DMARC-звіти: як їх читати та використовувати

У цій статті пояснюється, як інтерпретувати щоденні DMARC-звіти, що надсилаються поштовими серверами одержувачів.

Вступ:

DMARC, що означає Domain-based Message Authentication, Reporting and Conformance, — це протокол автентифікації електронної пошти. Він додає додатковий рівень безпеки, ґрунтуючись на існуючих механізмах (SPF і DKIM), щоб ефективно запобігати підробці особи та фішинговим атакам. DMARC також дозволяє власникам доменів отримувати звіти про листи, надіслані нібито від їх імені, щоб краще контролювати використання свого домену.

Цей стандарт допомагає захистити ваш домен від шахрайського використання спамерами, які можуть підробляти адресу відправника («From»), щоб створити враження, ніби лист надходить від легітимного користувача вашого домену. DMARC запобігає такого роду підробці, гарантуючи, що листи авторизовані для надсилання від імені вашого домену.

DMARC покладається на інші стандартні протоколи автентифікації, такі як SPF (Sender Policy Framework) і DKIM (DomainKeys Identified Mail), щоб допомогти адміністраторам виявляти шахрайські листи, надіслані кіберзлочинцями. Поєднуючи ці механізми, DMARC підвищує здатність виявляти спроби підробки та захищати репутацію домену.

Примітка: Коли ви автентифікуєте свій домен на systeme.io, записи SPF і DKIM автоматично додаються до вашого домену.

Протокол DMARC дозволяє відправникам визначити політику, яка вказує серверам-одержувачам, як обробляти листи, що не проходять перевірки SPF або DKIM. Відповідно до цієї політики, невідповідні повідомлення можуть бути позначені як спам або повністю відхилені.

Що таке DKIM і SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM — це метод автентифікації електронної пошти, який використовує цифровий підпис, щоб дозволити одержувачам перевірити, чи повідомлення було надіслане авторизованим відправником і чи не було змінено під час передачі.

Коли надсилається лист, він підписується за допомогою приватного ключа, пов'язаного з доменом відправника. Після отримання поштовий сервер одержувача (наприклад, Gmail, Outlook тощо) використовує публічний ключ, опублікований у DNS домену, щоб перевірити підпис. Це гарантує, що вміст листа не було змінено під час передачі.

Іншими словами, DKIM перешкоджає тому, щоб третя сторона перехопила лист, змінила його вміст і відправила його з потенційно шахрайською інформацією.

Ще одна важлива перевага DKIM — те, що він допомагає будувати репутацію вашого домену відправника. Інтернет-провайдери (ISP) аналізують якість відправлень (рівні спаму, відскоків, взаємодію отримувачів тощо), щоб оцінити надійність домену. Дотримання цих найкращих практик безпосередньо покращує доставлюваність ваших листів.

2. SPF (Sender Policy Framework)

SPF — це протокол автентифікації електронної пошти, який дозволяє провайдерам, таким як Gmail, перевіряти, чи поштовий сервер має повноваження надсилати повідомлення від імені домену. По суті, це список дозволених , задекларований у DNS домену, який вказує, які служби або IP-адреси дозволено використовувати для надсилання листів від вашого імені.

Коли повідомлення надходить, сервер-одержувач перевіряє, чи відправник присутній у списку дозволених, визначеному в записі SPF. Якщо ні, повідомлення може бути позначене як підозріле або відхилене.

Які переваги DMARC?

Захист репутації вашого домену

DMARC захищає ваш бренд і домен від спроб підробки. Він запобігає неавторизованим відправникам надсилати листи від вашого імені. У деяких випадках проста публікація запису DMARC може покращити репутацію вашого домену у постачальників електронної пошти.

Краще розуміння використання домену

DMARC-звіти дають чітке уявлення про те, як використовується ваш домен — легітимно чи ні. Ви можете бачити, хто надсилає листи від вашого імені, і швидко виявляти будь-яку підозрілу активність.

Покращення доставлюваності листів

DMARC підтверджує, що ваші листи правильно автентифіковані за допомогою SPF і DKIM. Виявляючи та виправляючи проблеми з автентифікацією, ви підвищуєте шанси того, що ваші листи потраплять у папку «Вхідні», і зменшуєте ризик потрапляння в спам.

Зменшення кількості спаму та скарг

Запобігаючи доставці підроблених листів кінцевим користувачам, DMARC допомагає зменшити кількість скарг на спам і захищати репутацію вашого домену у провайдерів.

DMARC-звіти дозволяють аналізувати результати автентифікації електронної пошти і вживати заходів для захисту репутації вашого домену або бізнесу.

Звіт DMARC зазвичай містить таку інформацію:

  • Назва організації (організація або провайдер), що генерує звіт
  • Період звітування (дата початку та завершення)
  • Статус автентифікації: успішно або неуспішно для SPF і DKIM
  • Вирівнювання SPF/DKIM: чи правильно записи узгоджуються з доменом відправника
  • IP-адреса відправника проаналізованого повідомлення
  • Дія, вжита сервером-одержувачем (прийнято, поміщено під карантин або відхилено)

Ці звіти забезпечують цінну видимість потоків електронної пошти з використанням вашого домену і допомагають виявляти спроби підробки.

Переваги відстеження DMARC-звітів

Регулярний моніторинг DMARC-звітів дає кілька ключових переваг для адміністраторів доменів:

  • Виявлення та виправлення проблем автентифікації

    Звіти виявляють збої SPF і DKIM, які можуть призвести до того, що ваші листи потраплятимуть у спам. Виправлення цих помилок покращує як репутацію домену, так і доставлюваність електронної пошти

  • Покращений контроль джерел відправлення

    Використовуючи дані звітів, ви можете впевнитися, що всі листи, надіслані з вашого домену, походять з легітимних джерел, швидко виявляючи спроби підробки або несанкціонованої відправки

  • Відповідність нормативним вимогам

    З ростом обсягів електронних комунікацій багато органів, включно з провайдерами електронної пошти, такими як Google, вимагають впровадження протоколів автентифікації на кшталт DMARC. Наприклад, починаючи з лютого 2024 року, Google вимагає від певних відправників дотримуватися цих стандартів для підтримки безпеки платформи

  • Документальне підтвердження відповідності

    Архівні копії ваших DMARC-звітів можуть слугувати відчутним доказом відповідності стандартам безпеки та вимогам щодо електронних комунікацій

Приклад DMARC-звіту

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Як читати DMARC-звіт:

У вас є два варіанти: ручний аналіз або використання допомоги штучного інтелекту.

A) Вручну розбити та інтерпретувати DMARC-звіт

Розбір базується на наведеному вище прикладі:

  1. Ваш ISP, назва вашого постачальника послуг електронної пошти:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
  1. Номер ідентифікації звіту:
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
  1. Діапазон дат (початок і кінець у секундах):
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
  1. Вимоги запису DMARC, опубліковані в DNS вашого домену:
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
  1. IP-адреса джерела відправлення:
<source_ip>XXX.XXX.XXX.XXX</source_ip>
  1. Підсумок результатів автентифікації (SPF/DKIM пройдено/не пройдено):
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
  1. Домен у полі "From":
<header_from> yourdomain.com</header_from>
  1. Результати автентифікації SPF:
<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>
  1. Результати автентифікації DKIM:
<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Використайте ШІ, наприклад ChatGPT, щоб проаналізувати DMARC-звіт

Ви можете використовувати інструменти ШІ, такі як ChatGPT, щоб проаналізувати та інтерпретувати DMARC-звіт. У цьому розділі наведено покрокові інструкції.

  1. Знайдіть DMARC-звіт

Відкрийте лист із XML-додатком (зазвичай їх надсилають автоматично поштові сервери-одержувачі).

  1. Відкрийте XML-файл

Після завантаження відкрийте його у простому текстовому редакторі, наприклад Notepad (Windows) або TextEdit (Mac).

  1. Скопіюйте вміст

Виділіть увесь XML-вміст і скопіюйте його.

  1. Вставте його в ChatGPT

Перейдіть у ChatGPT і вставте XML-вміст у вікно чату. Ви можете, наприклад, запитати:

«Чи можете ви проаналізувати цей DMARC-звіт і сказати, чи якісь листи не пройшли перевірки SPF або DKIM?»

  1. Інтерпретуйте результати

ChatGPT проаналізує теги звіту і надасть чітке, структуроване пояснення даних: відправник, результати SPF/DKIM, використана IP-адреса, вжита дія (прийнято, поміщено в карантин, відхилено) тощо.

Наші рекомендації щодо подальших дій

Тепер, коли ви розумієте, як впровадити DMARC, які його переваги та як інтерпретувати звіти, ви виконали важливий перший крок у захисті репутації вашого домену.

Однак як власник домену ваша відповідальність на цьому не закінчується: це тривалий процес, що вимагає регулярного моніторингу та коригувань.

Ось кілька найкращих практик для постійного застосування:

  • Регулярно перевіряйте свої DMARC-звіти

    Переглядайте звіти часто, щоб помічати будь-які неавторизовані спроби відправлення.

  • Аналізуйте дані та вживайте коригувальних заходів

    Швидко виправляйте будь-які проблеми з автентифікацією (SPF/DKIM) і коригуйте свою політику за потреби, щоб посилити безпеку відправлення.

  • Використовуйте свій домен відповідально

    Дотримуйтесь хороших практик відправлення (якісні списки контактів, низькі показники спаму, релевантний контент), щоб підтримувати репутацію домену та доставлюваність електронної пошти

Чи відповіло це на ваше запитання? Дякуємо за відгук Виникла проблема з відправкою вашого відгуку. Будь ласка, спробуйте пізніше.