Электронная почта уязвима для кибератак. Для спама, фишинга и прочих мошеннических схем хакеры используют фиктивные адреса электронной почты, чтобы обмануть получателей. Разбираемся, как защитить ваш почтовый домен, используя технологии SPF, DKIM и DMARC.
Почему важно защищать электронную почту
Представьте: мошенник направляет письмо от имени вашей компании клиенту, требуя срочный платеж на неизвестный вам счет либо рассылает фишинговые ссылки, используя ваш бренд. Такие сценарии не только подрывают доверие, но и могут привести к финансовым потерям или утечке конфиденциальных данных.
Многие кибератаки начинаются с электронных писем. Без должной защиты злоумышленники легко подделывают адреса отправителей, обходя базовые фильтры. Именно поэтому использование SPF, DKIM и DMARC — сегодня не опция, а обязательное действие.
Что такое SPF
Sender Policy Framework — DNS-запись, где вы определяете серверы, у которых есть право отправлять e-mail от имени вашего домена. Когда получатель проверяет письмо, он сверяется с этой записью — соответствует ли IP отправившего хоста вашему списку. Когда почта приходит с адреса, не содержащегося в SPF, получатель может её заблокировать. Современные почтовые провайдеры проводят эту проверку автоматически.
Если ваш домен использует Google Workspace, разрешите отправку e-mail с серверов Google (например, `include:_spf.google.com`).
Как настроить SPF
Добавьте запись в зону DNS вашего домена, например:
v=spf1 ip4:123.45.67.89 include:_spf.google.com ~all
Здесь:
- v=spf1 — версия протокола SPF;
- ip4:123.45.67.89 — разрешенный IP для отправки e-mail;
- include:_spf.google.com — включает правила SPF другого сервиса (в данном случае Google);
- ~all — мягкий отказ для всех остальных серверов.
После добавления вами подобной корректной записи получатель сможет определять достоверность e-mail, использующего адрес вашего домена для отправки.
Что такое DKIM
DomainKeys Identified Mail добавляет к отправлению цифровую подпись, подтверждающую его подлинность и целостность. Получатели могут сравнить её с открытой частью ключа из вашего DNS.
Как настроить DKIM
Создайте пару ключей (закрытый и открытый). Закрытый ключ разместите на вашем почтовом сервере, а открытый вставьте в запись TXT зоны DNS вашего домена:
example._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq…"
Проверьте настройку вашего почтового сервера на добавление цифровых подписей ко всем исходящим отправлениям.
Что такое DMARC
Domain-based Message Authentication, Reporting & Conformance — политика, объединяющая SPF и DKIM. Вы получаете возможность управлять тем, как получатели будут обрабатывать отправления, не прошедшие проверку аутентификации. Помимо этого DMARC направит вам отчеты о попытках подделки.
Вы можете настроить DMARC так, чтобы все сомнительные письма автоматически удалялись или помещались в папку со спамом.
Как настроить DMARC
Добавьте запись в зону DNS вашего домена:
_dmarc.mydomain.com IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@mydomain.net;"
Параметры записи:
- v=DMARC1 — версия DMARC;
- p=none — указывает, что делать с неподтвержденными письмами (здесь — ничего не делать);
- rua=mailto:dmarc@mydomain.net — адрес для получения отчетов о результатах проверки.
После настройки DMARC вы сможете получать отчеты о попытках подделки и принимать необходимые меры.
Заключение
Настройка SPF, DKIM и DMARC напоминает установку многослойной защиты — каждый протокол закрывает свои «слепые зоны». SPF проверяет отправителя, DKIM гарантирует неизменность письма, а DMARC управляет действиями в подозрительных ситуациях.
Не откладывайте внедрение этих технологий. Даже если ваш домен пока не атаковали, превентивные меры снизят риски. Начните с SPF, затем добавьте DKIM и DMARC, тестируя каждую настройку. Используйте бесплатные инструменты для проверки записей и не забывайте обновлять их при смене почтовых сервисов.
Интернет Хостинг Центр — платный хостинг для проектов любой сложности. Защита от DDoS-атак на каждом тарифе! 🔒