Защита веб-почты домена технологией DMARC. Добавление записи DMARC в панелях ISPmanager и cPanel
После корректно добавленных и настроенных записей SPF и DKIM, третьим этапом для защиты своей почты является использование технологии DMARC.
В основе записи DMARC (Domain-based Message Authentication, Reporting, and Conformance) лежит указание на действие, которое следует выполнить почтовому серверу при получении почты от Вашего доменного имени, при условии что отправленное сообщение не прошло существующие проверки, указанные в правилах SPF и DKIM.
Как и писалось выше, для начала добавления DMARC нужно убедиться, что у Вас для доменного имени уже добавлены SPF и DKIM, так как DMARC при аутентификации делает упор на значение в этих записях.
Эта технология полезна для защиты репутации доменного имени. Уберегает Ваш домен от нежеланной рассылки спама, фишинга, и других сообщений с поддельным содержанием, отправленных якобы с Вашего ящика. Добавив все 3 записи Вы даете знать почтовому серверу получателя о том, что Вы заботитесь о безопасности своей отправленной почты.
Процесс проверки идет следующим образом: при получении письма почтовый сервер-получатель проверяет, существует ли в сервера-отправителя добавленные SPF и DKIM записи, анализирует их значение. Если хотя бы одна из проверок SPF и DKIM соответствует, тогда считается, что проверка прошла успешно, в ином случае - провальной. Также указанный домен в заголовке “От” должен соответствовать доменному имени отправителя. При непрохождении проверки судьба сообщения определяется по указанному правилу в записи DMARC, например отправляется в спам.
Синтаксис записи включает в себя настройку отчетов об отправке писем, информацию о неудачной доставке почты, также присутствует возможность выставления процента фильтрации почты от общего количества писем, с помощью которых можно контролировать, какие письма удачно/неудачно отправлены и почему.
DMARC имеет следующие атрибуты (за пример взята вкладка с cPanel):
Более детально пройдемся по каждому из них, что за что отвечает и какой функционал в себе несет.
В начале нужно прописать версию протокола DMARC в теге v, пока всегда задается как DMARC1.
Далее правила Police (тег p) - устанавливает действия для сервера, что делать с письмами, которые не прошли проверку SPF и DKIM:
- нет (none) - не использовать никаких действий, но добавить сообщение в отчет;
- карантин (quarantine) - отметить и поместить письмо в папку спам;
- reject - отклонение письма сервером-получателя, и отправка сообщения об отклонении письма на сервер-отправителя.
Следующее строка Subdomain Police (тег sp) аналогична к первой по значению атрибутов, но задает уже правила для субдоменов.
DKIM Mode (тег adkim) - задает режим проверки подписи DKIM, есть более строгий режим Strict - заданное доменной имя отправителя (От) должно строго совпадать со значением указанном в подписи DKIM. И более простой режим ( установлен по-умолчанию) Relaxed - позволяет частичное совпадения значений.
SPF Mode (тег aspf) аналогично проверяет по записи SPF и имеет такие же режимы.
Percentage (тег pct) - определяет процент электронных писем, полученных от вашего доменного имени, к которым должна применяться ваша политика DMARC. Принимает значение от 1 до 100 (только целые числа), по дефолту установлен на 100%.
Generate Failure Reports When (Генерировать отчеты о сбоях Когда - тег fo) - настройка условий получения отчетов об ошибках при прохождении соответствующих проверок. Есть 2 варианта ( по умолчанию All checks fail):
- All checks fail - получения отчетов, при условии что все проверки прошло неудачно ( fo=0);
- Any check fail - получение отчетов в случае непрохождения одной из проверок ( fo=1).
Точнее указать на то, при непрохождении какой проверки формировать отчет можно так: fo=d - если не прошла проверка DKIM, fo=s - если не прошла проверка SPF.
Report Format (тег rf) - задается формат для формирования XML-отчетов. Есть 2 формата: AFRF a(Authentication Failure Reporting Format) и ODEF (Incident Object Description Format). Для чтения XML-отчетов нужно знания этого формата, для того чтобы сделать отчет удобно читаемым для человека можно использовать разные инструменты, например DMARC REPORT ANALYZER.
Report Interval (тег ri) - указывается интервал как часто вы хотите получать отчеты ( задается в секундах , по умолчанию 86400 с = 24 часа).
Send Aggregate Mail Reports To (тег rua) - нужно прописать почту, на которую будут оправляется агрегированные отчеты, например, rua=mailto:[email protected]. Чтобы указать несколько почтовых ящиков, просто задайте их через пробел так - rua=mailto:[email protected] rua=mailto:[email protected].
Send Failure Reports To (тег ruf) - указываем почту, на которую будут приходить отчеты о непройденных проверках подлинности DMARC.
; - разделитель между тегами записи.
После заполнения можно нажать на вкладку «Raw» (в cPanel), чтобы просмотреть фактическую запись с тегами, которая будет добавлена в DNS при нажатии кнопки «Добавить запись».
Теперь перейдем к добавлению DMARC в ISPmanager. Для этого выполняем следующие шаги:
1)Заходим в панель ISPmanager;
2)С главной страницы с блока “Почта” выбираем пункт “Почтовые домены”;
3)Кликаем на домен для которого нужно настроить DMARC, и сверху для редактирования настроек жмем на “Изменить”;
4)Последний шаг - напротив графы "Включить DMARC для домена" жмем на галочку. И для сохранения в конце нажимаем на кнопку “Ok”.
В результате должна быть добавлена запись для домена. Дополнительно Вы можете отредактировать значения по тегам как Вам нужно для работы.
Далее разберем добавление в cPanel.
1)Логинимся в панель cPanel.
2)С главной страницы с блока “Домены” переходим в “Zone Editor”.
3)В открытой вкладке напротив нужного домена жмем на “Управлять” для возможности создать новую DNS запись.
4)Чтобы создать запись, жмем на кнопку “Добавить запись” и из списка выбираем “Add DMARC Record”.
5)Указываем необходимые значения для атрибутов записи, которые мы рассматривали выше, и для добавления записи в конце жмем “Добавить запись”.
Аналогично в нас должна быть добавлена соответствующая запись для доменного имени.
В эпоху технологий очень важно защищать свои почту от мошенников, которые могут взломать и использовать почту Вашего домена в корыстных целях. По-этому советуем для большей надежности добавить и настроить все три записи. А если возникли вопросы, команда “ГиперХост” всегда на страже и готова помочь нашим клиентам.