Что такое DMARC? Защита вашей рассылки от подделок || Как сделать DMARC запись?

Сталкивались ли вы с проблемой, что письма от вашего сервиса подделываются с целью вымогательства пароля или других конфиденциальных данных? Ежедневно к пользователям пытаются пробиться тысячи спамерских, фишинговых и мошеннических писем, которые злоумышленники маскируют под сообщения от известных сервисов.

Такие письма причиняют ущерб адресатам, что, в конечном счете, сказывается на репутации как самих добропорядочных сервисов, так и почтовых провайдеров.

Теперь мы даем сервисам, которые ведут свои рассылки, возможность защититься от такого рода подделок с помощью технологии DMARC (dmarc.org), которую мы поддержали первыми среди крупных почтовых сервисов в рунете.

Как работает DMARC ?
Суть технологии проста: вы как владелец домена, с которого ведутся рассылки, можете прописать в DNS своего домена политику, определяющую, что делать с письмами, которые признаны поддельными.

Письма могут быть пропущены, положены в папку «Спам» или вообще не приняты почтовым сервером.

Для работы этой технологии требуется настроить SPF для вашего домена и подписывать каждое письмо DKIM-подписью. При этом домен DKIM должен совпадать с доменом в заголовке From.

При получении письма наш сервер проверит валидность SPF и DKIM. В случае, если проверка и DKIM и SPF не пройдена, к письму будет применена DMARC-политика вашего домена.

Я уже хочу. Что мне делать?

Первое, что необходимо сделать — решить, как будет внедряться DMARC. Мы рекомендуем делать это не сразу, а постепенно:

• Сначала включить только получение отчетов и пропускать все письма. Это необходимо, чтобы убедиться, что все письма корректно подписаны.
• Далее можно включить применение политики только на какой-то небольшой процент траффика с помощью опции pct
• Если в отчетах не обнаружено проблем, можно включать политику на 100%

Такой пошаговый подход позволит вовремя выявить проблемы с DKIM-подписью, если они есть, и исправить их прежде, чем политика будет развернута на 100%.

Для включения политики DMARC нужно разместить в DNS-записи вашего сайта новую TXT-запись вида:

_dmarc.exampledomain.ru.    3600 IN   TXT    «v=DMARC1; p=none; rua=mailto:postmaster@exampledomain.ru «

В таком виде запись означает, что все поддельные письма нужно пропускать, а отчеты надо высылать на ящик postmaster@exampledomain.ru; exampledomain.ru необходимо заменить на ваш домен.

Если вы хотите получать отчеты на домен, который не совпадает с доменом DMARC, вам необходимо разместить TXT-запись для почтового домена специального вида. Допустим, ваш домен с DMARC — exampledomain.ru, а получать отчеты вы хотите на домен test.ru. В таком случае необходимо в DNS домена test.ru добавить TXT-запись вида:

exampledomain.ru._report._dmarc.test.ru.  3600  IN   TXT "v=DMARC1"

В данный момент мы поддерживаем отправку только агрегированных отчетов. Отправка образцов, которые не прошли проверку будет запущена позже.

Как выглядит отчет?

Ежедневные агрегированные отчеты приходят в формате XML с адреса dmarc_support@corp.mail.ru.

Ниже — пример отчета о том, что с одного IP-адреса было отправлено 20 писем, и все они прошли проверку.

  <feedback>
    <report_metadata>
      <date_range>
        <begin>1361304000</begin>
        <end>1361390400</end>
      </date_range>
      <email>dmarc_support@corp.mail.ru</email>
      <extra_contact_info>http://corp.mail.ru/en</extra_contact_info>
      <org_name>Mail.Ru</org_name>
      <report_id>1361304000874948</report_id>
    </report_metadata>
    <policy_published>
      <adkim>r</adkim>
      <aspf>r</aspf>
      <domain>adan.ru</domain>
      <p>none</p>
      <pct>100</pct>
      <sp>none</sp>
    </policy_published>
    <record>
      <auth_results>
        <dkim>
          <domain>adan.ru</domain>
          <result>pass</result>
        </dkim>
        <spf>
          <domain>adan.ru</domain>
          <result>pass</result>
        </spf>
      </auth_results>
      <identifiers>
        <header_from>adan.ru</header_from>
      </identifiers>
      <row>
        <count>20</count>
        <policy_evaluated>
          <disposition>none</disposition>
          <dkim>pass</dkim>
          <spf>pass</spf>
        </policy_evaluated>
        <source_ip>176.9.9.172</source_ip>
      </row>
    </record>
  </feedback>

Существует множество готовых средств, делающих обработку этих отчетов удобнее. Найти их можно на сайте DMARC:http://www.dmarc.org/resources.html.

А что дальше?

В TXT-записи можно использовать следующие теги:

Название тега	Назначение	Пример	Требуется	Дополнительно
v	Версия протокола	v=DMARC1	да
p	Правила для домена	p=reject	да	none — не принимать никаких действий quarantine — отправлять сообщения в спам reject  — не принимать сообщения
aspf	Режим проверки соответствия для SPF-записей	aspf=s	нет	r (relaxed) — разрешать частичные совпадения, например субдоменов данного домена s (strict) — разрешать только полные совпадения
pct	Сообщения, подлежащие фильтрации (в %)	pct=40	нет
sp	Правила для субдоменов	sp=reject	нет	none — не принимать никаких действий quarantine — отправлять сообщения в спам reject  — не принимать сообщения
rua	Адрес для сводных отчетов	rua=mailto:admin@test.ru	нет

Примеры  

1. Отклонять все сообщения, не прошедшие проверку DMARC

«v=DMARC1; p=reject» 

2. Отклонять все сообщения, не прошедшие проверку DMARC и отправлять все отчеты на ящик admin@test.ru

«v=DMARC1; p=reject; rua=mailto:admin@test.ru»

3. 30% сообщений, которые приходят от вашего домена, но не проходят проверки DMARC, помещаются в карантин

«v=DMARC1; p=quarantine; pct=30»

Подробнее о настройке DMARC можно прочитать в справке http://help.mail.ru/mail-help/postmaster/dmarc. Включайте и комментируйте — будем благодарны за вопросы, замечания и идеи.

Денис Аникин, технический директор Почты Mail.Ru