Рекомендации по поддержке проверки подлинности отправителя

В этой статье представлены лучшие практики отправки электронной почты с помощью записей DNS и методы аутентификации отправителя, которые помогают предотвратить отправку злоумышленниками сообщений, похожих на исходящие с вашего домена.

Проверка подлинности электронной почты и настройка DNS

Для отправки сообщения электронной почты требуется несколько шагов, включая подтверждение, что домен действительно принадлежит отправителю, проверку репутации домена, антивирусное сканирование, фильтрацию на спам, фишинг, вредоносные программы и т. д. Настройка правильной проверки подлинности электронной почты является основным принципом для установления доверия к электронной почте и защиты репутации вашего домена. Если электронная почта проходит проверку подлинности, то получающий домен может применить политику к этой электронной почте в соответствии с репутацией, уже установленной для удостоверений, связанных с этими проверками подлинности. Получатель может быть уверен, что эти удостоверения действительны.

Запись MX (почтовый обмен)

Запись MX (Mail Exchange) используется для маршрутизации электронной почты на правильный сервер. Он указывает почтовый сервер, ответственный за прием сообщений электронной почты от имени вашего домена. DNS необходимо обновить с последними сведениями о записях MX домена электронной почты, в противном случае это приведет к некоторым сбоям доставки.

SPF (платформа политики отправителей)

SPF RFC 7208 — это механизм, позволяющий владельцам домена публиковать и поддерживать с помощью стандартной записи DNS TXT список систем, авторизованных для отправки электронной почты от их имени. Эта запись используется для указания, какие почтовые серверы авторизованы для отправки электронной почты от имени вашего домена. Это помогает предотвратить спуфинирование электронной почты и повысить доступность доставки электронной почты.

DKIM (подписанное почтовое сообщение с идентификацией ключей домена)

DKIM RFC 6376 позволяет организации отвечать за передачу сообщения таким образом, чтобы получатель смог проверить. Эта запись также используется для проверки подлинности домена, из которой отправляется сообщение электронной почты, и помогает предотвратить спуфинирование электронной почты и повысить доступность доставки электронной почты.

DMARC (аутентификация сообщений на основе домена, отчетность и соблюдение)

DMARC RFC 7489 — это масштабируемый механизм, с помощью которого организация, исходящая от почты, может выразить политики и предпочтения уровня домена для проверки сообщений, ликвидации и отчетности. Организации, получающие почту, могут использовать RFC 7489 для улучшения обработки почты. Вы также можете использовать RFC 7489, чтобы указать, как получатели электронной почты должны обрабатывать сообщения, которые завершаются сбоем проверок SPF и DKIM. Это повышает доступность электронной почты и помогает предотвратить спуфинирование электронной почты.

ARC (аутентифицированная полученная цепочка)

Протокол ARC RFC 8617 предоставляет проверенную цепочку хранения сообщения, позволяя каждой сущности, обрабатывающей сообщение, определить, какие сущности обрабатывали его ранее, и оценку проверки подлинности сообщения на каждом прыжке. ARC еще не является стандартом Интернета, но внедрение увеличивается.

Как работает проверка подлинности электронной почты

Проверка подлинности электронной почты проверяет, являются ли сообщения электронной почты отправителя (например, законными) и получены из ожидаемых источников для этого домена электронной почты (например, [email protected]).

Сообщение электронной почты может содержать несколько адресов источника или отправителя. Эти адреса используются для различных целей. Например, рассмотрим следующие адреса:

• Mail From address идентифицирует отправителя и указывает, куда отправлять уведомления о возврате, если возникают проблемы с доставкой сообщения, например уведомления о недоставках. Уведомления о возврате отображаются в конверте сообщения электронной почты и не отображаются вашим приложением электронной почты. Иногда это называется адресом 5321.MailFrom или адресом обратного пути.

• Адрес отправителя — это адрес, который отображается вашим почтовым приложением. Этот адрес определяет автора сообщения электронной почты. То есть почтовый ящик пользователя или системы, ответственного за запись сообщения. Иногда это называется адресом "5322.From".

• Политика отправителя (SPF) помогает подтвердить отправку исходящих писем из вашего домена (что они действительно отправлены тем, кем заявлены).

• Доменные ключи идентифицируемой почты (DKIM) помогают гарантировать, что конечные почтовые системы доверяют сообщения, отправленные из вашего почтового ящика из домена.

• Аутентификация сообщений на основе домена, отчеты и соответствие (DMARC) работает с Фреймворком политики отправителей (SPF) и Идентифицированной почтой с использованием доменных ключей (DKIM) для проверки подлинности отправителей почты. Такой подход гарантирует, что конечные почтовые системы доверяют сообщениям, отправленным из вашего домена.

Реализация DMARC

Реализация DMARC с помощью SPF и DKIM обеспечивает расширенную защиту от спуфинга и фишинга электронной почты. SPF использует запись DNS TXT для предоставления списка авторизованных IP-адресов для заданного домена. Как правило, проверки SPF выполняются только по адресу 5321.MailFrom. Это означает, что адрес 5322.From не проходит проверку подлинности при использовании SPF самостоятельно. Это позволяет сценарию, при котором пользователь может получить сообщение, которое проходит проверку SPF, но имеет поддельный адрес отправителя 5322.From.

Как и записи DNS для SPF, запись для DMARC — это запись DNS-текста (TXT), которая помогает предотвратить спуфинги и фишинг. Вы публикуете записи TXT DMARC в DNS. Записи DMARC TXT проверяют источник сообщений электронной почты, проверяя IP-адрес автора электронной почты против предполагаемого владельца отправленного домена. Запись DMARC TXT определяет авторизованные исходящие почтовые серверы. Конечные почтовые системы могут проверять, что полученные ими сообщения исходят от авторизованных исходящих почтовых серверов. Это приводит к несоответствию между адресами 5321.MailFrom и 5322.From во всех электронных письмах, отправляемых из вашего домена, и для этих писем происходит сбой DMARC. Чтобы избежать этого, необходимо настроить DKIM для вашего домена.

Запись политики DMARC позволяет домену объявить, что их электронная почта использует проверку подлинности. Запись политики предоставляет адрес электронной почты для сбора отзывов об использовании своего домена. Запись политики также указывает запрошенную политику для обработки сообщений, которые не проходят проверку подлинности. Мы рекомендуем следующее:

• Домены политик, публикующих записи DMARC, должны быть "p=reject", где это возможно, "p=карантин" в противном случае.
• Рассматривайте политику "p=none", "sp=none" и pct<100 как переходные состояния, с целью устранения их как можно быстрее.
• Любая опубликованная запись политики DMARC должна включать, как минимум, тег, rua указывающий на почтовый ящик для получения статистических отчетов DMARC и не должен отправлять ответы обратно при получении отчетов из-за проблем конфиденциальности.

Дальнейшие действия

• Рекомендации по реализации DMARC

• Устранение неполадок реализации DMARC

• Домены электронной почты и проверка подлинности отправителя для Служб коммуникации Azure

• Начало работы с созданием службы коммуникации электронной почты и управлением ими в Службе коммуникации Azure

• Начните с подключения сервиса для работы с электронной почтой к ресурсу Azure Communication Service

Связанные статьи

• Ознакомьтесь с клиентской библиотекой электронной почты.
• Как отправлять сообщения электронной почты с настраиваемыми проверенными доменами? Добавьте личные домены.
• Как отправлять сообщения электронной почты с помощью управляемых доменов Azure? Добавьте управляемые домены Azure.