Безопасность электронной почты имеет критическое значение в современной цифровой среде, и одним из самых эффективных способов защитить ваш домен от использования в спам-атаках или фишинге является настройка записей SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance) в вашей системе DNS. Эти протоколы аутентификации электронной почты помогают убедиться, что только легитимные отправители электронной почты могут использовать ваше доменное имя, повышая доверие к вашим письмам и защищая ваш бренд от мошеннических действий.

Эта статья в базе знаний предоставляет подробное руководство по настройке записей SPF, DKIM и DMARC в DNS, а также объясняет, как эти механизмы работают для повышения безопасности электронной почты.

Что такое SPF, DKIM и DMARC?

SPF (Sender Policy Framework)
SPF — это протокол аутентификации электронной почты, используемый для проверки, что отправляющий почтовый сервер имеет разрешение от администраторов домена на отправку писем от имени домена. Он помогает предотвратить подделку электронной почты, что является распространенным методом фишинг-атак.

SPF работает, проверяя IP-адрес отправителя по списку разрешенных отправляющих IP-адресов, опубликованных в DNS-записях домена. Если IP-адрес отправляющего сервера не находится в списке, письмо помечается как подозрительное и с большей вероятностью будет отклонено или помечено как спам.

Как работает SPF:

1. Отправляющий почтовый сервер включает домен в заголовок "MAIL FROM".
2. Почтовый сервер получателя запрашивает записи SPF домена в DNS.
3. Если IP-адрес отправителя совпадает с разрешенными IP-адресами в записи SPF, письмо принимается. В противном случае оно отклоняется или помечается как спам.

DKIM (DomainKeys Identified Mail)
DKIM — это еще один метод аутентификации электронной почты, который использует криптографические подписи для проверки, что сообщение действительно отправлено с заявленного домена. DKIM позволяет серверу получателя убедиться, что содержимое письма не было изменено при передаче, и что оно действительно отправлено с домена, с которым оно связано.

С помощью DKIM почтовый сервер отправителя использует закрытый ключ для подписи исходящих писем. Соответствующий открытый ключ публикуется в DNS-записях домена. Когда письмо получено, почтовый сервер получателя использует открытый ключ для проверки подписи письма.

Как работает DKIM:

1. Почтовый сервер отправителя генерирует криптографическую подпись для письма с использованием закрытого ключа.
2. В заголовке письма содержится подпись DKIM, которая представляет собой хэш-сумму содержимого сообщения.
3. Почтовый сервер получателя использует открытый ключ, хранящийся в DNS, чтобы проверить, что подпись совпадает с содержимым письма и заголовком.
4. Если подпись действительна, это подтверждает, что письмо не было изменено в процессе передачи и отправлено авторизованным отправителем.

DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC — это рамочная политика, которая строится на SPF и DKIM, обеспечивая более надежную защиту от подделки электронной почты. DMARC помогает владельцам доменов указать, как должны обрабатываться письма, не прошедшие проверки SPF или DKIM, а также предоставляет механизм отчетности о сбоях аутентификации.

С помощью DMARC владельцы доменов могут указать почтовым серверам получателей, что делать с письмами из их домена, если те не прошли проверку SPF или DKIM. Кроме того, DMARC предоставляет агрегированные и форензические отчеты, которые помогают владельцам доменов отслеживать эффективность их безопасности электронной почты.

Как работает DMARC:

1. Владелец домена создает запись DMARC в DNS, указывая политику (например, отклонить, поместить в карантин или ничего не делать) для обработки писем, не прошедших проверки SPF или DKIM.
2. Когда письмо получено, почтовый сервер получателя проверяет результаты SPF и DKIM.
3. Почтовый сервер применяет политику, определенную владельцем домена в записи DMARC.
4. Если письмо не прошло проверку SPF или DKIM, политика DMARC решает, отклонить ли письмо, поместить ли его в карантин или принять.
5. Сервер получателя отправляет отчет владельцу домена о результатах проверки DMARC.

Настройка записей SPF, DKIM и DMARC в DNS

Настройка SPF
Записи SPF добавляются в настройки DNS вашего домена как TXT-запись. Запись SPF определяет, какие почтовые серверы имеют право отправлять письма от имени вашего домена.

Шаги для создания записи SPF:

1. Войдите в консоль управления вашего поставщика DNS.
2. Найдите раздел настроек DNS для вашего домена.
3. Добавьте TXT-запись для SPF. Пример записи SPF может выглядеть следующим образом: v=spf1 include:spf.mydomain.com ~all

Пример записи SPF:

• v=spf1: указывает версию SPF 1.
• include:spf.mydomain.com: указывает другой домен, который имеет право отправлять электронную почту от имени вашего домена.
• ~all: указывает на мягкий отказ для всех почтовых серверов, которые не явно авторизованы (т.е. пометить как спам).

Настройка DKIM

Чтобы настроить DKIM, необходимо сгенерировать пару открытого/закрытого ключей, при этом закрытый ключ используется сервером электронной почты для подписания исходящих сообщений, а открытый ключ публикуется в DNS-записях.

Шаги для создания записи DKIM:

1. Сгенерируйте пару ключей DKIM.
2. Добавьте открытый ключ в ваши DNS-записи как TXT-запись.
3. Обновите настройки вашего почтового сервера, чтобы подписывать исходящие письма с помощью закрытого ключа.

Настройка DMARC

После настройки SPF и DKIM, вы можете настроить DMARC для применения вашей политики аутентификации электронной почты.

Шаги для создания записи DMARC:

1. Создайте TXT-запись в DNS для поддомена _dmarc. Пример записи DMARC: v=DMARC1; p=reject; rua=mailto:dmarc-reports@mydomain.com

2. Сохраните и примените запись.

Ошибки и устранение неполадок при настройке SPF, DKIM и DMARC

Ошибки SPF

• Проблема: Письма помечаются как спам, несмотря на наличие записи SPF.
• Решение: Проверьте, что все отправляющие IP-адреса включены в вашу запись SPF.

Ошибки DKIM

• Проблема: Письма не проходят проверку DKIM.
• Решение: Убедитесь, что публичный ключ DKIM в DNS совпадает с закрытым ключом, используемым вашим почтовым сервером.

Ошибки DMARC

• Проблема: Отчеты DMARC показывают ошибки аутентификации для писем, которые должны пройти проверку.
• Решение: Проверьте конфигурацию SPF и DKIM и убедитесь, что оба метода аутентификации правильно настроены для домена в заголовке "From".

Часто задаваемые вопросы по настройке SPF, DKIM и DMARC в DNS

1. Что такое SPF и почему это важно? SPF (Sender Policy Framework) — это протокол аутентификации электронной почты, который предотвращает несанкционированную отправку писем от вашего домена. Это важно для снижения случаев подделки электронной почты и фишинг-атак.

2. Как создать запись SPF для моего домена? Чтобы создать запись SPF, добавьте TXT-запись в настройки DNS вашего домена. Запись должна указать, какие почтовые серверы могут отправлять письма от имени вашего домена.

3. Что такое DKIM и как это работает? DKIM (DomainKeys Identified Mail) добавляет криптографическую подпись к исходящим письмам, чтобы подтвердить подлинность письма и гарантировать, что оно не было изменено в процессе передачи.

4. Как настроить DMARC для моего домена? Чтобы настроить DMARC, создайте TXT-запись в DNS для поддомена _dmarc.

Электронная коммерция
Транзакционные письма: Платформы электронной коммерции используют SPF, DKIM и DMARC для защиты подтверждений заказов, сбросов паролей и обновлений статуса заказов от подделки.
Защита бренда: Используя эти DNS-записи, компании электронной коммерции могут снизить риск фишинговых атак, которые могут повредить их репутации.
Цифровой маркетинг и поставщики услуг электронной почты (ESP)
Доставляемость писем: ESP и цифровые маркетологи используют настройки SPF, DKIM и DMARC DNS, чтобы гарантировать, что их рекламные кампании доходят до папки "Входящие", а не помечаются как спам.
Отслеживание кампаний: Эти записи также помогают отслеживать эффективность писем через отчеты DMARC, гарантируя, что кампании проходят правильную аутентификацию и соответствуют требованиям.
Крупные предприятия и организации
Соответствие стандартам безопасности: Крупные предприятия с масштабными операциями по отправке электронной почты внедряют SPF, DKIM и DMARC для соблюдения стандартов безопасности и обеспечения подлинности писем на различных платформах и в различных департаментах.
Безопасность электронной почты: Крупные организации используют эти записи для предотвращения подделки, фишинга и других вредоносных атак на свою инфраструктуру электронной почты.
Государственные учреждения
Конфиденциальная переписка: Государственные учреждения используют SPF, DKIM и DMARC для защиты писем, содержащих конфиденциальную информацию, такую как налоговые декларации, результаты выборов или юридические уведомления.
Соответствие нормативным требованиям: Некоторые государственные департаменты требуют строгого соблюдения стандартов безопасности электронной почты, что делает настройку SPF, DKIM и DMARC жизненно важной.
Платформы SaaS и облачные сервисы
Связь с клиентами: Платформы SaaS и облачные сервисы часто общаются с пользователями по электронной почте (сброс пароля, обновления, уведомления). Обеспечение аутентификации этих писем помогает поддерживать целостность бренда и доверие.
Автоматизированная безопасность писем: Платформы SaaS интегрируют SPF, DKIM и DMARC для своих пользователей, чтобы гарантировать защиту всех автоматизированных писем от подделки.
Финансовые учреждения
Предотвращение фишинга: Банки и финансовые учреждения используют SPF, DKIM и DMARC для предотвращения мошеннического использования своих доменов в фишинговых атаках, нацеленных на клиентов.
Соответствие нормативным требованиям: Финансовые организации часто должны соблюдать строгие регуляции по безопасности электронной почты, и эти протоколы помогают поддерживать соответствие.
Некоммерческие и благотворительные организации
Связь с донорами: Некоммерческие организации используют записи SPF, DKIM и DMARC, чтобы гарантировать, что их письма (такие как квитанции о пожертвованиях или новостные рассылки) доходят до папки "Входящие" и не перехватываются или подделываются.
Защита бренда: Некоммерческие организации хотят защитить свой домен от злоумышленников, которые могут выдать себя за них и использовать их репутацию в своих целях.
Технические проблемы с настройкой кастомных SPF, DKIM и DMARC записей
Проблемы с записями SPF
Проблема: Письма с вашего домена помечаются как спам, несмотря на правильно настроенные записи SPF.
Причина: SPF запись может не содержать определенных отправляющих почтовых серверов или может быть синтаксическая ошибка.
Решение: Проверьте синтаксис SPF записи с помощью инструмента, например, MXToolbox. Убедитесь, что все авторизованные серверы указаны в записи SPF и что запись не превышает лимит в 255 символов.
Ошибки верификации DKIM
Проблема: Письма отклоняются из-за ошибок в проверке подписи DKIM.
Причина: Публичный ключ DKIM в DNS не совпадает с приватным ключом, используемым вашим почтовым сервером, или выбран неправильный селектор DKIM.
Решение: Убедитесь, что селектор DKIM и публичный ключ в DNS настроены правильно. Используйте инструмент проверки DKIM, например DKIMCore, чтобы выявить возможные ошибки.
Политика DMARC не работает
Проблема: Отчеты DMARC показывают неудачные письма, хотя политика установлена на "отклонить".
Причина: DMARC требует, чтобы как SPF, так и DKIM соответствовали домену "From". Если один из этих проверок не проходит или не совпадает, DMARC не будет применяться, как ожидается.
Решение: Убедитесь, что как SPF, так и DKIM записи соответствуют домену "From". Для более строгого выполнения политики измените параметр "p" в записи DMARC с “none” на “quarantine” или “reject”.
Отсутствующие или некорректные DNS-записи
Проблема: Записи SPF, DKIM или DMARC отсутствуют, что вызывает проблемы с доставкой писем.
Причина: DNS-записи могли быть неправильно добавлены или не успели распространиться.
Решение: Проверьте, что все необходимые DNS-записи правильно добавлены в консоль управления DNS. Используйте инструменты проверки DNS, такие как What’s My DNS, чтобы проверить распространение.
Проблемы с длиной ключа DKIM и алгоритмом
Проблема: Подписи DKIM не проходят верификацию, потому что длина ключа слишком короткая или используемый алгоритм хеширования не поддерживается.
Причина: Некоторые получающие серверы могут требовать минимальной длины ключа (2048 бит) или конкретных алгоритмов хеширования.
Решение: Создайте новую пару ключей DKIM с длиной ключа не менее 2048 бит и используйте широко поддерживаемый алгоритм хеширования (например, SHA256).
Запись SPF слишком длинная (превышение лимита на DNS-запросы)
Проблема: Записи SPF слишком длинные или превышают лимит на 10 DNS-запросов, что вызывает проблемы с верификацией.
Причина: В записи SPF слишком много механизмов "include" или IP-адресов.
Решение: Оптимизируйте запись SPF, удалив ненужные элементы или используя поддомены для разбивки длинных записей SPF.
Отчеты DMARC показывают высокие показатели ошибок
Проблема: Отчеты DMARC показывают, что значительная часть писем не прошла аутентификацию.
Причина: Письма могут отправляться с неавторизованных серверов, или адрес “From” может не совпадать с доменом в проверке SPF/DKIM.
Решение: Проанализируйте отчеты DMARC, чтобы выявить ошибки конфигурации. Обновите записи SPF и DKIM, чтобы включить все авторизованные серверы и обеспечить соответствие домену “From”.
Задержки в распространении DNS
Проблема: Новые записи SPF, DKIM или DMARC не отображаются сразу.
Причина: DNS-записи требуют времени для распространения по интернету.
Решение: Подождите до 48 часов, чтобы изменения в DNS распространились. Используйте инструменты проверки DNS, такие как DNSstuff или MXToolbox, чтобы проверить статус распространения.
Несоответствие SPF/DKIM/DMARC
Проблема: Письма проходят проверку SPF или DKIM, но не соответствуют политике DMARC.
Причина: DMARC требует, чтобы домен в заголовке "From" соответствовал домену, используемому в проверке SPF или DKIM.
Решение: Убедитесь, что проверки SPF и DKIM соответствуют домену в поле “From” и, при необходимости, настройте записи.
Ошибки SPF с третьими сторонами
Проблема: Письма, отправленные через сторонние почтовые сервисы (например, Mailchimp, Google Workspace), не проходят проверки SPF.
Причина: Сторонние сервисы не включены в запись SPF, что вызывает ошибку аутентификации.
Решение: Добавьте механизм "include" стороннего сервиса отправки в вашу запись SPF (например, include:_spf.mailchimp.com для Mailchimp).
Технические часто задаваемые вопросы по настройке кастомных SPF, DKIM и DMARC записей

В чем разница между SPF, DKIM и DMARC?
SPF аутентифицирует отправителей электронной почты, проверяя их IP-адреса.
DKIM использует криптографические подписи для обеспечения целостности содержания письма.
DMARC комбинирует SPF и DKIM, позволяя владельцам доменов устанавливать правила обработки писем, не прошедших аутентификацию.
Как настроить SPF для моего домена?
Для настройки SPF создайте запись TXT в настройках DNS вашего домена. Запись будет содержать список почтовых серверов, которым разрешено отправлять письма от имени вашего домена, например:

v=spf1 include:spf.example.com -all
Как настроить DKIM для аутентификации электронной почты?
Создайте пару ключей DKIM (приватный/публичный). Добавьте публичный ключ как запись TXT в DNS с соответствующим селектором. Ваш почтовый сервер будет подписывать исходящие письма с приватным ключом.

Что такое политика DMARC и как ее настроить?
DMARC определяет, как получающие почтовые серверы должны обрабатывать письма, не прошедшие проверки SPF или DKIM. Для настройки создайте запись TXT с политикой, например:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@mydomain.com
Можно ли использовать DKIM с третьими почтовыми провайдерами?
Да, многие сторонние почтовые провайдеры (например, Google, Office 365) поддерживают DKIM. Вам нужно будет создать пару ключей DKIM и добавить публичный ключ в записи DNS.

Почему мои письма не проходят проверки SPF, несмотря на корректную запись SPF?
Обычные причины включают отсутствующие IP-адреса или неправильные доменные имена в записи SPF. Используйте инструменты проверки SPF для проверки и исправления проблем.

Как часто я должен проверять и обновлять свои записи SPF, DKIM и DMARC?
Регулярно проверяйте свои записи, особенно после добавления новых почтовых сервисов или изменений в инфраструктуре почты. Лучше всего это делать хотя бы раз в квартал или когда вы добавляете новый источник отправки.

Могу ли я использовать разные политики для разных поддоменов с DMARC?
Да, DMARC позволяет устанавливать разные политики для поддоменов с помощью тега “sp”. Например:

v=DMARC1; p=reject; sp=none;
Что такое отчет DMARC и как его читать?
Отчет DMARC предоставляет обратную связь о том, как ваши письма прошли проверки SPF и DKIM. Он содержит информацию о результатах аутентификации, чтобы вы могли выявить неавторизованные источники почты.

Почему DMARC требует, чтобы как SPF, так и DKIM соответствовали?
DMARC делает аутентификацию электронной почты более надежной, проверяя как SPF, так и DKIM. Если один из этих методов не проходит, это может привести к отклонению или помещению письма в карантин в зависимости от политики.