Email-аутентификация: спасаем почту от мошенников и папки «Спам»
Пользователи «Джино.Почты» наверняка замечали в настройках вот такие кнопки рядом с доменами:
С их помощью для доменной почты можно подключить email-аутентификацию — проверку адреса отправителя письма на подлинность. Да, бывает так, что мошенники посылают ничего не подозревающим пользователям письма от лица другого человека с целью обмана. А ещё письма с ящиков без настроенной email-аутентификации попадают в папку «Спам» гораздо чаще, чем сообщения с проверенных ящиков.
Чтобы с вами всего этого не происходило, нужны SPF, DKIM и DMARC. Этими тремя технологиями способы аутентификации не ограничиваются, но именно они являются основой для проверки писем по электронной почте.
SPF (Sender Policy Framework) — механизм подтверждения того, что письмо было отправлено именно тем человеком, которому принадлежит указанный почтовый адрес. Ведь злоумышленники способны отправлять письма с чужого ящика, не заходя в него с помощью пароля.
Личность отправителя подтверждается с помощью заранее составленного списка IP-адресов, используемых для отправки писем с почтовых ящиков конкретного домена. Перед доставкой сообщения получателю принимающий сервер с помощью SPF сопоставляет IP, откуда оно пришло, с IP указанного отправителя. Если IP-адрес совпадает с каким-либо адресом из списка, письмо попадает в папку «Входящие».
Схема работы SPF
DKIM (DomainKeys Identified Mail) — тоже метод подтверждения домена отправителя, но на более сложном уровне. В этом случае используются два ключа (уникальных сочетаний символов), приватный и публичный. Приватный размещается в письме, а публичный — на сервере.
При предварительном получении письма происходит обращение к публичному ключу, который позволяет расшифровать приватный. Если расшифровка происходит успешно, авторство письма подтверждается, а вместе с ним подтверждается и высокая репутация отправителя. В противном случае почтовый ящик теряет репутацию, что чревато дополнительными проверками или вовсе занесением в «чёрный список» почтовых адресов.
Схема работы DKIM
DMARC (Domain-based Message Authentication, Reporting and Conformance) — система мер, которые применяются к отправителям, не прошедшим проверку с помощью DKIM и SPF. DMARC определяется самим отправителем писем.
Технология применяется для получения статистики по email-рассылкам и для защиты от спуфинга, то есть использования домена для отправки мошеннических писем от имени другого человека. Если кратко, то, согласно установленной на домене политике DMARC, подозрительные сообщения могут либо отклоняться, либо помечаться как спам или просто пропускаться дальше — зависит от пожеланий владельца домена.
Чтобы воспользоваться всеми тремя механизмами email-аутентификации, необходимо добавить записи на DNS-сервер домена, который используется для создания ящиков. Точный алгоритм действий зависит от конкретного провайдера, на сервера которого указывают NS-записи домена. Мы же расскажем, как подключить SPF, DKIM и DMARC на доменах, делегированных на «Джино».
В начале статьи мы уже упомянули о том, что в разделе «Почта / Управление / Почтовые ящики» рядом с каждым доменом есть кнопки для подключения email-аутентификации. Нажмите на одну из них, после чего на экране появится небольшое меню с возможностью активировать DKIM и SPF. Кликните на переключатели — и нужные записи автоматически добавятся на DNS-сервере.
Для подключения DMARC перейдите в раздел «Домены / Управление». Затем откройте настройки домена, а в них — вкладку «DNS». Нажав на кнопку «Новая DNS-запись», выберите тип записи «TXT» и добавьте в поле следующую строку:
v=DMARC1; p=reject; sp=reject; ruf=mailto:example@your.tld; fo=1
После ruf=mailto:
вместо example@your.tld
укажите адрес электронной почты, на который вы хотели бы получать детальные отчёты о письмах, не прошедших проверку с помощью SFP или DKIM.
Все эти несложные действия помогут повысить репутацию домена в глазах почтовых сервисов и защитить сам домен от посягательств злоумышленников.