Как прописать DMARC: особенности технологии и ее польза

Как вы относитесь к новым словам? Сервис DashaMail ратует за то, чтобы знать их «в лицо», особенно если слово означает значимую прикладную технологию. Яркий пример – DMARC. Это важнейшее явление в email-маркетинге, поэтому в нашей статье вы узнаете о нем все и даже немного больше. 

Что такое DMARC? Скажите «Нет» спаму! 

DMARC — Domain-based Message Authentication, Reporting and Conformance. В переводе это означает идентификацию сообщений, создание отчётов и определение соответствия по доменному имени. Это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя.

Технология DMARC призвана снижать число спама и фишинговых писем благодаря качественному обмену информацией между получателем письма и его отправителем:

• Автор сообщения получает актуальные сведения, что делать, если его email не проходит проверку. Шанс на исправление имеется. 
• У получателя есть данные относительно инфраструктуры проверки подлинности почтового адреса. 

Пока еще не видна вся «картинка» целиком, поэтому предлагаем вместе разобраться в вопросе от «А» до «Я».

Особенности работы технологии

Запись DMARC устроена таким образом, чтобы внедрять ее в почтовые процессы с небольшими усилиями и затратами. Она позволяет определять, насколько соответствует получаемое сообщение тому, что уже известно об отправителе, можно ли ему доверять.

1. Если ответ положительный, подписчик получит соответствующее сообщение. 
2. Если нет, в автоматическом режиме сработает политика и установленные правила для неидентифицированных сообщений. 

Любая теория должна подкрепляться практическими примерами, чтобы не оставаться каким-то фантастическим рассказом.

Представим, что есть 2 домена из разных стран. Допустим, Россия и Франция. Условная Франция разрешает пересечение «границы» только при условии «визы» (это тот самый DMARC для домена). Если этой «визы» нет, то прохождение контроля становится проблематичным, так как будет запрет на пересечение «границы» и обязательное формирование отчета о несанкционированной попытке въезда во «Францию». Так как не было необходимых документов, последовал отказ.

Полный цикл отправки и приема сообщений происходит по такому сценарию:

1. Стандартная проверка наличия в black-листах и по репутационным параметрам. 
2. Проведение извлечения доверенных DKIM-доменов.
3. Извлечение SPF.
4. Полное применение политики протокола DMARC.

После этого есть несколько вариантов развития событий: 

• Если с письмом все в порядке на основании проверок, проводится последняя контрольная проверка посредством антиспам-фильтра, и, если опять все хорошо, оно появляется в папке «Входящие».
• Возможно помещение на карантин, если есть сомнения.
• Отклонение письма с передачей отчета отправителю.

Сложно описать, насколько важна и нужна корректная настройка DMARC. Не нужны какие-то специфические навыки для внедрения, а профит колоссальный, так как можно доставлять исключительно безопасные аутентифицированные сообщения, полностью сведя к нулю риск мошеннического трафика.

Это интересно: технология базируется на таких спецификациях, как вышеупомянутые Domain Keys Identified Mail и SPF. Все они разрабатываются в сообществе международного уровня из ученых, проектировщиков, операторов сети и провайдеров. Это IETF, появившееся в 1986 году, которое по сей день специализируется на развитии качественной архитектуры и современных протоколов интернета. 

Простые шаги, как добавить DMARC и основные значения

Сразу скажем: не нужно иметь каких-то особенных знаний и навыков. Есть перечень шагов, ознакомившись с которыми вы справитесь самостоятельно. Достаточно только внести в панель управления доменными именами и DNS новую запись .txt с хостом _dmarc. Не забудьте после того, как смогли внести запись, сохранить изменения.

Теперь начинается самое интересное – это почти «азбука» DMARC, так как с помощью примеров записей вы поймете, какие решения нужны вам, как их составить:

1. Отклонение неаутентифицированных сообщений с формированием и отправкой агрегированного отчета об имеющихся отклонениях по указанному адресу электронной почты (в приведенном примере – postsample@mail.com). 

2. Очередь за самой простой и одной из самых распространенных записей, которые легко запомнить и еще проще применять на практике. Тут нет никакого призыва к действиям относительно подозрительных писем без аутентификации. Она необходима для контроля, что все работает верно.

3. Следующая запись показывает получателю, что не нужно думать об операциях отклонения, но на указанный email-адрес будет отправлено письмо с агрегированным отчетом обо всех отправлениях и мест, откуда они шли, что очень удобно. Подобная запись – must have, если у вас в планах – контроль нежелательного трафика от вас, а также это промежуточный вариант перед внедрением так называемой reject-политики, которая требует обязательного отклонения сообщений без аутентификации: 

4. Еще один очень распространенный вариант, как настроить DMARC, какую запись внести. Предлагаемое решение позволяет пометить почтовым сервисом те письма, что без аутентификации, как SPAM или нежелательные отправления, в зависимости от особенностей отдельно взятого сервиса.  

5. Отличный пример строгой политики DMARC относительно поступающих отправлений сомнительного происхождения. Отталкиваясь от практического опыта, советуем сразу не бросаться в омут, а поэтапно увеличивать процент отклонения. Начать можно с 20-25%, а затем дойти до 100%, но делая это постепенно и планомерно

Синтаксис и значение тегов: простая математика?

Настройка DMARC для домена без знания и понимания, как работать с синтаксисом и тегами, невозможна. В связи с этим предлагаем «мини-энциклопедию» тегов, чтобы использовать эти данные для внедрения. Для начала нужно иметь под рукой таблицу с тегами, которая просто и показывает их область действия и назначение: 

При рассмотрении «коллекции» тегов важно усвоить, что они делятся на 2 группы:

1. Обязательные теги.
2. Необязательные теги.

Нужно понять их особенности и специфику, и тогда все пазлы станут на свои места. 

Обязательные теги и зачем они нужны

Обязательные теги, как можно догадаться, не терпят условного наклонения. Они должны присутствовать в любом случае. Их не так много: всего 2, и с каждым из них мы должны познакомиться ближе.

• Обязательный тег р

Это цельная система приема отправлений, определяющая требования к письмам для доменного имени и его субдоменов, если нет отдельных указаний для поддоменов, для которой часто используется тег «sp». Он способен принимать несколько значений:

• none: не нужно никаких манипуляций. 
• quarantine: предполагает, что хозяин домена запрашивает, чтобы сообщения, не сумевшие пройти проверку DMARC, автоматически считались сомнительными. Они попадут в папку со спамом или получат дополнительную отметку о потребности во внимательности, иногда они помечаются как подозрительные, помещаясь в условный «карантин».
• Тег reject: он говорит о просьбе со стороны владельца домена на отклонение писем, не прошедших проверку. Отклонение осуществляется непосредственно во время транзакции SMTP.

В зависимости от целей и задач вы можете использовать нужные значения. 

• Обязательный тег v

Еще один обязательный тег, обозначающий версию. Его особенность в том, что он всегда должен принимать значение DMARC1, чтобы запись не оказалась проигнорирована. 

Необязательные теги и их миссия

Необязательные теги, как и следует из названия, не нужно включать в каждую запись. Здесь все зависит от конкретной ситуации и ваших пожеланий:

• adkim

Это тег позволяет запустить проверку на аутентификацию DKIM. Может на практике иметь 2 значения:

1. «r» — принимается по умолчанию, если не указать иного, то есть relaxed. Если, например, запись имеет отношение к доменному имени d=sample.com, а рассылка идет с адреса email@mail.sample.com, то проверка будет пройдена. 
2. «s» — означает strict. В этом случае проверку можно пройти, только когда отправка осуществляется с адреса на главном домене (исключительно sample.com), а любые субдомены не смогут пройти «через границу». 

• Тег aspf

С помощью этого необязательного тега вы запускаете проверку на аутентификацию SPF. Он также может принимать 2 значения, как и в предыдущем пункте («r» по умолчанию и «s»). 

• fo

Этот тег помогает реализовать отчеты об имеющихся ошибках. Изначально у него значение «0», но, конечно, его может задать пользователь. Какие значения можно использовать?

• 0: генерация отчета об ошибках, если не получилось пройти механизмы аутентификации. 
• Значение 1: генерация отчета, если даже хоть 1 механизм не пройден успешно. 
• d: формирование отчета, если отправление не смогло пройти проверки DKIM без оглядки на аутентификацию. 
• s: если email провалил в пух и прах все проверки на SPF, формирование отчета об этом.  

Вы можете брать любое значение из этого списка, если вас не устраивает по функционалу тег «0».

• pct

У этого тега есть свое значение по умолчанию – 100. Это процент сообщений, к которым следует применять политику DMARC. Пользователь может самостоятельно установить любое число в диапазоне от 0 до 100. Провоцируйте постепенный рост процентов, чтобы избежать ошибок. 

• rf

Это необходимый формат, чтобы генерировать отчеты об ошибках, и по умолчанию здесь значение «afrf», которое на данный момент только и поддерживается, что во многом облегчает задачу. 

• ri

Данный тег – это интервал между отчетами в секундах. Есть установленное значение, которое по аналогии с другими тегами можно менять (ежесуточно 86400).

• rua

Этот тег перечисляет email для рассылки отчетов, которые разделены между собой запятыми. Есть возможность прописать указание «mailto», чтобы вставить актуальные ссылки для персональной отправки сгенерированных технологией отчетов по email. 

• ruf

Указание такого тега имеет резон, когда владелец доменного имени требует от серверов получателей отправления детальных отчетов относительно каждого сообщения, которое не смогло успешно пройти проверку DMARC.

Миссия и актуальность технологии

Мы уже подходим к концу публикации, но именно сейчас будет уместно объяснить, зачем обращать внимание на теги  и рассмотреть внедрение технологии. Более 10 лет назад появились технологии SPF и DKIM, позволяющие проводить аутентификацию отправителя. Их главная миссия – помогать в отслеживании сообщений мошеннического характера, письма от социальных сетей, банков и почтовых сервисов. Тем не менее, этого было мало, и внедрение DMARC стало логичным следующим шагом, так как:

1. У многих отправителей сообщений сложная система отправки.
2. Какой-то процент сообщений проходит аутентификацию, какой-то – нет. Появляется запрос относительно различения мошеннических и неаутентифицированных сообщений, исключения риска того, что они попадут в папку «Входящие».
3. Недостаточно хорошая обратная связь и отсутствие адекватного способа понять, какое количество потенциально опасных сообщений было отправлено, и DMARC прекрасно справляется с этой задачей.

Таким образом, можно совершенно уверенно сказать, что политика DMARC остро необходима, чтобы получатели email-отправлений были уверены в том, что отправителю можно доверять (и наоборот). Это важнейший «кирпичик» в стене, формируемой для борьбы со спамом и фишингом. Неслучайно многие крупные и авторитетные среди пользователей провайдеры приняли решение о включение строгой политики DMARC p=reject.

Мы очень рады, что вы заботитесь об уровне безопасности рассылки, так как это одно из ключевых условий успеха в понимании сервиса DashaMail, поэтому просим вас поделиться результатами внедрения и ваших впечатлениях. Обратная связь всегда важна.