Электронная почта — важнейший инструмент общения, однако она также уязвима для таких угроз, как фишинг и подделка. Внедрение протоколов проверки подлинности электронной почты может защитить вашу веб-почту. В этом руководстве подробно описано, как настроить SPF, DMARC и DKIM для повышения безопасности.
Введение
Службы веб-почты, такие как Gmail, Outlook и Yahoo, обеспечивают удобный доступ к электронной почте на любом устройстве. Однако это также создает риски, если не принять меры предосторожности.
Безопасная электронная почта основана на аутентификации отправителей для предотвращения:
- Подделка электронной почты — маскировка почты под чужую
- Фишинг — мошеннические электронные письма с целью кражи информации
- Захват учетных записей электронной почты — получение злоумышленниками доступа к учетным записям
К счастью, существующие протоколы аутентификации электронной почты могут обеспечить безопасность веб-почты при правильном применении:
- SPF (Sender Policy Framework) проверяет авторизованные почтовые серверы.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) основывается на SPF и DKIM для предотвращения подделки.
- DKIM (DomainKeys Identified Mail) криптографически подписывает электронные письма, чтобы подтвердить, что они не были изменены.
В этом руководстве приведены пошаговые инструкции по настройке этих протоколов для защиты веб-почты. Следуя этим рекомендациям, вы сможете проверить подлинность легитимных отправителей и блокировать вредоносные письма.
SPF — защита от подделки адресов электронной почты
SPF предотвращает подделку адресов отправителей, позволяя доменам указывать авторизованные почтовые серверы. Вот как его настроить:
1. Определите почтовые серверы
Сначала определите серверы и IP-адреса, уполномоченные отправлять электронную почту для вашего домена.
- Службы веб-почты, такие как Gmail, предоставляют эту информацию в своих справочных документах.
- Для локальных серверов войдите в консоль администратора почтового сервера.
- У вас могут быть отдельные IP-адреса для входящей и исходящей почты.
2. Создайте TXT-запись SPF
Добавьте TXT-запись в настройки DNS вашего домена с авторизованными серверами.
Распространенные форматы записей:
v=spf1 ip4:192.0.2.1 ip4:198.51.100.206 -allv=spf1 include:spf.webmail.com -all Здесь указаны:
v=spf1— Обозначает SPF версии 1ip4— Список авторизованных IPv4-адресовinclude— Импортирует правила из другой записи SPF-all— Отклоняет неавторизованных отправителей
3. Проверка SPF-записи
Используйте инструмент проверки SPF-записей, чтобы убедиться в правильности синтаксиса перед включением. Это позволит избежать непреднамеренных сбоев в работе почты.
Рекомендуемые инструменты проверки SPF:
Исправьте все ошибки, о которых сообщают эти инструменты, прежде чем продолжить.
4. Обновление серверов имен и ожидание распространения
Наконец, обновите серверы имен, чтобы опубликовать новую запись SPF в DNS. Полное распространение может занять до 48 часов.
После этого другие почтовые серверы смогут сверять IP-адреса отправителей с вашей SPF-записью и отклонять недействительные отправители.
DMARC — остановка подделки электронной почты
DMARC работает с SPF и DKIM для проверки подлинности входящей почты и предотвращения подделки. Выполните следующие действия:
1. Создайте запись DMARC
Добавьте запись TXT для _dmarc в настройках DNS. Начните с p=none политики:
v=DMARC1; p=none; rua=mailto:[email protected]Здесь указывается:
v=DMARC1— DMARC версии 1p=none— Политика, которая не предпринимает никаких действий, но сообщает о сбояхrua=— Адрес электронной почты для отправки сводных отчетов
2. Измените политику DMARC на карантин
Как только вы будете готовы действовать в отношении поддельной почты, обновите запись DMARC:
v=DMARC1; p=quarantine; rua=mailto:[email protected]Это указывает принимающим серверам помещать в карантин письма, не прошедшие проверку SPF или DKIM.
3. Измените политику DMARC на «Отклонять
Чтобы полностью заблокировать поддельные сообщения, используйте p=reject политику:
v=DMARC1; p=reject; rua=mailto:[email protected] Отклоненная почта не попадает в почтовые ящики. Это позволяет предотвратить фишинговые атаки на пользователей.
Политики DMARC позволяют принимать меры против угроз подделки, выявленных в отчетах.
DKIM — криптографическая подпись электронных писем
DKIM добавляет криптографическую подпись для подтверждения того, что письма действительно от вашего домена. Вот как ее настроить:
1. Сгенерируйте пару открытый/закрытый ключ
Создайте пару ключей для подписи сообщений:
- Провайдеры веб-почты часто включают инструменты для генерации ключей
- Для локальных почтовых серверов используйте openssl или онлайн-инструменты
2. Публикация открытого ключа в DNS
Добавьте TXT-запись с открытым ключом в DNS. Она должна выглядеть следующим образом:
k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDkQ...Это позволит получателям проверять подписи.
3. Настройка подписи закрытым ключом на почтовом сервере
Обновите настройки почтового сервера, чтобы подписывать всю исходящую почту своим закрытым ключом.
В таких службах, как Gmail или Office 365, эта функция выполняется автоматически.
На локальных серверах установите программное обеспечение для подписи DKIM, например OpenDKIM.
4. Установите политику выравнивания DMARC DKIM
Обновите запись DMARC, чтобы она требовала выравнивания DKIM:
v=DMARC1; p=reject; ... adkim=r;[adkim=r означает, что письма без действительной DKIM-подписи будут отклонены.
Подписание DKIM с помощью опубликованных открытых ключей позволяет получателям криптографически подтвердить вашу почту.
Заключение
Безопасность электронной почты сегодня важна как никогда. SPF, DMARC и DKIM — это мощные инструменты для защиты веб-почты, если они реализованы правильно.
Следуя этому пошаговому руководству, вы сможете:
- Проверка подлинности легитимных электронных писем — Убедитесь, что действительные отправители соответствуют вашим политикам SPF, DKIM и DMARC.
- Блокируйте подделку/фишинг — Используйте DMARC для отклонения мошеннических писем, якобы пришедших от вас
- Обеспечьте видимость — Отчеты DMARC выявляют угрозы, которые необходимо устранить
- Повышение уровня безопасности — Технически остановить многие угрозы электронной почты до того, как они достигнут пользователей
Потраченное время значительно улучшит аутентификацию и безопасность электронной почты. Пользователи выиграют от сокращения числа поддельных сообщений, фишинга и мошенничества.
По мере развития угроз необходимо использовать подобные стандарты для подтверждения легитимности электронной почты и предотвращения рисков. Благодаря строгим настройкам, соответствующим этим лучшим практикам, организации могут доверять своей веб-почте.