Найти тему

Как DMARC работает с поддоменами (DMARC sp tag)?

Основы правоприменения DMARC

Принудительное исполнение DMARC позволит вам узнать, откуда поступают ваши законные электронные письма и как защитить ваш домен от подмены точного домена. Google может позаботиться обо всех деталях администрирования, чтобы вы могли сосредоточиться на своем бизнесе. Хотя DMARC может уменьшить спуфинг в электронной почте, термин ‘принудительное исполнение’ не лишен сложности.

Домен может отклонить спам-сообщения или поместить в карантин спам-сообщения, не прошедшие проверку подлинности. Вы должны убедиться, что все каталоги и поддомены используют одну и ту же технику или вообще не используют ее. В этом посте мы ответим на вопрос, почему при реализации DMARC предпочтение отдается субдоменам. Субдомены могут создавать единый блок адресов электронной почты в Интернете, но они могут внести путаницу и сложность в обеспечение соблюдения DMARC.

Новое дополнение к DMARC, ‘сп’ тег позволяет указать политики поддоменов в записи DMARC, что позволяет отслеживать поддомены на уровне домена.

Во-первых, некоторый контекст.

Большинство провайдеров списков рассылки и интернет-провайдеров используют одни и те же домены как для отправки, так и для получения электронной почты (ситуация, известная как “общий домен”). Это означает, что сообщения, которые вы отправляете в списки рассылки или другие домены, не принадлежащие компании, могут не пройти проверку подлинности, что может вызвать проблемы со спам-фильтрами. Эта проблема не вызывает ошибок SPF, DKIM или DMARC, но каждая из этих технологий аутентификации полагается на то, что домен находится либо в вашем адресе электронной почты, либо в домене поля " От " сообщения как часть процесса автоматической проверки. Если почта не аутентифицирована должным образом, сообщения об ошибке может и не быть, она просто не пройдет проверку подлинности и, скорее всего, будет отфильтрована как спам.

DMARC—это простой и гибкий способ сообщить получателям электронной почты, таким как Office 365, как обрабатывать сообщения с ошибкой аутентификации SPF или DKIM-помещать их в карантин, отклонять или даже хранить в папке "Спам". В этом блоге объясняется, как DMARC работает с поддоменами.

Теги политики

Тег ‘p’

DMARC ‘п’ тег используется владельцами доменов для описания политики, которую они хотят, чтобы получатели почты применяли к любым сообщениям, не прошедшим проверку подлинности.

Они получат отчеты DMARC, если сохранят его значение по умолчанию "p=none", но будут уязвимы для подмены. Параметр ‘p=none’ предписывает получателям обрабатывать сообщения, не прошедшие аутентификацию, так же, как они обрабатывают сообщения, прошедшие аутентификацию, то есть отправлять их нормально.

Правоприменение влечет за собой применение политики ‘р=карантин’ который предписывает получателям помечать любые сообщения, не прошедшие аутентификацию, как спам, или ‘p=отклонить’ который говорит получателям полностью удалить эти сообщения.

Тег ‘sp’

Если запись DMARC не была опубликована для одного поддомена, политика DMARC, указанная для организационного домена, по умолчанию будет применяться ко всем поддоменам. Владельцы доменов, с другой стороны, могут использовать ‘сп’ тег для указания отдельных правил для всех поддоменов (для политики поддоменов).

Он имеет тот же синтаксис, что и ‘п’ бирка. ‘sp=нет’ указывает получателям почты, что независимо от политики, выбранной для домена организации, они должны использовать политику ‘нет’ для поддоменов. Получателям предлагается поместить в карантин неудачные сообщения из поддоменов, когда они видят ‘sp=карантин’, и им говорят отвергнуть их, когда они видят ‘sp=отклонить’.

Реализация политики

Применение политик к поддоменам является обязательным требованием для реализации DMARC с допустимой конфигурацией. Если ваши поддомены не применяют политику, это эквивалентно "p=none" в вашем домене. Безопасность зависит от согласованности обслуживания, и ее последовательная реализация во всей инфраструктуре имеет решающее значение.

Вы можете реализовать эти политики самостоятельно. Все, что для этого нужно, - это добавить "p=reject" в корпоративный домен и не изменять его ни на каких поддоменах. Все остальное могут сделать люди из каждого отдела. Внедрение этих механизмов может показаться само собой разумеющимся, но мы регулярно сталкиваемся с незащищенными поддоменами, которые могут свести на нет преимущества защиты от олицетворения и мошенничества, связанные с привлечением DMARC к принудительному исполнению.

Защитите свой бренд от фишинга и олицетворения электронной почты. Не делайте ваши поддомены уязвимыми для олицетворений. Реализовать DMARC с помощью EmailAuth Наше упрощенное руководство поможет вам.