFC 7489 в 2015 году. До появления DMARC владельцы доменов могли использовать SPF и DKIM по отдельности, но эти технологии не давали единого механизма для указания того, как почтовые серверы должны обрабатывать письма, не прошедшие проверку. DMARC стал стандартом де-факто для защиты доменов в корпоративной и государственной электронной почте.
Принцип работы
DMARC работает на уровне DNS (системы доменных имён). Владелец домена публикует в DNS-записи специальную TXT-запись, содержащую политику DMARC. Эта запись указывает почтовым серверам-получателям, какие действия следует предпринять с письмами, которые не прошли проверку SPF или DKIM.
Процесс аутентификации по DMARC включает три этапа:
- Проверка SPF: сервер-получатель проверяет, что IP-адрес отправителя указан в SPF-записи домена отправителя.
- Проверка DKIM: сервер-получатель проверяет цифровую подпись письма с помощью открытого ключа, опубликованного в DNS домена отправителя.
- Сопоставление доменов: DMARC требует, чтобы домен в заголовке «From» (адрес отправителя, видимый пользователю) совпадал с доменом, проверенным через SPF или DKIM. Если совпадение есть, письмо проходит аутентификацию.
Если письмо не проходит ни одну из проверок, сервер-получатель применяет политику, указанную в DMARC-записи домена отправителя.
Политики DMARC
DMARC-запись содержит параметр p (policy), который определяет действие для писем, не прошедших аутентификацию. Существуют три основные политики:
- p=none (мониторинг): письма доставляются как обычно, но владелец домена получает отчёты о результатах аутентификации. Используется для сбора данных и анализа.
- p=quarantine (карантин): письма, не прошедшие проверку, помещаются в папку «Спам» или «Карантин» на почтовом сервере получателя.
- p=reject (отклонение): письма, не прошедшие проверку, отклоняются на уровне сервера-получателя и не доставляются адресату.
Политика reject считается наиболее строгой и эффективной для защиты от фишинга, так как злоумышленники не могут отправить письмо от имени защищённого домена.
Отчётность DMARC
Одной из ключевых функций DMARC является предоставление отчётов. Владелец домена может указать в DMARC-записи адреса электронной почты для получения двух типов отчётов:
- Агрегированные отчёты (RUA): содержат статистику по всем письмам, отправленным от имени домена, включая количество прошедших и не прошедших аутентификацию, а также действия, предпринятые почтовыми серверами. Отчёты обычно отправляются раз в сутки в формате XML.
- Судебно-медицинские отчёты (RUF): содержат подробную информацию о каждом конкретном письме, не прошедшем аутентификацию, включая заголовки и тело письма. Такие отчёты могут быть полезны для расследования инцидентов, но их использование ограничено из-за конфиденциальности данных.
Внедрение DMARC
Внедрение DMARC обычно проходит в несколько этапов:
- Настройка SPF и DKIM: перед публикацией DMARC-записи необходимо убедиться, что SPF и DKIM корректно настроены для домена.
- Публикация DMARC-записи с политикой p=none: на начальном этапе владелец домена собирает данные о том, какие серверы отправляют почту от его имени.
- Анализ отчётов: на основе агрегированных отчётов выявляются легитимные источники отправки почты, которые могут быть не учтены в SPF или DKIM.
- Переход к политике p=quarantine или p=reject: после устранения всех проблем владелец домена ужесточает политику.
Полное внедрение DMARC с политикой reject может занять от нескольких недель до нескольких месяцев в зависимости от сложности почтовой инфраструктуры.
Преимущества и ограничения
Преимущества
- Защита от фишинга и спуфинга: DMARC значительно снижает вероятность того, что злоумышленник сможет отправить письмо от имени защищённого домена.
- Повышение доставляемости: почтовые серверы-получатели чаще доверяют письмам, прошедшим DMARC-аутентификацию, что снижает вероятность попадания легитимных писем в спам.
- Прозрачность: владелец домена получает детальную отчётность о том, кто и как использует его домен для отправки почты.
Ограничения
- Зависимость от SPF и DKIM: DMARC не работает, если SPF или DKIM не настроены корректно. Ошибки в этих протоколах могут привести к отклонению легитимных писем.
- Сложность внедрения: для крупных организаций с множеством почтовых сервисов (например, маркетинговых платформ, CRM-систем) настройка DMARC может потребовать значительных усилий.
- Не защищает от всех видов атак: DMARC не предотвращает атаки, при которых злоумышленник использует похожий, но не идентичный домен (например, example.com вместо examp1e.com).
Примеры использования
DMARC широко применяется в государственных и корпоративных секторах. Например, в США с 2018 года действует директива BOD 18-01, обязывающая все федеральные агентства внедрить DMARC с политикой reject для своих доменов. В России DMARC используется крупными банками, операторами связи и интернет-компаниями для защиты клиентов от фишинга.
Интересные факты
- По данным отчётов, опубликованных в 2023 году, около 60% всех доменов в зоне .ru имеют DMARC-запись, но лишь около 10% из них используют политику
reject. - DMARC не является обязательным стандартом для всех почтовых систем, но многие крупные почтовые провайдеры (например, Gmail, Outlook, Яндекс.Почта) учитывают DMARC-политику при обработке писем.
- Существуют сторонние сервисы, которые помогают автоматизировать анализ DMARC-отчётов и упрощают процесс внедрения.
Источники
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC)
- RFC 7208 — Sender Policy Framework (SPF) for Authorizing Use of Domains in Email
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures
- Материалы рабочей группы DMARC.org
- Отчёты Координационного центра доменов .RU/.РФ
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →