Открыть сервис

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это технология аутентификации электронной почты, основанная на домене, которая позволяет владельцам почтовых доменов защитить свои домены от несанкционированного использования, например, в фишинговых атаках и спуфинге (подделке отправителя). DMARC определяет механизм проверки подлинности сообщений с использованием протоколов SPF и DKIM, а также задаёт политику обработки писем, не прошедших проверку, и предоставляет отчётность о результатах аутентификации.

История и развитие

Протокол DMARC был разработан в 2012 году группой организаций, включая PayPal, Google, Microsoft и Yahoo!, в ответ на рост числа фишинговых атак, использующих подделку доменов отправителя. Первая версия спецификации была опубликована в RFC 7489 в 2015 году. До появления DMARC владельцы доменов могли использовать SPF и DKIM по отдельности, но эти технологии не давали единого механизма для указания того, как почтовые серверы должны обрабатывать письма, не прошедшие проверку. DMARC стал стандартом де-факто для защиты доменов в корпоративной и государственной электронной почте.

Принцип работы

DMARC работает на уровне DNS (системы доменных имён). Владелец домена публикует в DNS-записи специальную TXT-запись, содержащую политику DMARC. Эта запись указывает почтовым серверам-получателям, какие действия следует предпринять с письмами, которые не прошли проверку SPF или DKIM.

Процесс аутентификации по DMARC включает три этапа:

  1. Проверка SPF: сервер-получатель проверяет, что IP-адрес отправителя указан в SPF-записи домена отправителя.
  2. Проверка DKIM: сервер-получатель проверяет цифровую подпись письма с помощью открытого ключа, опубликованного в DNS домена отправителя.
  3. Сопоставление доменов: DMARC требует, чтобы домен в заголовке «From» (адрес отправителя, видимый пользователю) совпадал с доменом, проверенным через SPF или DKIM. Если совпадение есть, письмо проходит аутентификацию.

Если письмо не проходит ни одну из проверок, сервер-получатель применяет политику, указанную в DMARC-записи домена отправителя.

Политики DMARC

DMARC-запись содержит параметр p (policy), который определяет действие для писем, не прошедших аутентификацию. Существуют три основные политики:

  • p=none (мониторинг): письма доставляются как обычно, но владелец домена получает отчёты о результатах аутентификации. Используется для сбора данных и анализа.
  • p=quarantine (карантин): письма, не прошедшие проверку, помещаются в папку «Спам» или «Карантин» на почтовом сервере получателя.
  • p=reject (отклонение): письма, не прошедшие проверку, отклоняются на уровне сервера-получателя и не доставляются адресату.

Политика reject считается наиболее строгой и эффективной для защиты от фишинга, так как злоумышленники не могут отправить письмо от имени защищённого домена.

Отчётность DMARC

Одной из ключевых функций DMARC является предоставление отчётов. Владелец домена может указать в DMARC-записи адреса электронной почты для получения двух типов отчётов:

  • Агрегированные отчёты (RUA): содержат статистику по всем письмам, отправленным от имени домена, включая количество прошедших и не прошедших аутентификацию, а также действия, предпринятые почтовыми серверами. Отчёты обычно отправляются раз в сутки в формате XML.
  • Судебно-медицинские отчёты (RUF): содержат подробную информацию о каждом конкретном письме, не прошедшем аутентификацию, включая заголовки и тело письма. Такие отчёты могут быть полезны для расследования инцидентов, но их использование ограничено из-за конфиденциальности данных.

Внедрение DMARC

Внедрение DMARC обычно проходит в несколько этапов:

  1. Настройка SPF и DKIM: перед публикацией DMARC-записи необходимо убедиться, что SPF и DKIM корректно настроены для домена.
  2. Публикация DMARC-записи с политикой p=none: на начальном этапе владелец домена собирает данные о том, какие серверы отправляют почту от его имени.
  3. Анализ отчётов: на основе агрегированных отчётов выявляются легитимные источники отправки почты, которые могут быть не учтены в SPF или DKIM.
  4. Переход к политике p=quarantine или p=reject: после устранения всех проблем владелец домена ужесточает политику.

Полное внедрение DMARC с политикой reject может занять от нескольких недель до нескольких месяцев в зависимости от сложности почтовой инфраструктуры.

Преимущества и ограничения

Преимущества

  • Защита от фишинга и спуфинга: DMARC значительно снижает вероятность того, что злоумышленник сможет отправить письмо от имени защищённого домена.
  • Повышение доставляемости: почтовые серверы-получатели чаще доверяют письмам, прошедшим DMARC-аутентификацию, что снижает вероятность попадания легитимных писем в спам.
  • Прозрачность: владелец домена получает детальную отчётность о том, кто и как использует его домен для отправки почты.

Ограничения

  • Зависимость от SPF и DKIM: DMARC не работает, если SPF или DKIM не настроены корректно. Ошибки в этих протоколах могут привести к отклонению легитимных писем.
  • Сложность внедрения: для крупных организаций с множеством почтовых сервисов (например, маркетинговых платформ, CRM-систем) настройка DMARC может потребовать значительных усилий.
  • Не защищает от всех видов атак: DMARC не предотвращает атаки, при которых злоумышленник использует похожий, но не идентичный домен (например, example.com вместо examp1e.com).

Примеры использования

DMARC широко применяется в государственных и корпоративных секторах. Например, в США с 2018 года действует директива BOD 18-01, обязывающая все федеральные агентства внедрить DMARC с политикой reject для своих доменов. В России DMARC используется крупными банками, операторами связи и интернет-компаниями для защиты клиентов от фишинга.

Интересные факты

  • По данным отчётов, опубликованных в 2023 году, около 60% всех доменов в зоне .ru имеют DMARC-запись, но лишь около 10% из них используют политику reject.
  • DMARC не является обязательным стандартом для всех почтовых систем, но многие крупные почтовые провайдеры (например, Gmail, Outlook, Яндекс.Почта) учитывают DMARC-политику при обработке писем.
  • Существуют сторонние сервисы, которые помогают автоматизировать анализ DMARC-отчётов и упрощают процесс внедрения.

Источники

  • RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC)
  • RFC 7208 — Sender Policy Framework (SPF) for Authorizing Use of Domains in Email
  • RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures
  • Материалы рабочей группы DMARC.org
  • Отчёты Координационного центра доменов .RU/.РФ

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →