Что нужно знать об аутентификации электронной почты и спуфинге доменов: SPF, DKIM и DMARC

Ваш бизнес является мишенью для фишинга и спуфинга. Если ваша электронная почта не аутентифицирована, злоумышленники могут легко подделать ваш домен. Без аутентификации любой пользователь интернета может отправить электронное письмо, выдавая себя за вас.

Попробуйте Proton Mail бесплатно в течение 14 дней Получить демо-версию

Что означает аутентификация электронной почты?

Аутентификация электронной почты — это набор технических стандартов, которые подтверждают, что отправитель электронного письма действительно тот, за кого себя выдает. Она была разработана потому, что исходный протокол электронной почты (Simple Mail Transfer Protocol, или SMTP) не имеет встроенной функции для предотвращения подделки адреса отправителя.

Чтобы понять принцип аутентификации, полезно знать, что у электронного письма есть два адреса отправителя:

1. Адрес отправителя конверта (RFC 5321)

Этот адрес также известен как адрес MAIL FROM, отправитель P1 или обратный путь (return-path); это технический адрес, используемый почтовыми серверами в фоновом режиме для маршрутизации и доставки.

Назначение: он указывает принимающему серверу, куда отправлять автоматические сообщения, такие как уведомления о возврате или отчеты о недоставке (NDR).
Видимость: получатели обычно никогда не видят этот адрес в своем почтовом клиенте; он является частью скрытого «конверта» сообщения.
Роль в безопасности: это адрес, проверяемый SPF.

2. Адрес отправителя в заголовке (RFC 5322)

Этот адрес также известен как адрес «От:» (From:) или отправитель P2; это видимый адрес в вашем почтовом ящике (например, От: your-bank@example.com).

Назначение: это «понятный» адрес, предназначенный для взаимодействия с человеком и сообщающий получателю, от кого якобы пришло сообщение.
Видимость: это единственный адрес, который большинство пользователей видят, когда открывают свой почтовый ящик.
Роль в безопасности: именно этот адрес злоумышленники чаще всего подделывают, и он является основным объектом проверок соответствия DMARC.

Такая структура делает спуфинг электронной почты (подделку адреса «От:») очень простым. Злоумышленник может использовать контролируемый им действительный адрес отправителя конверта для прохождения базовых проверок сервера, одновременно используя поддельный адрес отправителя в заголовке, чтобы обмануть получателя. Протоколы аутентификации электронной почты, такие как DMARC, решают эту проблему, требуя соответствия доменов этих двух отправителей.

Почему аутентификация электронной почты необходима для бизнеса?

Для бизнеса внедрение аутентификации электронной почты — обязательная мера защиты. Она:

Останавливает спуфинг и фишинг: не позволяет злоумышленникам отправлять поддельные электронные письма с вашего домена.

Защищает репутацию вашего бренда: не позволяет ассоциировать ваш бренд со спамом и фишингом.

Улучшает доставляемость писем: сообщает другим провайдерам электронной почты, что вы являетесь легитимным отправителем, благодаря чему ваши письма не попадают в папку «Спам».

3 основных метода аутентификации электронной почты

Надежная защита строится на совместной работе трех стандартов: SPF, DKIM и DMARC. Каждый из них дополняет предыдущий, создавая многоуровневую систему защиты.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) — это публичный список всех серверов (по IP-адресам), которым разрешено отправлять электронные письма от имени вашего домена.

Как это работает

Вы публикуете этот список в виде DNS-записи типа TXT для вашего домена. Когда принимающий почтовый сервер получает сообщение, он сверяет IP-адрес отправляющего сервера с этим списком. Если IP-адрес есть в списке, сообщение проходит проверку SPF; если нет, то проверка считается непройденной.

Слабое место

SPF проверяет только технический адрес отправки, используемый почтовыми серверами, а не видимый адрес «От:» (From:), который пользователи видят в своем почтовом ящике. Этот пробел позволяет злоумышленникам проходить проверки SPF. Поскольку SPF — это протокол, основанный на пути передачи, он также часто дает сбой, когда электронное письмо пересылается через список рассылки или сервер партнера. Поскольку пересылающий сервер отсутствует в вашем списке разрешенных, проверка не проходит.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) добавляет к содержимому сообщения, включая заголовок «От:» (From:), уникальную и защищенную от вмешательства ЭЦП.

Как это работает

Эта подпись создается с использованием закрытого ключа, который известен только вашему серверу. Соответствующий открытый ключ публикуется в вашем DNS. Принимающие серверы используют этот открытый ключ для проверки подписи. Если она действительна, это доказывает, что электронное письмо пришло с вашего домена и его содержимое не было изменено при передаче.

Слабое место

Как и SPF, DKIM сам по себе не предотвращает спуфинг. Подпись подтверждает, что сообщение подлинно для отправившего его домена, а не обязательно для домена, указанного в адресе «От:».

3. Аутентификация, отчетность и соответствие сообщений по доменному имени (DMARC)

Аутентификация, отчетность и соответствие сообщений по доменному имени (DMARC) — это политика, которая связывает SPF и DKIM воедино. DMARC — это правило, которое предписывает почтовым серверам доверять электронным письмам только в том случае, если видимый вами адрес «От:» соответствует результатам внутренних проверок аутентификации. Оно закрывает лазейку, которую злоумышленники используют при работе только с SPF или DKIM.

Как это работает

DMARC требует, чтобы домен в видимом адресе «От:» совпадал с доменом, используемым при успешной проверке SPF или DKIM. Этот важный шаг связывает видимый адрес отправителя с технической проверкой.

Оно также сообщает серверам, что делать: ваша политика DMARC (p) указывает принимающим серверам, как обрабатывать сбои:

p=none (мониторинг): действия не предпринимаются. Вам просто будут отправляться отчеты о том, кто отправляет электронную почту с вашего домена.
p=quarantine (карантин): отправлять не прошедшие проверку электронные письма в папку «Спам».
p=reject (блокировка): полностью блокировать не прошедшие проверку электронные письма.

Защитите свой бизнес от фишинга и спуфинга доменов

Более 90% всех утечек данных начинаются с фишинговой атаки или спуфинга. Внедрение SPF, DKIM и DMARC — это ваш первый рубеж обороны, но его необходимо сочетать с надежным провайдером электронной почты, который безопасен по умолчанию.

Сервис Proton Mail for Business разработан для блокировки этих угроз еще до того, как они достигнут вашей команды. Наша усовершенствованная система защиты от спуфинга, технология PhishGuard и сквозное шифрование обеспечивают комплексную защиту, которой легко управлять.

Попробуйте Proton Mail бесплатно в течение 14 дней Получить демо-версию

Как настроить аутентификацию электронной почты (пошаговое руководство)

Чтобы защитить свой домен, необходимо добавить несколько записей в настройки системы доменных имен (DNS), управление которыми осуществляется через вашего регистратора доменов (например, GoDaddy, Namecheap или Cloudflare).

Шаг 1

Создайте свою запись SPF

Сначала определите все службы, которые вы используете для отправки электронной почты (например, вашего провайдера электронной почты, сервис рассылок, такой как Mailchimp, CRM). Ваша запись SPF должна включать их все. Например, запись SPF для Proton Mail выглядит так: v=spf1 include:_spf.proton.me mx ~all. Вам нужно добавить ее в качестве TXT-записи в настройки DNS.

Шаг 2

Настройте свою подпись DKIM

В панели администратора Proton Mail (или другого провайдера) перейдите в настройки домена. Система сгенерирует для вас уникальный ключ DKIM. Процесс настройки DKIM в Microsoft 365, Google Workspace или Proton аналогичен: вы копируете сгенерированный ключ и создаете новую TXT-запись в DNS согласно инструкциям.

Шаг 3

Внедрите свою политику DMARC

Добавление политики DMARC (p) — это последний шаг. Ее следует внедрять поэтапно, чтобы избежать блокировки собственных легитимных писем:

Начните с p=none: создайте запись DMARC с политикой p=none. Этот режим мониторинга позволяет получать отчеты о сбоях доставки электронной почты, не влияя на саму доставку писем.
Анализируйте отчеты: используйте отчеты DMARC, чтобы найти легитимные службы, которые не проходят проверки, и добавить их в свои записи SPF и DKIM.
Перейдите к p=quarantine: когда будете уверены в правильности настроек, измените политику на p=quarantine. Это позволит отправлять не прошедшие проверку электронные письма в папку «Спам».
Перейдите к p=reject: после дополнительного мониторинга перейдите к политике p=reject, чтобы заблокировать доставку всех мошеннических электронных писем.

Подробные инструкции по настройке, включая снимки экрана и значения записей, приведены в руководстве службы поддержки Proton.

Помимо базовых стандартов: ARC и BIMI

После настройки SPF, DKIM и DMARC можно использовать два дополнительных стандарта, которые принесут дополнительную пользу:

Цепочка аутентификации отправителей (ARC)

Сохраняет результаты аутентификации без изменений при пересылке писем (например, через списки рассылки), которая часто нарушает работу SPF или DKIM.

Индикаторы бренда для идентификации сообщений (BIMI)

Позволяет отображать официальный логотип вашей компании рядом с электронными письмами в поддерживаемых почтовых ящиках. Считайте это «подтвержденной галочкой» для электронной почты. Чтобы соответствовать требованиям, вам необходима строгая политика DMARC (quarantine или reject).

Как Proton Mail защищает вашу корпоративную почту

Настройка аутентификации электронной почты имеет важное значение, но это лишь одна из составляющих комплексной стратегии безопасности. Proton Mail добавляет дополнительные уровни защиты для безопасности вашего бизнеса от сложных угроз.

Улучшенное обнаружение спуфинга

Proton Mail автоматически проверяет SPF, DKIM и DMARC для всех входящих сообщений. Электронные письма, не прошедшие эти проверки, четко помечаются, что снижает риск выдачи себя за другое лицо.

PhishGuard

PhishGuard распознает подозрительные ссылки, шаблоны и другие предупреждающие признаки, которые часто упускают базовые фильтры, помогая блокировать попытки фишинга до того, как они дойдут до сотрудников.

Сквозное шифрование и шифрование с нулевым доступом

Электронные письма между пользователями Proton автоматически шифруются сквозным шифрованием. Все ваши данные хранятся с использованием шифрования с нулевым доступом, а значит, даже мы не можем читать ваши электронные письма.

Подтверждение ссылок

Когда пользователи нажимают на ссылку в электронном письме, Proton Mail показывает полный предпросмотр целевого URL, помогая предотвратить случайные переходы на вредоносные сайты.

Попробуйте Proton Mail бесплатно в течение 14 дней Получить демо-версию

Обезопасьте свои деловые коммуникации

Защитите свою компанию от фишинга, спуфинга и утечек данных с помощью службы электронной почты, которая ставит безопасность и конфиденциальность на первое место. Внедрите надежную аутентификацию электронной почты и воспользуйтесь преимуществами сквозного шифрования и продвинутой защиты от фишинга — и все это в одном простом и безопасном решении.

Попробуйте Proton Mail for Business Получить демо-версию

Часто задаваемые вопросы

В чем разница между SPF и DKIM?: SPF проверяет, кому разрешено отправлять электронные письма от имени вашего домена, верифицируя отправляющий сервер.
DKIM проверяет, что само сообщение не было изменено, с помощью ЭЦП.
Они решают разные задачи, поэтому для полноценной защиты вам понадобятся оба протокола (а также DMARC).
Как почтовые серверы проверяют аутентификацию?: Когда почтовый сервер получает сообщение, он запрашивает SPF-, DKIM- и DMARC-записи отправителя. Он записывает результаты (например, spf=pass или dkim=fail) в скрытый заголовок Authentication-Results. Затем ваш провайдер электронной почты использует эту информацию вместе со многими другими сигналами, чтобы решить, доставить ли сообщение в ваш почтовый ящик, пометить его как спам или заблокировать.
Сколько времени требуется, чтобы DMARC заработал?: Запись DNS обычно активируется в течение нескольких часов. Но безопасное внедрение DMARC требует времени: вы начинаете с политики только для мониторинга (p=none), анализируете отчеты, исправляете ошибки для легитимных отправителей, а затем постепенно переходите к более строгим политикам (p=quarantine или p=reject). Этот процесс часто занимает несколько недель или месяцев.
Что если мошенники подделают мою электронную почту?: DMARC включает функцию отчетов, которая сообщает вам, если кто-то пытается выдать себя за ваш домен. Если вы обнаружите это, вам следует предупредить своих сотрудников, проинформировать клиентов и сообщить о мошенничестве в правоохранительные органы и организации по борьбе с фишингом, такие как FTC или Anti-Phishing Working Group.
Может ли это остановить все фишинговые атаки?: Ни один инструмент не способен защитить от всего. SPF, DKIM и DMARC отлично справляются с блокировкой прямого спуфинга домена. Но злоумышленники также используют такие уловки, как похожие домены или скомпрометированные аккаунты. Вот почему аутентификация должна быть частью многоуровневой защиты, наряду с обучением пользователей и продвинутыми функциями безопасности, такими как PhishGuard от Proton.