ДМАРК

Аутентификация, отчетность и соответствие сообщений на основе домена ( DMARC ) — это протокол аутентификации электронной почты . Он предназначен для того, чтобы дать владельцам доменов электронной почты возможность защитить свой домен от несанкционированного использования, широко известного как подмена электронной почты . Целью и основным результатом внедрения DMARC является защита домена от использования в атаках на корпоративную электронную почту , фишинговой электронной почте, мошенничестве с электронной почтой и других киберугрозных действиях.

После публикации записи DNS DMARC любой получающий сервер электронной почты может аутентифицировать входящее электронное письмо на основе инструкций, опубликованных владельцем домена в записи DNS. Если электронное письмо пройдет аутентификацию, оно будет доставлено, и ему можно будет доверять. Если электронное письмо не проходит проверку, в зависимости от инструкций, содержащихся в записи DMARC, электронное письмо может быть доставлено, помещено в карантин или отклонено.

DMARC расширяет два существующих механизма аутентификации электронной почты: Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM). Это позволяет администратору домена публиковать политику в своих записях DNS , чтобы указать, как проверять From: поле, представленное конечным пользователям; как получатель должен реагировать на сбои, а также обеспечивает механизм отчетности о действиях, выполненных в соответствии с этими политиками.

DMARC определен в Internet Engineering Task Force . опубликованном документе RFC 7489 ^[1] от марта 2015 года как «Информационная». ^[2]

Политика DMARC позволяет домену отправителя указывать, что его сообщения электронной почты защищены SPF и/или DKIM, и сообщает получателю, что делать, если ни один из этих методов аутентификации не проходит – например, отклонить сообщение или поместить его в карантин. Политика также может указывать, как получатель электронной почты может сообщать домену отправителя о сообщениях, которые прошли или не прошли. ^[3]

Эти политики публикуются в общедоступной системе доменных имен (DNS) в виде текстовых записей TXT .

DMARC не определяет напрямую, является ли электронное письмо спамом или иным образом мошенническим. Вместо этого DMARC может потребовать, чтобы сообщение не только прошло проверку DKIM или SPF, но и прошло § Alignment . В соответствии с DMARC сообщение может завершиться ошибкой, даже если оно прошло проверку SPF или DKIM, но не прошло выравнивание. ^[4]

Настройка DMARC может улучшить доставляемость сообщений от законных отправителей. ^[5]

DMARC работает, проверяя, что домен в сообщении From: поле (также называемое «RFC5322.From» ^[2] ) «согласован» с другими аутентифицированными доменными именами. Если какой-либо SPF (указанный с помощью aspf поле) или DKIM (указывается с помощью поля adkim) проверки выравнивания проходят, затем проходит тест выравнивания DMARC.

Выравнивание может быть задано как строгое или расслабленное. Для строгого согласования доменные имена должны быть идентичными. Для более легкого выравнивания должен совпадать «Организационный домен» верхнего уровня. Домен организации можно найти путем проверки списка общедоступных DNS-суффиксов и добавления следующей DNS-метки. Так, например, «abcdexample.com.au» и «example.com.au» имеют один и тот же организационный домен, поскольку существует регистратор, который предлагает клиентам имена в «.com.au». Хотя во время спецификации DMARC существовала рабочая группа IETF по границам доменов, в настоящее время организационный домен может быть получен только из списка общедоступных суффиксов . ^[6]

Подобно SPF и DKIM, DMARC использует концепцию владельца домена — субъекта или субъектов, уполномоченных вносить изменения в данный домен DNS.

SPF проверяет, что IP-адрес отправляющего сервера авторизован владельцем домена, который указан в SMTP. MAIL FROM команда. (Адрес электронной почты в MAIL FROM также называется адресом возврата , конвертом или RFC5321.MailFrom.) Помимо требования прохождения проверки SPF, DMARC проверяет соответствие RFC5321.MailFrom с 5322.From. ^[2]

DKIM позволяет криптографически подписывать части сообщения электронной почты, при этом подпись должна закрывать поле «От». В заголовке письма DKIM-Signature d= (домен) и s= Теги (селектора) указывают, где в DNS получить открытый ключ для подписи. Действительная подпись доказывает, что подписывающая сторона является владельцем домена и что поле «От» не изменялось с момента применения подписи. В сообщении электронной почты может быть несколько подписей DKIM; DMARC требует одну действительную подпись, если домен в d= тег соответствует домену отправителя, указанному в From: поле заголовка.

Записи DMARC публикуются в DNS с меткой поддомена. _dmarc, например _dmarc.example.com. Сравните это с SPF на example.comи DKIM в selector._domainkey.example.com.

Содержимое записи ресурса TXT состоит из name=value теги, разделенные точкой с запятой, аналогично SPF и DKIM.

Доступные теги: ^[7]

Например:

"v=DMARC1;p=none;sp=quarantine;pct=100;rua=mailto:[email protected];"

В этом примере объект, контролирующий DNS-домен example.com, намеревается отслеживать частоту сбоев SPF и/или DKIM и не ожидает, что электронная почта будет отправляться с поддоменов example.com. Обратите внимание, что субдомен может публиковать собственную запись DMARC; получатели должны проверить это, прежде чем вернуться к записи домена организации.

Протокол предусматривает различные храповые состояния или переходные состояния, позволяющие администраторам почты постепенно переходить от полного отсутствия реализации DMARC к жесткой настройке. ^{[8] [9] [10]} Концепция поэтапного внедрения предполагает, что целью DMARC является максимально сильная настройка, что справедливо не для всех доменов. Независимо от намерения, эти механизмы обеспечивают большую гибкость.

Прежде всего, есть три политики:

• none — это политика начального уровня. Получателям не требуется никакого специального обращения, но позволяет домену получать отчеты обратной связи.
• карантин просит получателей относиться к сообщениям, не прошедшим проверку DMARC, с подозрением. У разных получателей есть разные средства для реализации этой цели, например, помечать сообщения или доставлять их в папку со спамом.
• «Отклонить» просит получателей полностью отклонять сообщения, не прошедшие проверку DMARC.

Опубликованную политику можно смягчить, применив ее только к проценту сообщений, не прошедших проверку DMARC. Получателям предлагается выбрать заданный процент сообщений с помощью простого алгоритма выборки Бернулли . Остальные сообщения должны подвергаться более низкой политике; то есть нет, если p=quarantine, карантин, если p=reject. Если не указано, pct по умолчанию равен 100% сообщений. Дело p=quarantine; pct=0; используется, чтобы заставить менеджеров списков рассылки переписать поле «От:», поскольку некоторые не делают этого, когда p=none. ^[11]

Наконец, политика поддоменов, sp= и недавно добавленная политика отсутствия доменов, np=^[12] разрешить настройку политики для определенных поддоменов.

DMARC способен создавать два отдельных типа отчетов. Сводные отчеты отправляются на адрес, указанный после rua. Отчеты судебно-медицинской экспертизы отправляются по электронной почте на адрес, следующий за ruf ярлык. Эти почтовые адреса должны быть указаны в формате URI mailto (например, mailto: [email protected] ). Допустимо несколько адресов отчетов, каждый из которых должен быть в полном формате URI, разделенный запятой. ^[13]

Целевые адреса электронной почты могут принадлежать внешним доменам. В этом случае целевой домен должен настроить запись DMARC, чтобы подтвердить свое согласие на их получение, иначе можно будет использовать отчеты для усиления спама . Например, скажем receiver.example получает почтовое сообщение From: [email protected] и желает сообщить об этом. Если он найдет ruf=mailto:[email protected], он ищет подтверждающую запись DNS в пространстве имен, администрируемом целью, например:

sender.example._report._dmarc.thirdparty.example IN TXT "v=DMARC1;"

Совокупные отчеты отправляются в виде файлов XML , обычно один раз в день. Субъект упоминает «Домен отчета», который указывает имя домена DNS , о котором был создан отчет, и «Отправитель», который является объектом, выдающим отчет. Полезная нагрузка находится во вложении с длинным именем файла, состоящим из элементов, разделенных символами, таких как получатель отчета, начальная и конечная эпохи отчетного периода в виде меток времени в стиле Unix, необязательный уникальный идентификатор и расширение, которое зависит от возможное сжатие (раньше было .zip). ^[14]

Например: example.com!example.org!1475712000!1475798400.xml.gz.

Содержимое XML состоит из заголовка, содержащего политику, на которой основан отчет, и метаданные отчета, за которыми следует ряд записей. Записи можно помещать в базу данных как отношения и просматривать в табличной форме. Схема XML определена в Приложении C спецификаций. ^[15] пример необработанной записи представлен на сайте dmarc.org. ^[16] Здесь мы придерживаемся реляционного примера, который лучше передает природу данных. Записи DMARC также можно напрямую преобразовать в HTML, применив таблицу стилей XSL .

Строки группируются по исходному IP-адресу и результатам аутентификации, передавая только количество каждой группы. Крайние левые столбцы результатов, помеченные как SPF и DKIM, показывают результаты по DMARC: пройдены или нет, с учетом выравнивания. Крайние правые с похожими метками показывают имя домена, который утверждает, что участвует в отправке сообщения, и (в скобках) статус аутентификации этого утверждения в соответствии с исходным протоколом, SPF или DKIM, независимо от выравнивания идентификаторов. Справа SPF может появиться не более двух раз, один раз для Return-Path: тест и один раз для HELO тест; DKIM может появляться один раз для каждой подписи, присутствующей в сообщении. В примере первая строка представляет основной поток почты с сайта example.org, а вторая строка — сбой DKIM, например, поломка подписи из-за незначительного изменения при передаче. В третьей и четвертой строках показаны типичные режимы сбоев пересылки и списка рассылки соответственно. Аутентификация DMARC не удалась только для последней строки; это могло бы повлиять на расположение сообщений, если бы на сайте example.org была указана строгая политика.

Расположение : отражает опубликованную политику, фактически примененную к сообщениям none , карантин или отклонение . Помимо этого, не показанного в таблице, DMARC обеспечивает переопределение политики. Некоторые причины, по которым получатель может применить политику, отличную от запрошенной, уже предусмотрены спецификацией:

перенаправлено

сохраняя тот же адрес возврата, обычно не нарушает DKIM,

отобрано

поскольку отправитель может применить политику только к определенному проценту сообщений,

доверенный экспедитор

сообщение пришло из локально известного источника

список рассылки

получатель эвристически определил, что сообщение пришло из списка рассылки,

местная политика

Получатели, очевидно, могут свободно применять политику, которая им нравится, просто здорово сообщить об этом отправителям,

другой

если ничего из вышеперечисленного не применимо, поле комментария позволяет сказать больше.

Отчеты о криминалистических исследованиях, также известные как отчеты об ошибках, генерируются в режиме реального времени и состоят из отредактированных копий отдельных сообщений, в которых произошел сбой SPF, DKIM или обоих, в зависимости от того, какое значение указано в fo ярлык. Их формат, являющийся расширением формата отчетов о злоупотреблениях , напоминает формат обычных отказов, поскольку они содержат либо «message/rfc822», либо «text/rfc822-headers».

Отчеты судебно-медицинской экспертизы также содержат следующее:

• Источник отправки IP-адреса
• С адреса электронной почты
• Адрес электронной почты получателя
• Тема письма
• Результаты аутентификации SPF и DKIM
• Время получения
• Заголовки сообщений электронной почты, которые включают хост-отправитель, идентификатор сообщения электронной почты, подпись DKIM и любую другую настраиваемую информацию заголовка. ^[17]

Существует несколько различных типов пересылки электронной почты , некоторые из которых могут нарушить SPF. ^[18] Это одна из причин, по которой пересылка электронной почты может повлиять на результаты аутентификации DMARC. ^[19]

Списки рассылки являются частой причиной законного взлома подписи DKIM домена исходного автора, например, путем добавления префикса к заголовку темы. Возможны несколько обходных путей, ^{[20] [21]} и пакеты программного обеспечения для списков рассылки работают над решением. ^[22]

Этот обходной путь сохраняет стандартный рабочий процесс списка рассылки и применяется несколькими крупными операторами списков рассылки, но исключает добавление в список нижних колонтитулов и префиксов тем. ^[23] Это требует тщательной настройки почтового программного обеспечения, чтобы гарантировать, что подписанные заголовки не будут переупорядочены или изменены. Неправильно настроенный почтовый сервер может поместить List-id в свой DKIM сообщений, отправляемых в список рассылки, а затем оператор списка будет вынужден отклонить его или выполнить перезапись From:.

Один из самых популярных и наименее навязчивых обходных путей состоит в переписывании From: поле заголовка. Оригинальный адрес автора может быть добавлен в Reply-To: поле. ^[24] Переписывание может варьироваться от простого добавления .INVALID^{[примечание 1]} к имени домена, к выделению временного идентификатора пользователя, где используется измененная версия адреса пользователя, или используется непрозрачный идентификатор, который сохраняет «реальный» адрес электронной почты пользователя конфиденциальным из списка. Кроме того, отображаемое имя можно изменить, чтобы отображались как автор, так и список (или оператор списка). ^[25] Эти примеры приведут, соответственно, к одному из следующих результатов:

From: John Doe <[email protected]>
From: John Doe <[email protected]>
From: John Doe <[email protected]>
From: John Doe via MailingList <[email protected]>
Reply-To: John Doe <[email protected]>

Последняя строка, Reply-To:, должен быть спроектирован таким образом, чтобы обеспечить возможность ответа автору, и в этом случае функция ответа в список покрывается предыдущим изменением в From: поле заголовка. Таким образом, исходное значение этих полей меняется на противоположное.

Изменение автора в целом несправедливо и может нарушить ожидаемую связь между значением и внешним видом этих данных. Это также нарушает автоматическое его использование. Существуют сообщества, которые используют списки рассылки для координации своей работы и развертывают инструменты, использующие From: поле для указания авторства вложений. ^[26]

Обертывание сообщения хорошо работает для тех, кто использует почтовый клиент, который понимает упакованные сообщения. Не вносить никаких изменений, возможно, является наиболее очевидным решением, за исключением того, что в некоторых странах они, похоже, требуются по закону, и что регулярная потеря аутентификации SPF может сделать общую аутентификацию более хрупкой. ^[27]

Внесение изменений в From: Поле заголовка для прохождения выравнивания DKIM может привести к тому, что сообщение не будет соответствовать разделу 3.6.2 RFC 5322: «Поле «От:» указывает автора(ов) сообщения, то есть почтовый ящик(а) человека( или систему(ы), ответственную(ые) за написание сообщения». Почтовый ящик относится к адресу электронной почты автора. Sender: Доступен заголовок, указывающий, что электронное письмо было отправлено от имени другой стороны, но DMARC проверяет политику только для домена «От» и игнорирует домен «Отправитель». ^{[примечание 2]}

И ADSP , и DMARC ^[4] отклонить использование поля «Отправитель» по нетехническим причинам, поскольку многие пользовательские агенты не отображают это поле получателю.

Проект спецификации DMARC поддерживается с 30 января 2012 года. ^[28]

В октябре 2013 года был выпущен GNU Mailman 2.1.16 с возможностью обработки плакатов из домена с политикой DMARC p=reject. ^[22] Это изменение было направлено на то, чтобы предвидеть проблемы совместимости, ожидаемые в случае применения ограничительных политик к доменам с пользователями-людьми (в отличие от чисто транзакционных почтовых доменов).

В апреле 2014 года Yahoo изменила свою политику DMARC на p=reject, тем самым вызывая неправомерное поведение в нескольких списках рассылки. ^{[29] [30]} Несколько дней спустя AOL также изменила свою политику DMARC на p=reject. ^[31] Эти действия привели к значительному количеству сбоев, и этих провайдеров почтовых ящиков обвинили в том, что они переложили расходы, связанные с собственными сбоями в системе безопасности, на третьи стороны. ^[32] По состоянию на 2020 год FAQ в официальной вики DMARC содержит несколько предложений по спискам рассылки для обработки сообщений из домена со строгой политикой DMARC. ^[33] наиболее широко реализованным из них является список рассылки, меняющий заголовок «От» на адрес в собственном домене.

Рабочая группа IETF была сформирована в августе 2014 года для решения проблем DMARC, начиная с проблем совместимости и, возможно, продолжая пересмотренной стандартной спецификацией и документацией. ^[34] Тем временем существующая спецификация DMARC достигла редакционного состояния, согласованного и реализованного многими. Он был опубликован в марте 2015 года в потоке Independent Submission в категории «Информационные» (нестандартные) под номером RFC 7489. ^[35]

В марте 2017 года Федеральная торговая комиссия опубликовала исследование использования DMARC предприятиями. ^[36] Исследование показало, что из 569 предприятий около трети внедрили любую конфигурацию DMARC, менее 10% использовали DMARC для указания серверам отклонять неаутентифицированные сообщения, а большинство внедрили SPF.

В число разработчиков спецификации DMARC входят: ^{[37] [38]}

• Получатели: AOL , Comcast , Google ( Gmail ), Mail.Ru , Microsoft ( Outlook.com , Hotmail ), ^[39] Netease (163.com, 126.com, 188.com, Yeah.net), XS4ALL , Yahoo , Яндекс
• Отправители: American Greetings , Bank of America , Facebook , Fidelity Investments , JPMorganChase , LinkedIn , ^[40] PayPal , Твиттер ^[41]
• Посредники и продавцы: ^[42] Агари (основатель/генеральный директор Патрик Р. Петерсон), ^[42] облачный знак, ^[42] Советник DMARC , ^[42] Красный Сифт , ^[42] Путь возврата , ^[42] Проект доверенного домена , ^[42] ПроДМАРК , ^[42]

• Аутентифицированная полученная цепочка (ARC)
• Практика подписания авторского домена
• Индикаторы бренда для идентификации сообщений (BIMI)
• Идентифицированная почта DomainKeys (DKIM)
• Аутентификация по электронной почте
• Сертифицированный адрес электронной почты
• Почтовые серверы с DMARC
• Структура политики отправителей (SPF)

• Официальный сайт
• Вики-сайт The Anti Spam Research Group: уменьшение ущерба, наносимого DMARC сторонней почте