DKIM vs SPF vs DMARC! В чем разница?

Если вы слышали термины DKIM, SPF или DMARC вы или ваша организация, скорее всего, используете домен с механизмами аутентификации электронной почты или планируете их внедрить.

Когда мы говорим «аутентификация электронной почты», это означает проверку легитимности и оригинальности письма, чтобы его можно было отличить от поддельных писем. SPF, DKIM и DMARC – это три метода проверки подлинности электронной почты, которые показывают, что домен (например, «itshaman.ru») серьезно относится к своей онлайн-безопасности, позволяя только легитимным письмам попадать в почтовый ящик и отклоняя или фильтруя остальные.Хотя это не так важно, полные формы этих аббревиатур следующие:

  • SPF: Sender Policy Framework
  • DKIM: DomainKeys Identified Mail
  • DMARC: Domain-based Message Authentication Reporting And Conformance

Вам не нужно запоминать эти полные названия, а только аббревиатуру, чтобы знать, какой метод за что отвечает.

SPF и DKIM – это идентификаторы, то есть они определяют, является ли письмо подлинным или нет. Однако эти методы не обладают полномочиями принимать решение на основе результатов аутентификации. DMARC, с другой стороны, отвечает за обработку писем, которые не удалось проверить на подлинность, то есть те, которые не прошли проверку.

Все эти три столпа безопасности электронной почты работают вместе, чтобы повысить безопасность электронной почты для вашего домена и, в свою очередь, для вашей организации. Хакеры притворяющиеся частью вашего домена или выдающие себя за кого-то другого, легко отсеиваются автоматически при наличии этих трех методов аутентификации электронной почты.

Давайте я объясню вам, как работают SPF, DKIM и DMARC, чтобы вы лучше поняли эту комбинацию аутентификации электронной почты. Перед этим я хочу, чтобы вы вспомнили аналогию с физическим письмом и конвертом, как в старые добрые времена. Хотя она устарела, это идеальный пример для развития понимания того, как работает аутентификация электронной почты.

Как работает SPF?

Функция SPF заключается в проверке того, разрешено ли почтовому серверу-отправителю отправлять электронные письма на определенный домен. Думайте об этом как о вышибале на вечеринке – если вашего имени нет в списке, вас не пустят.

Записи SPF – это TXT-записи, хранящиеся на DNS-сервере. Когда почтовый сервер отправляет письмо, например, на адрес «itshaman.ru», принимающий почтовый сервер выполняет две задачи:

  1. Смотрит заголовок конверта и видит, с какого домена пришло письмо, и
  2. Выполняет поиск DNS SPF и проверяет, есть ли домен отправителя в списке разрешенных.

Если два доменных имени совпадают, проверка SPF проходит, и письмо попадает в почтовый ящик получателя. Такая проверка подлинности известна как SPF-выравнивание.

Как работает DKIM

В то время как SPF фокусируется на домене отправителя, написанном на конверте, DKIM фокусируется на проверке того, не было ли подделано содержимое письма (электронной почты) внутри конверта. Это проверяется с помощью цифровой подписи.

Когда письмо отправляется, почтовый сервер добавляет зашифрованную цифровую подпись с помощью закрытого ключа. Этот ключ встраивается в заголовок письма, известный как DKIM-заголовок.

Когда письмо попадает на почтовый сервер-получатель, он выполняет следующие 3 задачи. Обратите внимание, что эти задачи выполняются в указанном порядке, поскольку одна зависит от другой:

  1. Просмотреть домен входящего письма.
  2. Выполнить поиск DNS DKIM для домена и получить открытый ключ, и
  3. Расшифровать цифровую подпись для аутентификации.

Если цифровая подпись совпадает с подписью домена-отправителя, письмо проходит проверку DKIM, и оно попадает в почтовый ящик получателя. Однако если подпись не совпадает, или запись DKIM не найдена, или не существует подходящей записи DKIM для связанного закрытого ключа, письмо будет либо отклонено, либо отмечено и отправлено в папку спама.

Как работает DMARC

DMARC работает поверх технологий SPF и DKIM и отвечает за обработку неаутентифицированных писем. Он использует проверки SPF и DKIM в качестве индикаторов, а затем принимает решение на основе полученных результатов.

Если DNS-записи DMARC существуют, они указывают почтовому серверу, как обрабатывать письма. Они либо ничего не делают и пропускают письма, либо отправляют их в папку спама получателя, либо вообще отклоняют письмо.

Более того, записи DMARC также используются для создания отчетов о неаутентифицированных письмах, что, в свою очередь, помогает еще больше усилить безопасность электронной почты.

Как хранятся записи SPF, DKIM и DMARC?

Сервер доменных имен (DNS) хранит записи для SPF, DKIM и DMARC. Это TXT (текстовые) записи, хранящиеся со специальными инструкциями с помощью механизмов, квалификаторов, тегов и других значений. Более того, DNS-записи DKIM и DMARC должны иметь специальные имена, которые помогают почтовым серверам идентифицировать их.

Не только это, но и значения для тегов и механизмов также имеют различные варианты. В любом случае, эти записи выглядят примерно так:

Обратите внимание, что заголовок конверта нельзя увидеть; только заголовок электронной почты.

После открытия заголовка электронной почты может быть трудно найти информацию об аутентификации электронной почты. Это похоже на поиск иголки в стоге сена. Информацию DKIM, SPF и DMARC можно увидеть следующим образом:

Если у вас возникли проблемы с поиском этой информации, вы можете воспользоваться сочетанием клавиш CTRL + F для поиска информации DMARC, DKIM или SPF.

Тем не менее, как видно на изображении выше, «pass» после equals-to означает, что это конкретное письмо прошло все три проверки подлинности электронной почты, а значит, оно должно попасть в мой почтовый ящик (что и произошло).

Настройка записей SPF, DKIM, DMARC

SPF, DKIM и DMARC могут быть настроены администраторами DNS для вашего домена. Там вы должны добавить TXT-запись, назвать ее соответствующим образом в соответствии со стандартами и добавить запись. У нас есть отдельные подробные руководства о том, что представляют собой эти 3 механизма аутентификации электронной почты и как их настраивать.

При этом важно, чтобы вы правильно настроили эти политики. Неправильная настройка приведет к тому, что легитимные письма не попадут в почтовый ящик конечного пользователя, а поддельные письма пройдут через почтовый сервер.

Заключение

В этой статье рассказывается о функциях SPF, DKIM и DMARC в аутентификации электронной почты. Теперь вы должны уметь различать эти технологии и знать, что каждая из них важна для полного решения аутентификации электронной почты.

Знайте, что многие поставщики электронной почты используют только SPF и считают, что этого достаточно для обеспечения безопасности электронной почты. Однако Google и Yahoo недавно внесли изменения в свои почтовые серверы и сделали DMARC обязательным, начиная с февраля 2024 года. В настоящее время письма с доменов, не поддерживающих DMARC, отправляются в спам. Однако вскоре они будут отклоняться полностью.

Зарубин Иван Эксперт по Linux и Windows

Парашютист со стажем. Много читаю и слушаю подкасты. Люблю посиделки у костра, песни под гитару и приближающиеся дедлайны. Люблю путешествовать.

Похожие статьи

Комментарии (0)