Рекомендации по поддержке проверки подлинности отправителя в Службах электронной почты коммуникации Azure

В этой статье приведены рекомендации по отправке сообщений электронной почты о записях DNS и о том, как использовать методы проверки подлинности отправителя, которые помогают злоумышленникам отправлять сообщения, которые выглядят из вашего домена.

Проверка подлинности электронной почты и настройка DNS

Отправка электронной почты требует нескольких шагов, включая проверку того, что отправитель электронной почты действительно владеет доменом, проверку репутации домена, сканирование на вирусы, фильтрацию спама, попыток фишинга, вредоносных программ и т. д. Настройка корректной аутентификации электронной почты является основополагающим принципом для установления доверия к электронной почте и защиты репутации вашего домена. Если электронная почта проходит проверку подлинности, принимающий домен может применить к этой электронной почте политику в соответствии с репутацией, уже установленной для удостоверений, связанных с этими проверками проверки подлинности, и получатель может быть уверен, что эти удостоверения действительны.

Запись MX (Почта Exchange)

Запись MX (Mail Exchange) используется для маршрутизации электронной почты на правильный сервер. Он указывает почтовый сервер, ответственный за прием сообщений электронной почты от имени вашего домена. DNS необходимо обновить с последними сведениями о записях MX вашего домена электронной почты, в противном случае это приведет к некоторым сбоям доставки.

SPF (инфраструктура политики отправителя)

SPF RFC 7208 — это механизм, позволяющий владельцам домена публиковать и обслуживать их через стандартную запись DNS TXT, список систем, авторизованных для отправки электронной почты от их имени. Эта запись используется для указания, какие почтовые серверы авторизованы для отправки электронной почты от имени вашего домена. Это помогает предотвратить спуфинирование электронной почты и повысить доступность доставки электронной почты.

DKIM (ключи домена, определяемые почтой)

DKIM RFC 6376 позволяет организации претендовать на ответственность за передачу сообщения таким образом, который можно проверить получателем. Эта запись также используется для проверки подлинности домена, из которой отправляется сообщение электронной почты, и помогает предотвратить спуфинирование электронной почты и повысить доступность доставки электронной почты.

Проверка подлинности сообщений, отчетности и соответствия требованиям на основе домена (DMARC)

DMARC RFC 7489 — это масштабируемый механизм, с помощью которого исходная организация может выразить политики и предпочтения уровня домена для проверки сообщений, ликвидации и создания отчетов о том, что принимающая почту организация может использовать для улучшения обработки почты. Он также используется для указания того, как получатели электронной почты должны обрабатывать сообщения, которые завершаются сбоем SPF и DKIM проверка. Это повышает доступность электронной почты и помогает предотвратить спуфинирование электронной почты.

ARC (полученная цепочка с проверкой подлинности)

Протокол ARC RFC 8617 предоставляет цепочку проверки подлинности для сообщения, позволяя каждой сущности, обрабатывающей сообщение, определить, какие сущности производили обработка ранее, а также узнать оценку проверки подлинности сообщения на каждом переходе. ARC еще не является интернет-стандартом, но его внедрение растет.

Как работает проверка подлинности электронной почты

Проверка подлинности электронной почты проверяет, являются ли сообщения электронной почты отправителя (например, notification@contoso.com) допустимыми, и поступают ли из ожидаемых источников для этого домена электронной почты (например, contoso.com.). Сообщение электронной почты может содержать несколько адресов отправителя. Эти адреса могут использоваться для различных целей. Вот примеры некоторых таких адресов.

• Адрес Mail From идентифицирует отправителя и указывает, куда отправлять уведомления о возврате, например уведомления о неудавшихся доставках, если возникают проблемы с доставкой сообщения. Оно отображается в конвертной части сообщения электронной почты и не отображается приложением электронной почты. Иногда это называется адресом 5321.MailFrom или обратным направление пути.

• Адреса «от» — это адрес, отображаемый в поле «От» почтового приложения. Этот адрес указывает автора сообщения электронной почты, То есть почтовый ящик пользователя или системы, ответственных за написание сообщения. Иногда это называется адресом 5322.From.

• Инфраструктура политики отправителей (SPF) помогает проверить исходящие сообщения, отправленные из вашего почтового ящика из домена (поступает от того, кто это сообщает).

• Ключи домена, определяемые почтой (DKIM), помогают гарантировать, что конечные почтовые системы доверяют сообщениям, отправленным из вашего почтового ящика из домена.

• Проверка подлинности сообщений на основе домена, отчеты и соответствие (DMARC) работают с платформой политики отправителей (SPF) и ключами доменов, определяемые почтой (DKIM), для проверки подлинности отправителей почты и обеспечения доверия конечных почтовых систем, отправленных из вашего домена.

Реализация DMARC

Реализация DMARC с помощью SPF и DKIM обеспечивает расширенную защиту от спуфинга и фишинговых сообщений электронной почты. Для предоставления списка авторизованных IP-адресов отправки для указанного домена инфраструктура SPF использует запись DNS TXT. Как правило, проверки SPF выполняются только для адреса 5321.MailFrom. Это означает, что адрес 5322.From не проходит проверку подлинности при использовании SPF самого по себе. Это позволяет использовать сценарий, в котором пользователь может получить сообщение, которое проходит проверку SPF, но имеет поддельный адрес отправителя 5322.From.

Аналогично записям DNS для SPF, запись для DMARC представляет собой текстовую запись DNS (TXT), которая позволяет предотвратить спуфинг и фишинг. Записи DMARC TXT публикуются в DNS. Записи DMARC TXT валидируют происхождение сообщений электронной почты, проверяя IP-адрес автора сообщения электронной почты относительно предполагаемого владельца отправляющего домена. Запись DMARC TXT позволяет определить уполномоченные серверы исходящей электронной почты. Конечные почтовые системы в свою очередь проверяют, были ли получаемые сообщения отправлены уполномоченными серверами исходящей электронной почты. Это приводит к несоответствию между адресами 5321.MailFrom и 5322.From во всех адресах электронной почты, отправляемых из вашего домена, и DMARC завершится ошибкой для этого сообщения. Чтобы избежать этого, необходимо настроить DKIM для домена.

Запись политики DMARC позволяет домену объявлять, что электронная почта использует проверку подлинности; предоставляет адрес электронной почты для сбора отзывов об использовании своего домена; и указывает запрошенную политику для обработки сообщений, которые не проходят аутентификацию. Примите во внимание следующие рекомендации.

• Домены политик, публикующих записи DMARC, будут "p=reject", где это возможно, "p=карантин" в других случаях.
• Оператор политики "p=none", "sp=none" и pct<100 следует рассматривать только как переходные состояния с целью их скорейшего удаления.
• Любая опубликованная запись политики DMARC должна включать как минимум тег rua, указывающий на почтовый ящик для получения итоговых сводных отчетов DMARC, и не должен отправлять ответы при получении отчетов, связанных с проблемами конфиденциальности.

Следующие шаги

• Ознакомьтесь с рекомендациями по реализации DMARC

• Устранение неполадок реализации DMARC

• Домены электронной почты и проверка подлинности отправителя для Служб коммуникации Azure

• Начало работы с помощью создания службы коммуникации электронной почты и управления ими в Службе коммуникации Azure

• Начало работы путем подключения службы коммуникации электронной почты к ресурсу Службы коммуникации Azure

Вас могут заинтересовать следующие документы:

• Сведения о клиентской библиотеке для электронной почты
• Как отправлять сообщения электронной почты с настраиваемыми проверенными доменами? Добавление пользовательских доменов
• Как отправлять сообщения электронной почты с помощью управляемых доменов Azure? Добавление управляемых доменов Azure