Что такое технология защиты электронной почты DMARC?

Стандарт аутентификации сообщений на основе домена, отчетности и соответствия (DMARC) для проверки подлинности электронной почты принят всеми поставщиками доменов электронной почты и многими корпоративными и правительственными организациями. DMARC устраняет недостатки других стандартов аутентификации электронной почты, проверяя вводящие в заблуждение поля «From:» в электронных письмах и улучшая отслеживание потенциальных поддельных кампаний. Стандарт позволяет решениям по защите электронной почты и интернет-провайдерам (ISP) фильтровать «хорошие» письма и улучшать их способность отфильтровывать «плохие» письма.

Что такое DMARC?

Domain-based Message Authentication, Reporting and Conformance – это протокол, который был впервые предложен в январе 2012 года и широко принят в 2018 году правительством США в рамках обязательной оперативной директивы Министерства внутренней безопасности (DHS) 18-01. DMARC основывается на технологиях Sender Policy Framework (SPF) и DomainKeys Identified Message (DKIM), чтобы добавить безопасность и инструкции для конкретного домена.

Как работает DMARC

A политика DMARC включается в запись DNS для определенного домена, позволяя отправителю указать, защищены ли сообщения SPF или DKIM. Кроме того, DMARC-аутентификация включает DMARC Alignment, которая проверяет соответствие между полями «From», отображаемыми в электронном письме, и полем from в заголовке. Это противодействует распространенной технике подделки, когда злоумышленник изменяет поле «От», отображаемое в заголовке, чтобы выдать себя за надежного отправителя.

DMARC также предоставляет инструкции относительно того, как следует обрабатывать сообщения, если сообщение не прошло одну или несколько проверок подлинности. Для сообщений, которые не прошли проверку DMARC, записи DMARC также включают адреса электронной почты для получения отчетов о соответствии и криминалистических отчетов для писем, не прошедших проверку DMARC.

DMARC-запись

Запись DMARC публикуется в DNS-записи организации, поэтому она общедоступна для проверки почтовыми серверами. В качестве примера можно привести DMARC.TXT от Microsoft:

_dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:d@rua.contoso.com;
ruf=mailto:d@ruf.contoso.com; fo=1" 

Полный список переменных и опций для записи DMARC.

Верификация DMARC

Ключевым элементом проверки DMARC является верификация, при котором домен в поле «From:» сообщения сравнивается с другими аутентифицированными доменными именами из проверок SPF и DKIM. Если проверки вверификации SPF и DKIM пройдут, то проверка верификации DMARC пройдет.

DMARC предусматривает строгую или мягкую проверку верификации. При строгом выравнивании доменные имена должны быть идентичны. Использование смягченного выравнивания позволяет «Организационному домену» верхнего уровня выполнить требование соответствия.

Процесс проверки DMARC.

После получения электронного письма, принимающий почтовый сервер может выполнить поиск DNS, чтобы проверить наличие записей DMARC, DKIM и SPF. Получающий почтовый сервер может изучить файл DMARC для получения инструкций по обработке письма, если оно не прошло проверку DKIM или SPF. Неудачные письма могут быть помечены как отклоненные (p=reject), помещенные в папку спама (p=quarantine) или разрешенные для доставки получателю в любом случае (p=none). Обратите внимание, что некоторые почтовые службы, например, Microsoft 365, могут одинаково относиться к отклонениям и карантину и пересылать письма в папку спама.

Сообщения, прошедшие DMARC, будут доставлены получателю. Сообщения, не прошедшие DMARC, могут быть отклонены, помещены в карантин как СПАМ или разрешены для доставки в любом случае, в зависимости от инструкций записи DMARC. Сервер будет генерировать отчеты DMARC о сообщениях, которые не прошли проверку DMARC, и отправлять их на адреса электронной почты, указанные в инструкциях записи DMARC.

Отчеты DMARC

Стандарт DMARC предусматривает два типа отчетов: агрегированные и экспертные отчеты. Оба типа отчетов предоставляют машиночитаемые форматы, которые может быть трудно прочитать и проанализировать без помощи дополнительных сторонних инструментов отчетности DMARC. Кроме того, эти отчеты могут быть отправлены в виде вложений в формате .zip, поэтому организации должны убедиться, что их адрес электронной почты в записи DMARC может принимать вложения в формате .zip.

Агрегированные отчеты DMARC

Агрегированные отчеты предоставляют организации статистические данные о почтовых сообщениях, которые утверждают, что они исходят от их почтового домена. Эти отчеты в формате XML включают результаты аутентификации (пройдено/не пройдено) и то, как сообщение было обработано. Организации используют эти отчеты для проверки уровня доставки, выявления внутренних отправителей, которые могут быть неправильно настроены, и выявления потенциальных поддельных кампаний, пытающихся выдать себя за организацию.

Экспертные отчеты DMARC

Экспертные отчеты предоставляют копии сообщений электронной почты, которые не прошли проверку подлинности DMARC. Организация может анализировать эти сообщения для устранения проблем с аутентификацией домена организации или для выявления вредоносных веб-сайтов и доменов.

Реализация DMARC

DMARC может быть активирована путем добавления TXT-записи соответствующего формата в DNS-запись организации. Однако для эффективной реализации требуется предварительное установление SPF и DKIM аутентификации, тщательное внимание к деталям и терпение в устранении неполадок.

Зависимости: SPF, DKIM

DMARC предполагает предварительное установление стандартов аутентификации электронной почты DKIM и SPF. DMARC будет проверять эти стандарты на соответствие и аутентификацию.

DKIM: DomainKeys Identified Mail (DKIM) позволяет организации подписывать электронную почту от своего домена с помощью криптографии с открытым ключом.

SPF: Метод аутентификации Sender Policy Framework (SPF) определяет авторизованные почтовые серверы, которые отправляют электронную почту из домена организации.

Основные шаги по настройке DMARC:

  1. Публикация записи DMARC у DNS-провайдера
  2. Мониторинг отчетов DMARC для выявления законных отправителей, которые не прошли DMARC
  3. Изменение SPF, DKIM и DMARC по мере необходимости для обеспечения прохождения законных источников
  4. Ужесточение ограничений DMARC
  5. Мониторинг отчетов DMARC для законных источников, которые не прошли и для потенциально вредоносных источников, пытающихся выдать себя за организацию

Однако, каждый шаг может стать довольно сложным и требующим внимания к деталям.

Хотя DMARC может не работать по многим причинам, организации любого размера могут решить проблемы DMARC, приложив разумные усилия и уделив внимание деталям.

«DMARC требует множества сложных шагов. Даже небольшие ошибки могут привести к ряду проблем, таких как случайная фильтрация законных писем. Риски, связанные с достижением правоприменения, могут быть одной из причин того, что только 43,4% корпоративных политик DMARC находятся в стадии правоприменения.»
- объясняет Сет Бланк, технический директор Valimail и сопредседатель рабочей группы DMARC.

Преимущества DMARC

Многие организации видят пользу в усилении безопасности электронной почты путем внедрения DMARC. Использование политики DMARC увеличилось на 43% в 2020 году и выросла на 84% в 2021 году, достигнув почти 5 миллионов действительных записей DMARC, подтвержденных DNS.

Организации решают внедрить DMARC из-за многих преимуществ, которые он может обеспечить, таких как включение индикаторов бренда, поиск и устранение неисправностей электронной почты, отметка вредоносного содержимого, сокращение случаев выдачи себя за злоумышленников, улучшение отчетности по электронной почте и улучшение репутации домена.

Индикаторы бренда для идентификации сообщений (BIMI)

Организации, развернувшие DMARC, могут внедрить Показатели бренда для идентификации сообщений (BIMI), который позволяет отображать логотип бренда для аутентифицированных электронных писем. Крупные поставщики услуг электронной почты, такие как Yahoo! или Gmail, поддерживают этот стандарт, который может повысить узнаваемость бренда, доверие и вовлеченность получателей электронной почты.

Устранение неполадок с электронной почтой

Зачастую организация не получает обратной связи, чтобы узнать, что кампания по электронной почте была отмечена как спам. Внедрение DMARC позволяет организации понять, когда электронная почта не была доставлена и почему. Изучение отчетов DMARC позволяет понять, как улучшить доставку писем и избежать их пометки как спама.

Отметка вредоносного содержимого

Вредоносные письма могут пытаться выдать себя за бренд, но DMARC будет отмечать письма, которые не соответствуют полю «From:» в аутентифицированных источниках электронной почты. Фишинговые письма BEC и другие вредоносные письма не пройдут проверку DMARC и не позволят неавторизованным отправителям отправлять или подделывать письма, которые пытаются выдать себя за другую организацию. Увеличение количества отмеченных писем делает всю экосистему электронной почты более надежной и снижает эффективность потенциальных атак.

Защита от имперсонации

Одна из крупных спам-баз Barracuda отмечает, что злоумышленники выдают себя за бренд более чем в 80% атаки типа spear-phishing. Эти поддельные атаки используют авторитет выдаваемого за себя бренда для повышения достоверности сообщения в фишинговом письме.

DMARC может защитить от поддельщиков, отмечая письма, отправленные с неавторизованных доменов. Это позволит почтовым серверам отклонять большинство поддельных фишинговых писем и снизит риск того, что бренд будет ассоциироваться с вредоносным ПО или хакерами. Для некоторых организаций самозванство может быть даже более вредным, чем хакеры, и DMARC может предотвратить несанкционированные и вредные электронные письма.

Улучшенная отчетность по электронной почте и видимость

Организации часто отправляют электронную почту и никогда не знают, доставлена ли она. В других случаях маркетинговые команды замечают отклонения электронной почты, но пытаются определить, почему письма были помечены как спам.

DMARC генерирует отчеты, которые можно использовать для детального изучения отклоненных писем. Эти отчеты помогают определить, как улучшить доставляемость прямых писем и писем, отправленных от имени организации третьими лицами. Кроме того, отчеты могут предоставить информацию о злоумышленниках, угрожающих репутации бренда организации, пытаясь подделать ее в фишинговых и спам-кампаниях.

Улучшенная репутация домена и доставляемость электронной почты.

Внедрение DMARC сигнализирует крупным провайдерам о том, что организация контролирует свою почтовую среду, что улучшает репутацию домена организации. Улучшение репутации домена может помочь улучшить доставляемость маркетинговых писем, и некоторые организации ссылаются на Улучшение показателей доставки кампаний от 5% до 10% после внедрения политики DMARC.

Недостатки DMARC

Недостатки стандарта DMARC включают возможность нарушения работы электронной почты, тот факт, что DMARC является неполным решением, плохие показатели возврата инвестиций (ROI), и то, что DMARC остается потенциально подделываемым. DMARC также требует активного применения, почтовые серверы должны поддерживать DMARC, а сами отчеты DMARC неинтуитивны.

«Несмотря на растущую популярность DMARC, мошенническая электронная почта остается главным источником всех киберпреступлений. Почему электронная почта является такой легкой добычей для преступников? Потому что недостаточно предприятий следят за соблюдением DMARC
- Сет Бланк, технический директор Valimail и сопредседатель рабочей группы DMARC

Около 1,28 миллиона владельцев доменов настроили DMARC, но только 14%
фактически защищают от спуфинга
и следят за соблюдением. Даже для крупных предприятий DMARC может быть трудно полностью внедрить, несмотря на низкую стоимость внедрения.

Нарушение работы электронной почты

Успешное внедрение DMARC требует итераций для обнаружения упущенных источников электронной почты и их надлежащего учета в SPF, DKIM и DMARC. Организация в спешке может усилить свою политику DMARC до выявления таких источников и случайно заблокировать и нарушить правильную электронную почту.

Неполное решение

DMARC сам по себе не может выполнять полезную роль. DMARC требует предварительного создания SPF и DKIM для обеспечения аутентификации электронной почты. Кроме того, даже надежная настройка DMARC работает только в том случае, если почтовый сервер, получающий почту, решит также применять DMARC.

Плохие показатели окупаемости инвестиций

Несмотря на то, что DMARC может позволить организации признать улучшение репутации и более надежную доставку электронной почты, эти преимущества будет трудно оценить количественно для измерения окупаемости инвестиций (ROI). Еще хуже то, что основная выгода от пометки вредоносного содержимого электронной почты обычно распространяется только на другие организации.

Электронные серверы и средства защиты электронной почты, получающие и проверяющие электронную почту, используют запись DMARC для блокирования спама и фишинговых сообщений. DMARC практически полностью искоренит подделку внутренней электронной почты, что будет огромным преимуществом для любой организации. Однако внутренние письма всегда будут составлять меньшинство писем, получаемых любой организацией, поэтому внешние организации получат большую часть выгоды от проверенных писем.

Потенциально подделываемые

DMARC предотвращает подмену определенных доменов организации. Однако DMARC не может предотвратить подмену доменов, похожих по внешнему виду, например, когда злоумышленники заменяют «Amazon» на «Arnazon» или «Amaz0n». Умелые злоумышленники могут даже создавать SPF, DKIM и DMARC файлы для своего вредоносного домена, чтобы письма даже проходили DMARC проверку!

Требуется активное внедрение

Около 14% организаций, развернувших DMARC, действительно применяют DMARC. Остальные используют параметр «p=none», позволяющий доставлять даже фишинговые письма, использующие их домен, несмотря на то, что они не прошли проверку DMARC.

Вероятно, эти организации пытаются определить местонахождение всех источников электронной почты и обеспокоены сбоями в работе электронной почты. Однако несоблюдение DMARC дает зеленый свет самозванцам и злоумышленникам для злоупотребления брендом организации.

Требуются правильные настройки сервера электронной почты

DMARC работает только на серверах электронной почты, настроенных на проверку DMARC, DKIM и SPF или использующих инструменты безопасности электронной почты для выполнения этой задачи. Серверы могут легко пропустить проверку DMARC и позволить спаму и поддельным письмам распространяться.

Непонятные отчеты

К сожалению, агрегированные и экспертные отчеты DMARC могут быть сложны для чтения и интерпретации человеком, поскольку они отформатированы для машинного ввода. Большинству организаций необходимо использовать сторонние инструменты отчетности DMARC или службы мониторинга, которые могут получать информацию и создавать отчеты в более интуитивно понятной форме.

К сожалению, многие из этих инструментов могут предоставить дополнительные данные и сведения, помимо тех, что включены в отчеты DMARC, чтобы помочь организациям быстрее и точнее идентифицировать отправителей электронной почты. Эти инструменты ускоряют процесс внедрения DMARC-аутентификации и снижают риск блокирования законной электронной почты.

DMARC аутентификация электронной почты может быть хлопотной в настройке и применении, но это стоит того. Любая организация, достаточно узнаваемая, чтобы быть поддельной, имеет ценный бренд, который нуждается в защите, а применение DMARC может радикально уменьшить количество поддельных писем и улучшить доставку законных писем. Каждая организация должна стремиться к внедрению DMARC, чтобы внести свой вклад в снижение спама, но, что более важно, защитить себя.

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Вдохновлен www.esecurityplanet.com

Похожие статьи

Комментарии (0)