Ключевые моменты
- Поймите различные функции SPF, DKIM и DMARC и то, как они способствуют общей безопасности вашей электронной почты.
- Узнайте, как шаг за шагом настроить эти протоколы, чтобы предотвратить спуфинг домена и защитить репутацию бренда.
- Изучите технические различия между проверкой на основе IP и криптографическими подписями для подтверждения личности отправителя.
- Узнайте, как отчеты DMARC обеспечивают полную видимость и контроль над тем, кто отправляет письма от имени вашего домена.
- Ознакомьтесь с лучшими практиками сочетания этих методов аутентификации, чтобы гарантировать, что ваши законные письма всегда попадают во входящие получателя.
Каждый день через интернет отправляются миллиарды писем — и не все они являются законными. Согласно данным Anti-Phishing Working Group, фишинговые атаки остаются одной из самых стойких угроз для бизнеса любого размера, причем спуфинг электронной почты лежит в основе большинства кампаний. Если вы управляете веб-сайтом или бизнес-доменом, понимание различий между SPF, DKIM и DMARC больше не является опциональным. Это необходимо.
Эти три протокола аутентификации электронной почты работают вместе, чтобы подтвердить, что ваши письма действительно пришли от вас, а не от злоумышленника, выдающего себя за ваш домен. Независимо от того, стремитесь ли вы защитить клиентов от фишинговых попыток, улучшить доставляемость или повысить доверие со стороны почтовых провайдеров, освоение SPF, DKIM и DMARC является одним из самых эффективных шагов на пути к усилению безопасности электронной почты.
В этом руководстве вы узнаете, что именно делает каждый протокол, чем они отличаются и как внедрить лучшие практики безопасности электронной почты для долгосрочной защиты вашего домена.
TL;DR: SPF vs DKIM vs DMARC
- SPF (Sender Policy Framework) проверяет авторизованные IP-адреса и серверы, которым разрешено отправлять письма от вашего домена.
- DKIM (DomainKeys Identified Mail) добавляет криптографическую цифровую подпись для проверки того, что содержимое письма не было изменено.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) предоставляет инструкции по обработке писем, которые не прошли проверки SPF или DKIM.
- Вместе эти протоколы предотвращают спуфинг домена, защищают репутацию бренда и значительно повышают общую скорость доставки писем.
Что такое SPF в электронной почте?
SPF (Sender Policy Framework) — это протокол аутентификации электронной почты, который определяет, какие почтовые серверы уполномочены отправлять письма от имени вашего домена. Он работает путем публикации DNS TXT-записи, которую принимающий почтовый сервер может проверить, когда приходит сообщение, заявляющее о происхождении от вашего домена.
Простыми словами: SPF создает утвержденный список отправителей для вашего домена на уровне DNS, и принимающие серверы сверяются с этим списком перед принятием ваших сообщений.
Как работает SPF?
Когда письмо отправляется с использованием вашего домена, принимающий сервер ищет ваши DNS-записи и проверяет наличие SPF-записи. Эта запись содержит список авторизованных IP-адресов и почтовых серверов. Если IP-адрес отправляющего сервера совпадает с записью в этом списке, письмо проходит аутентификацию SPF. Если совпадения нет, письмо может быть помечено или отклонено в зависимости от вашей конфигурации.
Базовая SPF-запись выглядит так:
v=spf1 include:mailserver.com -all
Тег -all в конце означает строгий отказ (hard fail), что указывает на явную неавторизованность любого сервера, не указанного в списке. Использование ~all вместо этого создает мягкий отказ (soft fail), который помечает неавторизованных отправителей без полного отклонения писем — это полезно во время тестирования, но менее безопасно в рабочей среде.
SPF — это критически важный первый уровень защиты, но у него есть важное ограничение: он проверяет только IP-адрес отправляющего сервера, а не содержимое сообщения или видимый адрес в поле «От» (From), который видят ваши получатели. Именно этот пробел восполняет DKIM.
Что такое DKIM в электронной почте?
DKIM (DomainKeys Identified Mail) добавляет криптографическую цифровую подпись к каждому письму, отправляемому вашим сервером. Эта подпись позволяет принимающим почтовым серверам подтвердить, что сообщение действительно произошло от вашего домена и что его содержимое не было изменено в пути.
Если SPF проверяет, кто отправил сообщение, то DKIM проверяет, что само сообщение не было подделано — это принципиально иная и дополняющая функция.
Как подписи DKIM защищают вашу электронную почту?
DKIM использует пару криптографических ключей. Закрытый ключ хранится в безопасности на вашем отправляющем почтовом сервере, а соответствующий открытый ключ публикуется в DNS-записях вашего домена. Когда вы отправляете письмо, ваш сервер подписывает его с помощью закрытого ключа. Когда принимающий сервер получает сообщение, он извлекает ваш открытый ключ из DNS и использует его для проверки подписи.
Если подпись совпадает, это подтверждает две вещи: письмо пришло из авторизованного источника, связанного с вашим доменом, и содержимое сообщения не было изменено во время доставки. Вот почему это важно для общей безопасности вашей электронной почты:
- Защищает целостность содержимого ваших писем от перехвата и манипуляций
- Добавляет проверяемый уровень идентификации, который SPF не может предоставить в одиночку
- Помогает почтовым провайдерам, таким как Gmail и Outlook, присваивать вашим сообщениям положительную репутацию
- Снижает вероятность попадания законных писем в папку спама
Однако сам по себе DKIM не дает указаний принимающим серверам, какие действия предпринимать при неудачной проверке. Именно эту роль играет третий протокол в рамках SPF vs DKIM vs DMARC.
Что такое DMARC в электронной почте?
DMARC (Domain-based Message Authentication, Reporting and Conformance) — это уровень политики, который связывает SPF и DKIM вместе. Он сообщает принимающим почтовым серверам, что делать, когда письмо не проходит проверки аутентификации, и предоставляет механизм отчетности, чтобы владельцы доменов могли отслеживать, кто отправляет письма от их имени.
DMARC превращает аутентификацию из пассивной проверки в применяемую политику, делая его самым мощным из трех стандартов.
Понимание уровней политики DMARC
DMARC работает через три уровня политики, которые вы определяете в своих DNS-записях:
- Нет (p=none): Принимающий сервер не предпринимает блокирующих действий, но отправляет вам отчеты. Это рекомендуемая отправная точка для мониторинга активности электронной почты без нарушения доставки.
- Карантин (p=quarantine): Письма, не прошедшие проверки DMARC, отправляются в папку «Спам» или «Нежелательная почта» получателя, а не во «Входящие».
- Отклонять (p=reject): Письма, не прошедшие DMARC, полностью блокируются и никогда не доходят до получателя. Это самый безопасный уровень политики.
Базовая DNS-запись DMARC выглядит так:
v=DMARC1; p=reject; rua=mailto:reports@[yourdomain].com
Тег rua указывает адрес электронной почты, на который доставляются агрегированные отчеты. Эти отчеты предоставляют вам постоянную видимость того, кто отправляет письма, утверждая, что они от вашего домена, включая неавторизованных отправителей, о которых вы можете не знать.
DMARC также обеспечивает «выравнивание» (alignment), требуя, чтобы домен в видимом заголовке «От» (From) совпадал с доменом, прошедшим аутентификацию через SPF или DKIM. Это закрывает критическую лазейку, которую оба протокола оставляют открытой при использовании по отдельности.
SPF vs DKIM vs DMARC: ключевые различия и как они работают вместе
Понимание каждого протокола по отдельности ценно, но реальный вопрос заключается в том, как SPF, DKIM и DMARC соотносятся друг с другом — и действительно ли вам нужны все три. Ответ — да, и вот почему каждый из них устраняет отдельную уязвимость.
| Протокол | Что проверяет | От чего защищает |
|---|---|---|
| SPF | Авторизованные отправляющие серверы через IP-адрес | Спуфинг на основе IP и неавторизованная отправляющая инфраструктура |
| DKIM | Целостность сообщения через криптографическую подпись | Подмена содержимого и фальсификация сообщений в пути |
| DMARC | Применение политики и выравнивание домена | Выдача себя за домен и спуфинг видимого адреса «От» (From) |
Представьте это так: SPF — это список гостей у входа — отправлять разрешено только утвержденным серверам. DKIM — это пломба на письме, свидетельствующая о вскрытии — она доказывает, что содержимое не менялось с момента отправки. DMARC — это менеджер по безопасности — он решает, что происходит при неудаче любой из проверок, и держит вас в курсе с помощью регулярных отчетов.
Использование одного только SPF означает, что отправитель все еще может подделать видимый адрес «От» (From), который ваши получатели видят в своем почтовом ящике. Использование одного только DKIM не ограничивает, какие серверы могут отправлять от вашего имени. DMARC требует, чтобы хотя бы один из протоколов, SPF или DKIM, прошел проверку, и чтобы аутентифицированный домен соответствовал заголовку «От» (From), что значительно усложняет спуфинг.
Крупные почтовые провайдеры, включая Google и Yahoo, сделали DMARC формальным требованием для массовых отправителей. Это отражает общий отраслевой сдвиг в сторону рассмотрения всех трех протоколов как базового стандарта для законной электронной переписки.
Лучшие практики безопасности электронной почты для каждого владельца домена
Знание того, что такое SPF, DKIM и DMARC в электронной почте, — это первый шаг. Правильная их реализация и поддержка со временем — это то, с чем сталкивается большинство владельцев доменов. Следующие лучшие практики безопасности электронной почты помогут вам создать надежную и безопасную систему аутентификации писем.
1. Начните с мониторинга перед принудительным применением
Когда вы впервые развернете DMARC, установите политику на p=none. Это позволит вам получать отчеты об аутентификации, не блокируя при этом никакие письма. Мониторьте эти отчеты как минимум две-четыре недели, чтобы понять картину вашей рассылки, прежде чем переходить к политикам карантина или отклонения.
2. Проведите аудит всех источников, которые отправляют письма от вашего имени
Прежде чем окончательно сформировать вашу SPF-запись, определите каждый сервис, который отправляет электронную почту, используя ваш домен — включая платформу хостинга, инструменты email-маркетинга, CRM-системы и провайдеров транзакционных писем. Любой законный отправитель, не включенный в вашу SPF-запись, может столкнуться с неудачей аутентификации своих сообщений.
3. Соблюдайте лимит DNS-запросов для SPF
SPF-записи ограничены 10 DNS-запросами. Превышение этого лимита приводит к тихому сбою SPF. Используйте инструменты для «уплощения» SPF, чтобы консолидировать записи и оставаться в рамках этого ограничения по мере роста вашей почтовой инфраструктуры.
4. Включите DMARC-отчетность и регулярно ее просматривайте
Настройте как агрегированные (rua), так и детализированные (ruf) отчеты в вашей DMARC-записи. Регулярный просмотр этих отчетов помогает рано обнаружить несанкционированное использование вашего домена и выявить ошибки конфигурации до того, как они повлияют на доставляемость или репутацию вашего домена.
5. Проверяйте ваши записи до и после публикации
Используйте такие инструменты, как MXToolbox или Google Admin Toolbox, чтобы протестировать ваши SPF, DKIM и DMARC записи как до публикации, так и после любых изменений. Эти инструменты выявляют ошибки конфигурации, которые могут незаметно подорвать всю вашу систему аутентификации электронной почты.
Заключительные мысли
Понимание полной картины различий между SPF, DKIM и DMARC дает вам возможность принимать обоснованные решения о том, как ваш домен взаимодействует в интернете. SPF определяет, какие серверы могут отправлять письма от вашего имени, DKIM подписывает ваши сообщения, подтверждая их подлинность, а DMARC обеспечивает соблюдение политики, информируя вас с помощью полезных отчетов. Вместе они образуют многоуровневую защиту от спуфинга электронной почты, фишинга и подделки доменов.
Следование лучшим практикам безопасности электронной почты, от тщательной начальной настройки до постоянного мониторинга и постепенного ужесточения политик, дает вам больший контроль над почтовой репутацией вашего домена и доверием, которое получатели оказывают вашим сообщениям. Независимо от того, управляете ли вы малым бизнесом, растущим блогом или высоконагруженным интернет-магазином, правильная настройка аутентификации электронной почты — это фундаментальная инвестиция в надежность вашего бренда и безопасность вашей аудитории.
Готовы сделать свой бренд более профессиональным и защитить деловую коммуникацию? Выберите профессиональную электронную почту от Bluehost уже сегодня и сделайте первый шаг к внедрению надежной защиты SPF, DKIM и DMARC, чтобы обеспечить безопасную и авторитетную доставку ваших писем.
Часто задаваемые вопросы
SPF подтверждает, что IP-адрес отправляющего сервера разрешен, а DMARC обеспечивает соответствие (alignment), гарантируя, что аутентифицированный домен совпадает с видимым адресом в поле «От» (From). Если сторонний сервис проходит SPF для своего собственного домена, но отправляет письма от вашего имени, DMARC завершится неудачей без правильного соответствия. Чтобы гарантировать успешную доставку в папку «Входящие», ваша SPF-запись должна авторизовать каждого отправителя и точно соответствовать вашей общей инфраструктуре рассылки.
DMARC служит основой для политик и отчетности, построенной на столпах аутентификации SPF и DKIM. Он указывает принимающим серверам, разрешать, отправлять в карантин или отклонять сообщения, когда проверки подлинности отправителя не проходят. Кроме того, DMARC требует соответствия доменов и генерирует отчеты, которые помогают вам отслеживать весь почтовый трафик, исходящий из вашего домена.
DMARC требует, чтобы либо SPF, либо DKIM прошли проверку с правильным соответствием, но настоятельно рекомендуется реализовать оба протокола для максимальной доставляемости. SPF может нарушаться при пересылке писем, потому что IP-адрес отправителя меняется, тогда как криптографическая подпись DKIM остается целой при пересылке. Развертывание обоих протоколов обеспечивает вашей общей DMARC-политике надежный запасной вариант, гарантируя, что легитимные сообщения не будут ошибочно заблокированы.
Да, DMARC может пройти проверку только с SPF при условии, что домен отправителя в конверте (envelope sender) идеально совпадает с доменом в поле «От» (From), которое видят получатели. Однако полагаться исключительно на SPF часто приводит к сбоям DMARC при использовании сторонних маркетинговых инструментов или при пересылке писем. Из-за этих уязвимостей в части соответствия настоятельно рекомендуется комбинировать DKIM с SPF для надежной аутентификации сообщений.
Эти три записи аутентификации электронной почты хранятся в виде TXT-записей в DNS-настройках вашего домена (хотя DKIM иногда публикуется как CNAME-запись). SPF размещается на корневом домене, DKIM использует определенный селектор на имени хоста _domainkey, а DMARC публикуется на имени хоста _dmarc. Вы можете легко управлять этими записями через вашего регистратора доменов, хостинг-провайдера или DNS-провайдера.
Вы можете проверить результаты аутентификации, открыв полученное сообщение и просмотрев исходные заголовки письма или полный исходный код сообщения. Найдите в исходном коде заголовок «Authentication-Results», чтобы увидеть точный статус прохождения или сбоя для SPF, DKIM и DMARC. Для более наглядного представления и упрощения диагностики вы также можете вставить эти заголовки в надежный инструмент для анализа электронной почты.
DKIM-запись — это DNS TXT-запись, которая содержит открытый ключ, используемый вашим доменом для проверки криптографических подписей электронной почты. Эта запись использует селектор, назначенный вашим провайдером, и содержит теги для версии, типа ключа и самого открытого ключа. Для обеспечения надежной общей безопасности электронной почты храните ваш закрытый ключ в защищенном месте на вашем почтовом сервере и регулярно обновляйте (ротируйте) ваши DKIM-ключи.
DMARC-запись — это DNS TXT-запись, размещенная на имени хоста _dmarc, которая указывает принимающим почтовым серверам, как обрабатывать письма, не прошедшие проверку SPF или DKIM. Она включает специальные теги, определяющие вашу политику (none, quarantine или reject), адреса для отправки отчетов и строгость соответствия. Рекомендуется начинать с политики мониторинга, чтобы анализировать отчеты, прежде чем переходить к более строгим политикам карантина или отклонения.
Чтобы настроить SPF, начните с составления перечня всех сервисов, которые отправляют электронную почту от имени вашего домена, таких как CRM-системы, провайдеры транзакционных писем и хостинг-платформы. Затем объедините этих утвержденных отправителей в одну TXT-запись и добавьте ее в DNS вашего корневого домена. Помните, что у домена может быть только одна SPF-запись, и она должна строго соблюдать лимит в 10 DNS-запросов, чтобы предотвратить незаметные сбои в доставке.
DMARC анализирует результаты SPF и DKIM входящих писем, чтобы убедиться, что аутентифицированный домен идеально совпадает с видимым адресом в поле «От». В зависимости от опубликованной политики, он может просто отслеживать сообщение, отправлять его в папку спама или полностью отклонять, если аутентификация не пройдена. DMARC также отправляет сводные отчеты на указанный вами email-адрес, предоставляя постоянное представление обо всех службах, отправляющих письма от имени вашего домена.
Настройка SPF необходима, поскольку она значительно снижает риск спуфинга и предотвращает попадание ваших настоящих писем в папку спама. Четко авторизуя определенные IP-адреса, она предотвращает попытки злоумышленников имитировать ваш бренд для проведения фишинговых атак. Однако помните, что вы должны соблюдать лимит в 10 DNS-запросов и внедрить DKIM в качестве резервного варианта, так как SPF обычно перестает работать при пересылке писем.
Настройка DKIM начинается с генерации пары приватного/публичного ключей в консоли администратора вашего почтового сервиса. Затем вы публикуете публичный ключ в виде DNS TXT-записи, используя предоставленную метку селектора. После распространения изменений DNS активируйте подпись DKIM в вашей почтовой платформе и проверьте конфигурацию с помощью доверенного стороннего инструмента тестирования.
SPF действует как основанный на DNS список разрешений, который принимающие серверы проверяют, чтобы убедиться, что исходный IP-адрес письма разрешен для отправки от имени вашей организации. Он проверяет скрытого отправителя конверта, а не видимый адрес в поле «От», что часто приводит к путанице при работе со сторонними платформами email-маркетинга. Для надежной доставляемости каждый допустимый источник отправки должен быть добавлен в вашу единственную SPF-запись, предпочтительно в сочетании с политикой hardfail в рабочей среде.
SPF, DKIM и DMARC — это взаимосвязанные стандарты аутентификации email, которые совместно защищают ваш домен от фишинга и спуфинга. SPF проверяет IP-адрес отправителя, DKIM подтверждает целостность сообщения с помощью криптографических подписей, а DMARC применяет правила соответствия домена на основе этих проверок. Вместе они позволяют применять строгие политики для неудачных сообщений, собирая при этом подробные данные обо всем вашем email-трафике.
SPF работает через DNS TXT-запись в вашем корневом домене, которая перечисляет все IP-адреса, разрешенные для отправки писем от имени вашего бренда. Когда письмо получено, сервер назначения сравнивает исходный IP-адрес отправителя конверта с этим опубликованным списком. Поскольку SPF аутентифицирует только обратный путь и игнорирует видимый адрес в поле «От», для правильной остановки спуфинга домена необходимо соответствие DMARC.
DMARC — это ключевой протокол аутентификации, который точно указывает принимающим серверам, что делать с письмами, не прошедшими проверку SPF или DKIM. Он требует, чтобы аутентифицированный домен идеально соответствовал заголовку «От», тем самым закрывая лазейки для подмены, присутствующие в старых протоколах. Настройка DMARC останавливает атаки спуфинга и предоставляет важные сводные отчеты, помогающие контролировать общую исходящую email-инфраструктуру.
DKIM защищает содержимое ваших исходящих писем, применяя безопасную криптографическую подпись, связанную с приватным ключом на вашем сервере. Принимающие платформы извлекают соответствующий публичный ключ из вашего DNS, чтобы убедиться, что сообщение не было изменено во время доставки. Эта защита от несанкционированного доступа улучшает попадание во входящие и предоставляет надежную основу для соответствия DMARC, что особенно полезно при пересылке сообщений.
Основная лучшая практика — внедрять все три протокола одновременно, начиная с точной SPF-записи и безопасного 2048-битного ключа DKIM. Сначала DMARC должен быть настроен с политикой мониторинга, прежде чем вы постепенно перейдете к карантину или отклонению по мере проверки легитимной почты. Кроме того, убедитесь, что ваша SPF-запись остается в пределах лимита 10 DNS-запросов и регулярно проверяйте отчеты DMARC, чтобы выявлять несанкционированных отправителей.
DMARC — это важный механизм политики, который дает владельцам доменов возможность указывать, как принимающие серверы должны обрабатывать неподтвержденные письма. Требуя строгого соответствия между аутентифицированным доменом и адресом в поле «От», видимым пользователю, он предотвращает сложные атаки компрометации бизнес-email (BEC). Кроме того, функции отчетности DMARC предоставляют организациям беспрецедентную видимость допустимых служб отправки и злонамеренных попыток подмены.
Для достижения оптимальной общей безопасности email организациям необходимо развертывать SPF, DKIM и DMARC вместе, а не рассматривать их как отдельные инструменты. Начните с публикации исчерпывающих SPF- и DKIM-записей, затем внедрите политику DMARC, установленную в «none», чтобы собирать данные, не нарушая поток почты. После того как вы убедитесь, что все одобренные отправители успешно аутентифицируются, вы можете уверенно повысить свою политику DMARC для отклонения мошеннического трафика.
SPF позволяет администраторам доменов публиковать DNS TXT-запись, каталогизирующую все IP-адреса, разрешенные для отправки писем от их имени. При получении письма сервер назначения проверяет исходный IP-адрес по этой записи, чтобы решить, проходит ли сообщение проверку или нет. Поскольку SPF строго полагается на IP-адрес отправителя, его аутентификация обычно нарушается при пересылке писем, что делает DKIM необходимым дополнением для надежной безопасности email.
DKIM защищает исходящие письма, прикрепляя криптографическую подпись, сгенерированную приватным ключом, хранящимся в безопасности на вашем почтовом сервере. Принимающие платформы извлекают соответствующий публичный ключ из вашего DNS, чтобы убедиться, что сообщение действительно пришло из вашего домена и не было изменено. Поскольку подписи DKIM интегрированы непосредственно в заголовки писем, они легко выдерживают механизмы пересылки, которые обычно приводят к сбою стандартных проверок SPF.
Комментарии
Категории
Случайное
Теневая ИТ: невидимая угроза для вашего
PHP и кодировка UTF-8: как избежать
Топ-6 сервисов для корпоративной почты
Полный гид по доменным зонам (TLD)