Защищаем почту с SPF, DKIM, DMARC

06/06/2019

mail security

Вы заказали домен для своей организации. Решили использовать сервис электронной почтовой службы для взаимодействия с внешним миром. Есть несколько настроек почтовой системы и DNS сервера, которые позволят в будущем избежать попадания ваших почтовых отправлений в спам. А также защитить Вашу электронную почту от поддельных сообщений. Для этого нам нужно соответствующим образом настроить почтовый сервер и DNS зону, в которой этот почтовый сервер работает. Это стандартные записи в DNS — SPF, DKIM, DMARC. Каждая из них представляет собой отдельную технологию и специфичный способ защиты для электронной почты. Как правило, такая настройка делается при инсталяции нового почтового сервиса. После чего это просто будет работать годами, без необходимости постоянного вмешательства.

Эта заметка является логическим дополнением к моей статье на Хабре — «Советы по организации IT в малом бизнесе». Там поднималась речь о необходимых знаниях и технических средствах, которые позволят новой организации эффективно с минимальными затратами задействовать современные информационные технологии. В этом же направлении была статься на этом блоге — «Реклама в Интернете». В целом, мне бы самому хотелось обобщить реальный практический опыт и теоретические знания для формализации материалов, которые критически необходимы любому человеку, для организации IT нфраструктуры своей компании с нуля.

SPF

SPF или Sender Policy Framework — способ защитить систему от нелегитимных отправляющих почтовых серверов. В DNS зоне создается текстовая запись, в которой указываются конкретные почтовые сервера, которым разрешена отправка электронных писем от пользователей домена. Если Вы не настроете SPF для Вашего домена, будьте готовы, что получите проблемы с доставкой электронной почты до многих ведущих почтовых систем, таких как GMAIL. Yahoo.

Пример настройки SPF записи для домена andreyus.com пресдтавлен ниже. Я в этом домене использую почтовые сервера Yandex для отправки и приема писем. Соотвественно, в соответствии с рекомендациями Яндекса, в настройках SPF для домена была произведена конфигурация, представленная ниже.

@ 	TXT 	v=spf1 redirect=_spf.yandex.net

В общем случае SPF представляет собой TXT запись в DNS зоне. В данной записи присутствует индикатор версии — v, а также указание на то, какие почтовые сервера могут осуществлять отправку сообщений. Это может быть выполнено с помощью переменных a, mx, all и других.

DKIM

DKIM или DomainKeys Identified Mail — возможность защитить отправляемую почтовую корреспонденцию с помощью цифровой подписи. При этом на почтовом сервере настраивается приватный ключ. Он будет использоваться при создании цифровой подписи для электронных писем. Публичный ключ прописывается в специальной текстовой записи DNS зоны. Таким образом принимающая сторона, сможет с помощью этого публичного ключа идентифицировать аутентичность отправляемых электронных сообщений. Использование DKIM в домене позволяет значительно повысить уровень доверия к отправляемым Вами электронным письмам и избежать попадания в спам фильтры.

Пример настройки DKIM записи для домена andreyus.com предcтавлен ниже. Как уже говорилось выше, электронная почта в данном домене использует сервера Яндекса. Соответственно, ключи для подписи почтовых сообщений генерируются самим Яндексом. О том как настроить в своей DNS зоне DKIM запись при использовании почтовой системы Яндекса расписано здесь.

mail._domainkey 	TXT 	v=DKIM1; k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYmeXVQHq+wZEgcB+p+droEJehaOcnNpmop8l3U98wiFjGsJlTWnH/JcyVMCPfwW6MvBDmt30sZ088dMo+TaDfnsaahuKwVzM9EX3jGVJuJKj+Ovjkfqpwap95Ow1W1OW/Bethm08Lx0xvCAiLYX23t0SCDn+hUpYL8QwCxn1P8wIDAQAB

DMARC

DMARC или Domain-based Message Authentication, Reporting, & Conformance — способ дополняющий системы защиты SPF и DKIM. Запись DMARC в DNS зоне домена указывает принимающим почтовым серверам, что делать с электронными отправлениями, которые не смогли пройти проверку на SPF и DMARC. Принимающая сторона в случае наличия соответствующего функционала может ставить сомнительные письма в карантин или отбрасывать их полностью. При этом в политике DMARC для DNS зоны указывается почтовый адрес администратора, который используется для оповещения о подозрительной кореспонденции.

Пример настройки DMARC записи для домена andreyus.com предcтавлен ниже. Данный тип защиты почты никак ни привязан к конкретным почтовым серверам. В отличии от SPF и DKIM конфигурация DMARC делается самостоятельно без рекомендаций Yandex для конкретного домена andreyus.com. Хороший тулз для получения нужной конфигурации DMARC представлен по ссылке https://www.unlocktheinbox.com/dmarcwizard/

_dmarc 	TXT 	v=DMARC1; p=none; sp=none; rua=mailto:admin@andreyus.com; ruf=mailto:admin@andreyus.com; rf=afrf; pct=100; ri=86400

Заключение

В заметке попытался дать необходимую информацию для настройки соответствующих записей в DNS с целью защиты своей почтовой системы. Не углубляясь в теоретические дебри, эту информацию можно использовать при первоначальной настройке сервера электронной почты. Для того, чтобы проверить корректность выполненных настроек, можно использовать сайт — https://mxtoolbox.com/NetworkTools.aspx

Добавить комментарий

Ваш адрес email не будет опубликован.