Как бороться со спамом с помощью SPF, DKIM и DMARK: руководство для администраторов электронной почты

Опубликовано: 10 Марта, 2023
Как бороться со спамом с помощью SPF, DKIM и DMARK: руководство для администраторов электронной почты

Когда мы работаем в сфере электронной почты и обмена сообщениями, мы всегда сталкиваемся со спамом, фишингом и другими опасностями. Однако есть способы предотвратить это. Мы можем использовать такие инструменты, как SPF, DKIM или DMARK. Что это за инструменты? Как они работают и как мы можем использовать их так, чтобы они действительно работали так, как задумано? Да, в Интернете есть документация и статьи, но есть много людей, которые не совсем уверены, как использовать эти инструменты и как их настраивать. В этой статье я подробно рассмотрю их и объясню, как правильно их использовать.

Что такое SPF-запись?

Изображение 1693
SPF — это аббревиатура от «Sender Policy Framework». SPF — это метод предотвращения подделки адреса отправителя электронной почты. Он возник как метод защиты от спама. Для SPF владелец домена входит в систему доменных имен, которая разрешает компьютерам отправлять электронные письма для этого домена.

Чтобы создать запись SPF, нам нужно использовать запись TXT в зоне DNS нашего домена. Давайте объясним это на примере contoso.com:

В зоне contoso.com у нас есть следующая запись SPF:

v=spf1 +a +mx +ip4:194.123.23.0/24 +ip4:149.23.126.0/21 +ip4:92.8.4.23 –all

В этой записи SPF указано, что все электронные письма отправляются отправителем «@contoso.com» через один из IP-адресов/диапазонов, указанных в SPF. Я использую нотацию CIDR для IP-адресов всей сети Contoso, поэтому мне не нужно указывать все IP-адреса по отдельности. В частности, серверы со следующими IP-адресами могут отправлять электронные письма от имени @contoso.com: 194.123.23.1 — 194.123.23.255 и 149.23.126.0 — 149.23.126.255. Кроме того, у меня есть один сервер в выделенной сети, которому также разрешено отправлять электронные письма с моего домена.

Предположим, спамер отправляет спам по электронной почте, используя отправителя @contoso.com. Почтовый сервер, который получает электронное письмо, проверяет IP-адрес отправителя и сравнивает его с записью SPF для contoso.com. Если спамер не рассылает спам через сервер Contoso, электронная почта немедленно отклоняется получателем, поскольку IP-адрес отправителя не соответствует записи SPF contoso.com.

Создание записи SPF

Изображение 1694
Шаттерсток

В примере мы видели, как должна выглядеть запись SPF для компании Contoso. Однако давайте посмотрим на него поближе.

Каждая запись SPF начинается с номера версии — для текущей версии SPF «v = spf1». За ним следует любое количество выражений, которые оцениваются в порядке от начала к концу. Большинство выражений представляют собой так называемые директивы, которые определяют авторизацию отправителя и состоят из необязательного квалификатора и так называемого механизма, который дает либо совпадение, либо отсутствие совпадения для данной ситуации (IP-адреса). Первый механизм, представляющий попадание, определяет результат всей оценки записи SPF.

Имеются следующие квалификаторы:

В. Код Описание
+ Проходить директива определяет уполномоченные станции;
это стандарт, д. H. если квалификатор не указан, подразумевается +
Потерпеть неудачу директива определяет неавторизованных отправителей
~ SoftFail директива определяет неавторизованных отправителей, но получатель должен щедро относиться к этому сбою.
? Нейтральный директива определяет каналы, легитимность которых не указывается; Передатчик должен быть принят.

В следующей таблице показаны некоторые распространенные механизмы:

Модификатор Описание (Директива применяется, если…)
все всегда
а … запись A (или AAAA) опрашиваемого (или явно указанного) домена содержит IP-адрес отправителя
МХ …запись MX опрашиваемого (или явно указанного) домена содержит IP-адрес отправителя
ip4 …указанный адрес IPv4 является IP-адресом отправителя или указанная подсеть IPv4 содержит его
ip6 …указанный адрес IPv6 является IP-адресом отправителя или указанная подсеть IPv6 содержит его
включают …Дополнительный SPF-запрос для домена, указанного в операторе include, содержит IP-адрес отправителя

В записи DNS домена уже есть обычные записи MX, которые сообщают SMTP-серверам, на какой хост они должны отправлять электронные письма для этого домена. Итак, если SMTP-сервер должен отправить электронное письмо на [email protected], он ищет в записи MX example.org сервер, который должен отправить почту. SPF теперь добавляет обратную запись в стиле MX к записям DNS в домене. Если почтовый сервер получает электронное письмо от отправителя из example.org, он проверяет запись SPF для example.org, чтобы определить, имеет ли обслуживающий почтовый сервер право отправлять электронные письма для этого домена в соответствии с записью SPF.

SPF также может помочь в борьбе со спамом и предотвратить фишинг, облегчая отслеживание электронной почты. Однако SPF может только предотвратить подделку адреса отправителя, но не может напрямую бороться со спамом.

SPF нужно только поддерживать системой-получателем — протокол пересылки почты (SMTP) ничего не меняет. Публикация записей SPF является добровольной для домена — электронные письма от доменов без записей SPF не должны рассматриваться получателями как отрицательные в соответствии со спецификацией SPF (RFC 4408). Однако такие домены, естественно, остаются незащищенными от фальсификации оболочки.

Что такое ДКИМ?

Изображение 1695
Шаттерсток

DKIM — это сокращение от «DomainKeys Identified Mail», и это протокол аутентификации, обеспечивающий подлинность отправителей электронной почты. Он был разработан Yahoo и стал Интернет-стандартом с конца 2013 года. Он предназначен для борьбы с нежелательной электронной почтой, такой как спам или фишинг.

Организация является обработчиком сообщения либо в качестве его отправителя, либо в качестве посредника. Их репутация является основой для оценки того, следует ли доверять сообщению для дальнейшей обработки, например доставки. Технически DKIM предоставляет метод проверки подлинности доменного имени, связанного с сообщением, с помощью криптографической аутентификации.

DKIM прикрепляет к сообщению новый идентификатор доменного имени и использует криптографические методы для проверки авторизации на предмет его наличия. Идентификатор не зависит от любого другого идентификатора в сообщении, например, в поле автора «От:».

Первая версия DKIM синтезировала и усовершенствовала ключи домена Yahoo и спецификации Identified Internet Mail от Cisco. Это стало результатом многолетнего сотрудничества между многочисленными игроками отрасли в 2005 году для разработки спецификации аутентификации электронной почты на основе открытого стандарта. Среди участников были Alt-N Technologies, AOL, Brandenburg InternetWorking, Cisco, EarthLink, IBM, Microsoft, PGP Corporation, Sendmail, StrongMail Systems, Tumbleweed, VeriSign и Yahoo!. Команда подготовила первоначальную спецификацию и несколько реализаций. Затем он представил работу в IETF для дальнейшего улучшения и формальной стандартизации.

Как работает ДКИМ

Когда письмо отправлено, DKIM добавляет в заголовок письма так называемую подпись DKIM. Когда электронное письмо получено, принимающий сервер запрашивает открытый ключ, опубликованный записью ресурса TXT в зоне DNS домена. Этот ключ проверяет правильность подписи. Цель этого процесса — затруднить осуществление преступной деятельности спамерами и фишерами.

Вот пример записи DKIM, чтобы было понятнее:

Хозяин Тип записи Вход
default._domainkey.contoso.com ТЕКСТ v=DKIM1;p=fhshk8ernksdnfu3zieewef+ksandkw/urzKDJdsadf

Кстати, Microsoft поддерживает DKIM для предотвращения спуфинга в Exchange и Office 365. Дополнительную информацию вы можете получить прямо в Microsoft.

Что такое ДМАРК?

DMARC, или «Аутентификация, отчетность и соответствие сообщений на основе домена», — это спецификация, разработанная для уменьшения злоупотреблений электронной почтой. Он направлен на устранение некоторых давних недостатков аутентификации электронной почты и был представлен в IETF для стандартизации.

Отправной точкой DMARC является защита вашего собственного домена от неправомерного использования другими отправителями, действуя в качестве владельца и выполняя необходимую подготовительную работу, чтобы получатели могли проверить, может ли отправитель также отправлять сообщения для этого домена. Уже существует метод с SPF или RMX для публикации «исходного IP-адреса» систем, выступающих в качестве хоста-отправителя для домена. Однако это ограничивает возможности почты, например, через ретрансляторы или провайдеров, где вы меняете или расширяете адреса почтовых серверов. С помощью DKIM вы можете подписать письмо самостоятельно. Это не классическая цифровая подпись с S/Mime или PGP, но очень похожая. Таким образом обеспечивается целостность почты, а это означает, что содержимое защищено от изменений, а отправитель подтвержден.

Однако DMARC идет дальше и публикует информацию о том, как получатели должны информировать вас как владельца домена о злоупотреблениях. Получатели не только проверяют входящие письма по параметрам SPF и DKIM, но также отправляют сообщения о состоянии и сводки на сохраненные адреса ответов через DMARC.

Как владелец домена с подходящей обработкой, вы получаете прямую обратную связь о том, насколько сильно их домен используется неавторизованными незнакомцами. Поэтому он служит в первую очередь для защиты нашего бренда. Конечно, это будет интересно, если основные получатели почты и хостеры не только используют SFP и DKIM в качестве спам-фильтров, но и используют данные из записи DMARC. Так что это не новый спам-фильтр, а DMARC в первую очередь добавляет способ обнаружения злоупотреблений.

Структура записи DMARC

DMARC использует записи TXT системы доменных имен (DNS). Там помимо записей SPF и DKIM создается еще одна запись RR со следующей структурой:

v=DMARC1;p=quarantine;pct=100;rua=mailto:[электронная почта защищена];ruf=mailto:[электронная почта защищена];adkim=s;aspf=r

Вот обзор сокращений:

Ярлык Описание
в версия протокола
процент процент писем для фильтрации
руф Судебно-медицинский отчет будет отправлен по адресу:
руа сводный отчет отправляется по адресу:
п инструкция как работать с почтой основного домена.
сп инструкция как работать с почтой поддомена.
адким режим калибровки для DKIM
аспф соответствующий режим для SPF

SPF, DKIM и DMARC: используйте их

SPF, DKIM и DMARC — теперь, когда мы подробно рассмотрели их все, вам решать, какой из них вы хотите использовать для своей среды. Мой совет — используйте хотя бы один из них для своей организации. Несколько лет назад я лично начал использовать SPF. Сейчас это должно быть стандартом в каждой компании. Если мы более внимательно посмотрим на таких провайдеров обмена сообщениями, как Cyon, Yahoo, Gmail и Яндекс, мы увидим, что даже они используют эти технологии для получения более высокой оценки защиты от спама. Эти инструменты также помогают нашей среде защиты от спама в целом предварительно сортировать вредоносный трафик и предотвращать его попадание к нашим пользователям.