Defaults.Exposed › Виправлення › DMARC (Email Spoofing Protection)

Як виправити DMARC (Email Spoofing Protection)

DMARC — це єдине налаштування, що фактично каже поштовим провайдерам усього світу БЛОКУВАТИ листи, що підробляють ім'я вашого бізнесу. SPF і DKIM перевіряють замки; DMARC вирішує, що відбувається, коли підробка не проходить перевірку — викидати, позначати або пропускати. Встановлений неправильно, ваш домен повністю підроблюється; встановлений правильно, видавання себе зупиняється на вхідній скриньці.

Висновок для вашого бізнесу: Без примусового виконання DMARC злочинець може надсилати пошту, що виглядає точно так, ніби вона прийшла від вашого бізнесу — вашим клієнтам, персоналу та постачальникам — і вона потрапляє до їхньої вхідної скриньки, а не в спам. Людей шахрують від вашого імені, і вони звинувачують вас.

Що це може вам коштувати

Шахрай надсилає вашому клієнту справжній рахунок-фактуру 'від вашої бухгалтерської команди' з власними банківськими реквізитами. Клієнт оплачує. Ви дізнаєтесь тижнями пізніше, коли вони слідкують за товаром, за який вже заплатили — і вони тримають вас відповідальним.
Підроблений «терміновий платіж» надсилається вашому фінансовому фахівцю, що виглядає ніби від вас, власника. Вони переказують гроші до того, як хтось думає перевірити — і як тільки вони потрапляють на рахунок злочинця, майже ніколи не повертаються.
IT-команда великого потенційного клієнта проводить перевірку безпеки вашого домену перед підписанням. Вона повертається 'пошта незахищена — може бути підроблена'. Ви втрачаєте угоду на конкурента, чий домен пройшов.
Ваш домен використовується у фішинговій хвилі. Клієнти, яких обманули, залишають злі відгуки та попереджають інших. Репутаційна шкода переживає атаку на місяці.
Навіть ваша справжня пошта починає потрапляти в спам, бо Google і Yahoo все більше не довіряють — і тепер іноді відхиляють — домени без примусового DMARC.

Чому це важливо. Пошту ніколи не будували для підтвердження того, хто насправді відправив, тому підробка адреси 'from' є тривіальною. DMARC — єдиний засіб управління, що перетворює 'ми можемо виявити підробки' на 'підробки блокуються' — і він також дає вам щоденні звіти, що розкривають, хто надсилає пошту як ваш бренд. Великі постачальники поштових скриньок тепер ставляться до відсутньої або непримусової DMARC-політики як до сигналу недовіри проти вас, тому це також впливає на доставку вашої власної пошти.

Що таке DMARC простими словами

У пошти є брудний секрет: рядок «from» — це просто введений текст. Будь-хто, де завгодно, може написати ваше бізнесове ім’я та адресу в поле «from» листа і відправити його. Інтернет ніколи не був спроектований для зупинки цього.

Є три налаштування, що разом це виправляють. Уявіть їх як охорону будівлі:

SPF — список того, кому дозволений вхід через головні двері (які поштові сервіси можуть надсилати від вашого імені).
DKIM — захищена від підробки печатка, що доводить, що повідомлення не було змінено в дорозі.
DMARC — охоронець, що перевіряє список і печатку — і, що важливо, вирішує, що робити, коли вони не відповідають: пропустити, відправити в спам або відкинути на вході.

У вас може бути список (SPF) і печатка (DKIM) і все одно не мати охоронця. Це найпоширеніша і найнебезпечніша ситуація: замки існують, але ніщо їх не виконує. DMARC — це виконання. Це різниця між «ми можемо сказати, що цей лист є підробкою» і «цей підроблений лист ніколи не досягає вашого клієнта».

Що це може коштувати вам

Це не теоретично. Ось конкретні способи, якими незахищений домен перетворюється на реальні гроші та реальну шкоду:

Шахрайство з підробленими рахунками-фактурами. Злочинець надсилає вашому клієнту те, що виглядає точно як справжній рахунок від вашої бухгалтерської команди — те саме ім’я, той самий домен, професійний макет — але з власними банківськими реквізитами. Оскільки ваш домен не виконується, він потрапляє до вхідної скриньки, а не в спам. Клієнт платить. Ви дізнаєтеся тижнями пізніше, коли вони запитують, де їхнє замовлення. Гроші зазвичай зникли, і клієнт часто тримає вас відповідальним за порушення.
Переказ через шахрайство CEO. Лист виглядає ніби від вас, власника, вашому фінансовому фахівцю: «Чи можете ви провести цей платіж терміново, я на нараді». Він виглядає абсолютно реальним, бо є вашою адресою — лише підробленою. Платіж виходить. Цей шаблон — Business Email Compromise — є одним з найдорожчих шахрайств, що вдаряє по малому бізнесу, саме тому що лист справді приходить з вашого власного домену, тому він пливе прямо повз підозру.
Втрачений контракт. Серйозний потенційний клієнт проводить перевірку безпеки або закупівель перед підписанням. Їхній інструмент повідомляє ваш домен як «підроблюваний — без виконання аутентифікації пошти». Один цей червоний прапор може бути достатнім для присудження контракту конкуренту, чий домен пройшов. Ви ніколи не чуєте реальної причини.
Репутаційний удар, який не можна скасувати. Ваш домен потрапляє у фішингову кампанію. Десятки людей, яких обманули у вашому імені, публікують попередження та відгуки. Атака триває тиждень; питання «чи безпечна ця компанія взагалі?» тримається місяцями.
Ваша власна пошта потрапляє в спам. Google і Yahoo тепер активно не довіряють доменам без виконаного DMARC. Комерційні пропозиції, рахунки та відповіді, що ви справді відправили, починають тихо потрапляти до папок спаму. Угоди зависають і ви ніколи не дізнаєтеся чому.

Що це насправді є (і як виглядає «добре»)

DMARC знаходиться як єдиний рядок тексту в налаштуваннях вашого домену — DNS «TXT»-запис, опублікований за спеціальним іменем _dmarc.yourdomain. Всередині — кілька коротких інструкцій. Дві з них мають найбільше значення, і вони — саме ті дві речі, що перевіряє ця оцінка.

1. Політика (p=) — наказ охоронця. Це та частина з найбільшою вагою. Може бути однією з трьох речей:

p=none — лише спостерігати. Охоронець відзначає, хто пройшов, але нікого не зупиняє. Це не захищає вас ні від чого; це стадія моніторингу, а не завершене налаштування. (Наш движок оцінює це як збій — краще, ніж відсутній DMARC, але не захист.)
p=quarantine — відправляти підробки в спам. Реальний захист, але рішучий зловмисник розраховує на те, що люди перевіряють папку спаму. Розумний проміжний крок — він приносить приблизно половину балів.
p=reject — відмовити підробкам на вході. Підроблений лист ніколи не доставляється. Це єдине налаштування, що повністю захищає вас і приносить повні бали.

Як виглядає «добре»: p=reject. Все менше залишає прогалину.

Дві технічні деталі, що наша перевірка також розглядає, варті знати, щоб вас не спіймали зненацька:

Політика піддомену (sp=). Ви можете встановити сильну політику для вашого основного домену, але випадково залишити піддомени (наприклад, mail.yourdomain або news.yourdomain) широко відкритими. Наш движок жорстко штрафує це — домен з p=reject, але sp=none, оцінюється близько до відсутності виконання взагалі, бо зловмисники просто підробляють піддомен натомість. Гарна практика — дозволити sp успадковувати вашу сильну основну політику, або встановити його явно на reject.
Відсоток (pct=). Під час ретельного розгортання ви можете застосовувати виконання лише до частини пошти (наприклад, pct=25). Це легітимний інструмент переходу, але часткове розгортання дає лише частковий захист, і наша оцінка відображає це — вона поступово зростає, коли ви переходите від 25% до 100%, але повні бали потребують повного охоплення.

2. Адреса звітування (rua=) — ваша видимість. Це друга перевірка на цій сторінці. Тег rua= просить кожного постачальника пошти у світі надсилати вам щоденне резюме того, хто намагався надіслати пошту як ваш домен — ваші власні системи і будь-які зловмисники. Без нього ви літаєте наосліп: ви не маєте уявлення, хто зловживає вашим іменем. З ним компанії рутинно виявляють від 5 до 50 несанкціонованих відправників у перший день.

Як виглядає «добре» для звітування: дійсна адреса rua=mailto: (або URL-адреса сервісу звітування https:), що насправді отримує звіти. Наша перевірка підтверджує формат — помилковий або неправильно сформований адресат означає, що звіти тихо нікуди не йдуть, що оцінюється як частковий або провалений результат, навіть якщо тег технічно «присутній».

Як це виправити (безкоштовно, ~30 хвилин протягом двох тижнів)

Передайте цей розділ тому, хто керує вашим доменом, сайтом або IT — виправлення абсолютно безкоштовне. Ми беремо плату лише за моніторинг того, що воно залишається правильним з часом, за управління портфоліо доменів або за аудит. Сама зміна нічого не коштує.

Золоте правило: ніколи не переходьте прямо до reject. Спочатку вмикайте моніторинг, спостерігайте за звітами, підтверджуйте, що ваша справжня пошта розпізнана, потім посилюйте. Зроблене в такому порядку це безпечно; зроблене поспіхом це може заблокувати вашу власну пошту.

Крок 1 — Спочатку переконайтеся, що SPF і DKIM на місці. DMARC покладається на них. Якщо будь-який відсутній, спочатку налагодьте їх перед виконанням DMARC (дивіться сторінки SPF і DKIM).

Крок 2 — Опублікуйте моніторинговий запис з увімкненим звітуванням. Додайте DNS TXT-запис:

Хост / ім’я: _dmarc.yourdomain (ваш DNS-провайдер може показувати це просто як _dmarc)
Тип: TXT
Значення: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Це спостерігає і звітує без блокування будь-чого поки. Частини adkim=s; aspf=s запитують суворе вирівнювання — залиште їх спочатку, якщо не впевнені, і додайте, як тільки ваша пошта підтверджена чистою.

Крок 3 — Читайте звіти ~2 тижні. Сирі DMARC-звіти є щільними XML. Використовуйте безкоштовний сервіс звітування (наприклад, dmarcian або безкоштовний інструмент DMARC від Postmark) для перетворення їх на читаний дашборд. Підтверджуйте, що кожен легітимний відправник — ваш постачальник поштових скриньок, інструмент розсилки, CRM, довідкова служба, застосунок виставлення рахунків — проходить. Виправляйте будь-якого справжнього відправника, що не проходить.

Крок 4 — Переходьте до quarantine. Як тільки ваша справжня пошта чиста, змініть p=none на p=quarantine. Спостерігайте ще кілька днів.

Крок 5 — Переходьте до reject. Нарешті змініть p=quarantine на p=reject. Тепер ви повністю захищені. Фінальний запис виглядає так:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Крок 6 — Не забудьте піддомени. Переконайтеся, що ви не залишили sp=none на місці. Якщо ви взагалі не публікуєте sp, піддомени успадковують вашу основну p= політику, що і є тим, що вам потрібно.

Примітки для поширених платформ:

Google Workspace / Microsoft 365: Обидва повністю підтримують DMARC. Сам DMARC-запис іде у вашого DNS-провайдера, а не в консоль адміністратора Google або Microsoft — переконайтеся, що SPF і DKIM увімкнені в консолі адміністратора спочатку, потім публікуйте DMARC TXT-запис у вашого реєстратора/DNS-хосту.
Cloudflare: DNS > Records > Add record > TXT, ім’я _dmarc, вставте значення. Cloudflare також пропонує вбудоване управління DMARC, що може налаштувати це і збирати звіти для вас.
Звичайні хости / реєстратори: Шукайте «DNS», «DNS Zone» або «Advanced DNS», додайте TXT-запис з іменем _dmarc і значенням вище. Поширення зазвичай займає від кількох хвилин до години.

Поширені помилки

Зупинка на p=none. Найпоширеніша помилка на сьогодні. Моніторинг — це початок, а не кінець — домен, що застряг на none, все ще повністю підроблюється. Наш движок оцінює це як збій саме з цієї причини.
Перехід прямо до reject без моніторингу. Протилежна помилка. Без стадії звітування ви можете не усвідомити, що легітимний відправник (часто інструмент розсилки або виставлення рахунків) не вирівняний — і ви почнете блокувати власну пошту.
Забуття політики піддомену. Сильне p=reject з sp=none залишає бічні двері широко відкритими; зловмисники просто підробляють піддомен натомість.
Зламана адреса звітування. Помилковий rua= (або такий, що пропускає префікс mailto:) означає, що звіти нікуди не йдуть і ви залишаєтеся наосліп, не усвідомлюючи цього. Формат має бути дійсним mailto: або https: URI, або звіти ніколи не доставляються.
«Ми не надсилаємо пошту, тому пропустимо». Домен, що не надсилає, — першокласна ціль саме тому, що ніхто не стежить за нею. Публікуйте суворе правило reject для повного блокування.

Примітка про оцінювання

Перевірка політики (p=) є одним з найважче-зважених пунктів у всій оцінці — бо це єдиний найбільший фактор того, чи може ваш бізнес бути підробленим. reject приносить повну оцінку; quarantine приносить приблизно половину; none і відсутній запис оцінюються як збої. Слабша політика піддомену або часткове розгортання pct= тягнуть оцінку вниз, щоб відповідати реальному рівню захисту, що ви насправді маєте.

Перевірка звітування (rua=) також несе реальну вагу, але думайте про неї менше як про прапорець для встановлення і більше як про інструмент, що дозволяє вам досягти reject безпечно. Налаштуйте його одночасно з вашим моніторинговим записом, і він окупить себе в видимості вже в перший день.

Налаштуйте на своєму хості

Покроково для популярних провайдерів:

FAQ

Я зовсім не технічний — чи це те, з чим я насправді можу розібратися?

Так, але вам не потрібно робити це особисто. Виправлення — кілька рядків, доданих до налаштувань вашого домену, і це безкоштовно. Найпростіший шлях — переслати розділ «Як це виправити» нижче тому, хто запускає ваш сайт або IT-підтримку. Зазвичай це займає у них менше години, розподіленої протягом кількох тижнів безпечного моніторингу.

Чи вмикання DMARC випадково зупинить доставку моїх власних листів?

Може — але лише якщо ви пропустите безпечне розгортання. Весь сенс початку з 'лише моніторинг' (p=none) з увімкненим звітуванням — це спостерігати протягом двох тижнів і підтверджувати, що кожен легітимний відправник (ваша поштова скринька, ваш інструмент розсилки, ваш застосунок виставлення рахунків) правильно розпізнаний ДО того, як ви переключаєтесь на блокування. Зроблене в такому порядку, ваша справжня пошта не постраждає. Поспіх прямо до 'reject' без перевірки звітів — єдина поширена помилка, що ламає доставку.

У мене вже налаштовані SPF і DKIM. Хіба цього не достатньо?

Ні — і це найважливіший момент для розуміння. SPF і DKIM — замки; DMARC — інструкція, що говорить 'якщо замки не відповідають, відмовте в листі'. Без DMARC при 'reject', отримуючий сервер може помітити, що лист є підробкою, і все одно доставити його. SPF і DKIM є передумовами для роботи DMARC, але самі по собі вони не зупиняють підроблений лист від потрапляння до вхідної скриньки.

Яка різниця між 'none', 'quarantine' і 'reject'? Що мені потрібно?

'none' лише спостерігає і звітує — він нічого не зупиняє, тому він не захищає вас. 'quarantine' відправляє підробки до папки спам. 'reject' відхиляє їх повністю, тому вони ніколи не надходять. 'reject' — це мета і єдине налаштування, що приносить повні бали. 'quarantine' є розумним проміжним кроком; 'none' — відправна точка для перших кількох тижнів, а не кінцева.

Що таке 'rua'-звітування, і чи воно мені потрібне?

Тег rua просить постачальників пошти надсилати вам щоденне резюме кожної системи, що намагалася надіслати пошту як ваш домен — включно зі злочинцями. Саме так компанії дізнаються про 5-50 несанкціонованих відправників, що зазвичай зловживають доменом у перший день. Само по собі воно несе менше ваги, ніж політика, але саме так ви безпечно переходите до 'reject' без ламання реальної пошти, тому налаштуйте його одночасно.

Ми мало або зовсім не надсилаємо пошту з цього домену. Нам все одно потрібен DMARC?

Особливо тоді. Домен, що надсилає мало або жодної справжньої пошти, є ідеальною, малошумною ціллю для злочинців для видавання себе, бо ніхто не стежить. Домен, з якого ви ніколи не надсилаєте пошту, повинен публікувати суворе правило reject — це чиста, малоризикова перемога, що повністю зачиняє двері.