Конкуренты могут отправлять e-mail от вашего имени. Как сделать это невозможным? SPF, DKIM, DMARC — Защита от спуфинга
16 июля 2021

Конкуренты могут отправлять e-mail от вашего имени. Как сделать это невозможным? SPF, DKIM, DMARC — Защита от спуфинга

Любой конкурент или мошенник может подделать e-mail адрес отправителя и рассылать письма от вашего имени.

Как сделать это невозможным?

Есть бесплатный способ, который используют крупные компании. И вы можете также.

Как? Разбираемся с вопросами далее.

Проблематика


Поддельные письма по электронной почте получали практически все пользователи.

Spoofing attack — атака, при которой обманщик успешно маскируется под другого отправителя.

Spoof с английского переводится как обман.

Цели атак самые разные:

  • Дискредитация бренда или бизнеса;
  • Фишинг с целью завладеть средствами;
  • Вирусы.

Решить проблему алгоритмически не могут ни Google, ни Яндекс.

Почему? Технически протокол отправки электронной почты не предусматривает аутентификацию пользователей. А значит, нет способа устранить фальсификации на этапе отправки писем.

Никаких проблем нет разослать письма от имени support@google.com или support@yandex.ru. Только поддельные письма от Google или Яндекс блокируются на принимающем сервере.

Если подделать адрес отправителя обычной компании, которая не использует механизмы защиты, то риск успешного завершения атаки определенно есть.

Чтобы почтовые сервера блокировали поддельные письма от конкретного доменного имени надо просто выполнить комплекс мер по защите.

Механизмы защиты доступны для любого сайта бесплатно.

Как защитить сайт от спуфинга

Если вопрос с защитой не решен, то ничего не мешает атакам на бренд завершиться успешно.

Практика показывает, что такие рассылки проводятся часто и являются эффективными. Масштаб:

  • За первый квартал 2021-го зафиксировано 79,6 миллиона попыток перейти на мошеннические страницы;
  • Средняя доля спама в почтовом трафике Рунета составляет 51%;
  • 12,4 млн пользователей становятся жертвами фишинга каждый год.

Проблема не надумана. Личный опыт и информация из разных источников указывает на массовость проблемы.

Как мошенники подделывают письма? При спуфинге цепочка коммуникации подделывается на всех этапах:

  • Подделывается отправитель;
  • Копируется дизайн оригинального письма;
  • Создается дубль оригинального сайта.

Чтобы увеличить количество открытий писем, преступники используют методы социальной инженерии. Например, в заголовках используются такие ключевые фразы как документы, заказ, пароль, срочно.

Как наносится ущерб? Конкуренты могут сделать e-mail рассылку от вашего адреса электронной почты. В содержании письма указать информацию, которая компрометирует бренд. Или даже устроить провокацию.

Пример рассылки, которую мошенники использовали, чтобы нанести ущерб MegaIndex:

Пример поддельного письма при spoofing атаке

Попытка атаки завершилась провалом. Аккаунты мошенников в облачных сервисах, используемых для отправки писем были, быстро заблокированы.

Даже если бы рассылка состоялась, письма были бы заблокированы принимающими серверами.

MegaIndex защищен от подобных атак.

Рекомендую защитить свои доменные имена, чтобы исключить все риски.

Как сделать так, чтобы письма от имени определенного доменного имени мог отправлять только владелец?

Разбираемся подробно с механизмами защиты.

Как бороться с фальшивыми рассылками?


Любой достойный сайт должен обладать защитой от рассылок с использованием поддельных электронных адресов.

Есть три ключевых механизма для борьбы с поддельными рассылками:

  • Sender Policy Framework;
  • Domain Keys Identified Mail;
  • Domain-based Message Authentication, Reporting and Conformance.

Внедрение механизмом защиты позволяет принимающим почтовым серверам проводить проверку на подлинность:

  • Если подлинность отправителя подтверждена, то письма проверяются на спам и направляются во входящие;
  • Если проверка не пройдена, то принимающий сервер блокирует письма.

Проверка писем на подлинность проводится на принимающей стороне. Например, на стороне Google, Яндекс и других почтовых серверах.

1 — SPF (Sender Policy Framework)


SPF — политика безопасности, которая позволяет задать список допустимых источников для отправки писем.

SPF позволяет проверить подлинность именно источника, с которого отправлено электронное письмо.

Инструкция SPF прописывается в виде строки TXT на сервере доменных имен.

В строке указывается список источников, с которых владелец разрешает отправку электронных писем. К примеру, перечень IP адресов.

Если письмо приходит от сервера с любым другим IP, то авторизация не выполняется.

Как работает SPF

Алгоритм работы:

  • Задается перечень разрешенных отправителей;
  • Принимающий почтовый сервер выгружает список с DNS-сервера;
    • Проводится проверка подлинности источника.

Синтаксис для SPF:

  • v — версия SPF, по умолчанию надо использовать v=spf1;
  • +a — все сервера из DNS-записей строк A авторизованы для отправки писем;
  • +mx — все сервера из DNS-записей строк A авторизованы для отправки писем;
  • +domain — домен domain авторизован для отправки писем;
  • -all — использование других любых других источников для отправки электронных писем запрещено.

Пример записи для доменного имени indexoid:

indexoid.com. TXT v=spf1 +a +mx +a:indexoid.com -all

Полный перечень доступных записей по ссылке — SPF syntax.

2 — DKIM (Domain Keys Identified Mail)


DKIM — защита адреса электронной почты от подделывания с использованием пары ключей шифрования.

Как работает? Этапы:

  • Создается два ключа: открытый и закрытый;
  • Закрытый ключ автоматически прописывается в отправленных письмах;
  • Открытый ключ размещается владельцем сайта в TXT-записи на сервере доменных имен
  • Письма отправляются с DKIM-подписью;
  • Принимающий сервер выгружает с DNS-сервера открытый ключ и проверяет подлинность отправителя.

Закрытый ключ используется при шифрования заголовка и содержания письма исходящего письма.

Открытый ключ используется принимающим сервером для расшифровки.

Для проверки письма на подлинность требуются оба ключа: DKIM-Signature и Public key. Принимающий сервер сопоставляет контент из BODY и HEADERS.

Если проверка выполняется успешно, то письмо проверяется на спам и направляется во входящие.

Если какого-то из ключей нет или ключ подделан, письмо блокируется.

Закрытый ключ прописывается в технических заголовках, поэтому никакого дополнительного текста в содержании письма не появляется.

Как работает DKIM

Синтаксис строки DKIM:

  • v — версия DKIM, по умолчанию надо использовать v=DKIM1
  • k — тип ключа, используемый, по умолчанию надо использовать k=rsa
  • p — публичный ключ, закодированный base64

Символ ; используется для разделения параметров.

Необязательные параметры:

  • h — задает hash-алгоритм к использованию. Допустимые значения h=sha1 или h=sha256;
  • s — тип сервиса, использующего DKIM. Допустимые значения s=* или s=email. По умолчанию используется значение s=*;
  • t=s — означает применение инструкций только для доменного имени, на котором прописана строка. Не рекомендуется, если для рассылки используются также поддомены.

3 — DMARC (Domain-based Message Authentication, Reporting and Conformance)


DMARC — политика для почтовых серверов о принятии мер к скомпрометированным электронным письмам.

Инструкция политики DMARC:

  • Указывает почтовым серверам как действовать с письмами, которые не прошли проверки на DKIM и/или SPF;
  • Позволяет получать от почтовых сервера отчеты касательно писем, которые были отправлены от имени подтвержденного доменного имени.

Варианты действий:

  • Отправлять письма в спам;
  • Заблокировать прием.

Инструкция прописывается в TXT-записи на сервере доменных имен.

Как работает:

  • Принимающий почтовый сервер принимает письма;
  • Почтовый сервер определяет доменное имя из заголовка d;
  • Проводится анализ SPF, если запись есть;
  • Проводится анализ DKIM, если запись есть;
  • Проводится анализ DMARC;
  • Выполняется политика DMARC.

Как работает DMARC

Синтаксис строки DMARC:

  • v — версия, по умолчанию надо использовать v=DMARC1
  • p — политика обработки, допустимые значение: none, quarantine или reject;
  • sp — политика в отношении поддоменов, принимает аналогичные значения;
  • aspf — проверять соответствие по SPF;
  • adkim — проверять соответствие по DKIM;
  • ruf — адрес, куда направлять отчеты.

Допустимые значения для параметров aspf, adkim:

  • aspf=s — строгое соответствие;
  • aspf=r — мягкая проверка.

Допустимые значения для параметра p:

  • p=none — не принимать мер совсем, только отчеты;
  • p=quarantine — направлять письма в спам;
  • p=reject отклонять.

Пример для wixfy:

_dmarc.seoheronews.com TXT v=DMARC1; p=reject; sp=reject; ruf=mailto:postmaster@wixfy.com.

Есть другие виды атак.

Часто соперники по поисковой выдаче размещают спамные внешние ссылки на конкурентные сайты, поскольку плохие ссылки мешают продвижению.

Найти опасные ссылки позволяет MegaIndex:

  1. Откройте сервис Внешние ссылки;
  2. Введите адрес продвигаемого сайта;
  3. Используйте фильтр SEO, чтобы определить выгрузить потенциально опасные внешние ссылки. Разметка происходит автоматически системой MegaIndex;
  4. Проанализируете список и определите действительно опасные;
  5. Вы отправляете отобранные опасные ссылки в Google Disavow Links Tool или в Yandex по форме обратной связи.

Рекомендованные материалы по теме:


Как найти внешние ссылки

Выводы


Практически в любом бизнесе рассылки электронных писем входят в список главных инструментов коммуникации от имени бренда.

Конкуренты или мошенники могут подделывать e-mail отправителя.

Атака с подменой адреса отправителя называется спуфингом.

Провести атаку просто. Потенциальной риск нанесения ущерба бизнесу и репутации бренда значимый.

Если атака организована мошенниками, обычно целью является хищение персональных данных.

Если атака организована конкурентами, обычно целью является дискредитация бренда или бизнеса.

Важно защитить адрес электронной почты от происков конкурентов.

Для надежной защиты надо использовать связку из механизмов SPF, DKIM, DMARС.

Принцип действия:

  • SPF позволяет ограничить источники для отправки писем. Например, по IP;
  • DKIM добавляет цифровую подпись, которая позволяет связать письмо с доменным именем. Принимающие сервера используют цифровую подпись для проверки отправителя на достоверность и фильтрации на спам;
  • DMARC позволяет определить политику в отношении скомпрометированных писем.

Механизмы помогают запретить злоумышленникам отправлять сообщения, которые выглядят так, как будто они приходят от доменного имени.

Все бесплатно.

Механизмы поддерживаются почтовыми сервисами Google, Яндекс, Yahoo, Mail.ru, Ukr.net и Microsoft.

Любой способен настроить защиту электронного адреса самостоятельно. Никаких трат не требуется.

Схема:

Как защитить адрес электронной почты от подделки

Есть вопросы или дополнения по теме? Есть мнения? Напишите в комментариях.

На внедрение не требуется специальных навыков. Если есть интерес к теме, разъясню как создать электронную почту на доменном имени бесплатно и как установить защиту для электронного адреса на практике.

Обсуждение

oooartmash
14:35 19 июля 2021
Жаль, что в перечень "любых способных" мне попасть не удалось :( Если общая задумка кое-как сложилась, то с практикой вообще ничего не понятно :(
Дмитрий Угниченко
14:48 19 июля 2021
Спасибо за хороший отклик! В реализации все просто, если общая задумка понятна. Могу отдельно разъяснить как на практике все реализовать.
sozvezdie_narodov
15:47 19 июля 2021
Напишите, пожалуйста, подробную инструкцию - очень нужна. Нам тоже непонятно, что конкретно делать, хотя идея, конечно, правильная.
И еще, подскажите, эти методики ведь не защитят, если злоумышленники будут отправлять письма с таким же адресом, но одной измененной буквой (sypport@yandex.ru. вместе support@yandex.ru, к примеру)?
Андрей К
14:50 19 июля 2021
Здравствуйте! Снимите видео на эту тему, будет понятно.
Дмитрий Угниченко
21:03 19 июля 2021
Спасибо за хороший отклик! Будет контент по теме.
vadcomcorp
18:41 19 июля 2021
Тема очень актуальная, можно действительно подробнее прямо разжевать, как на сервере все это настроить!
Дмитрий Угниченко
21:03 19 июля 2021
Спасибо за хороший отклик! Сделаю
basia2001
23:55 19 июля 2021
Интересно, как вы думаете, для кого вы пишете? )))
Дмитрий Угниченко
12:26 20 июля 2021
На крайне широкую аудиторию. Намеренно сильно упрощаю текст, чтобы было понятно многим. Аудитория реально очень разная. От обычных владельцев сайтов и специалистов по поисковой оптимизации, до, что знаю точно, управленцев крупных IT проектов. В большой мере пишу для обычных пользователей. Хочу чтобы уровень знаний повышался.
yarnik.seo
12:18 20 июля 2021
Круто! спасибо
Дмитрий Угниченко
17:06 21 июля 2021
Спасибо за позитивный отклик!
boss
14:13 20 июля 2021
Вот статья *** с примером как настроить dkim spf на хостинге
Дмитрий Угниченко
16:45 21 июля 2021
Спасибо за ссылку, но конкретный пример хостинга использует мало пользователей.
autoclub78
17:52 20 июля 2021
А если почта на Яндексе, можно сделать защиту?
Дмитрий Угниченко
16:45 21 июля 2021
Используется обычная почта на Яндексе?
Для добавления комментария, пожалуйста, авторизуйтесь