DMARC: что это такое + как он помогает защитить ваш бренд от мошенничества по электронной почте

В мире электронной почты удивительно легко притвориться кем-то, кем вы не являетесь. Практически любой человек, имеющий базовые представления о том, как работает электронная почта, может сделать так, чтобы сообщение выглядело так, как будто оно пришло от любого отправителя, которого он выбрал - и, конечно же, мошенники пользуются этим.

Существует бесконечное количество примеров, когда преступники выдают себя за бренд, а затем используют надежную репутацию бренда для кражи личной информации или данных кредитной карты у получателей электронной почты. Это кошмар маркетолога.

К счастью, существуют механизмы, которые помогают брендам избежать этого типа мошенничества с электронной почтой: протоколы аутентификации электронной почты.

Domain-based Message Authentication, Reporting & Conformance - или DMARC - является самым последним дополнением к списку протоколов аутентификации электронной почты. Он основан на двух существующих и широко используемых платформах, протоколах Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM).

Не знаете свой DKIM от своего SPF? Мы знаем, что это может сбивать с толку! Осветите основы доставки электронной почты, прежде чем переходить к мельчайшим деталям DMARC. Освежить основы →

Что отличает DMARC от других протоколов аутентификации электронной почты и делает его особенно ценным для каждого маркетолога, так это его функция отчетности. С помощью DMARC вы можете видеть, кто отправляет электронную почту от имени вашего домена - вашего бренда, - и не позволять спамерам использовать ее для рассылки мошеннических электронных писем.

Понять аутентификацию электронной почты непросто, и в большинстве случаев маркетологи с этим не справятся сами. Тем не менее, будучи голосом вашего бренда, каждый специалист по электронной почте должен иметь базовое представление об электронной почте. аутентификации и DMARC, а также о том, как использовать доступные инструменты для защиты вашего бренда от мошенничества с использованием электронной почты.

Чтобы внести немного больше ясности в запутанный мир аутентификации электронной почты, мы сели со Стивеном Джонсом, исполнительным директором DMARC.org , и спросили его все, что мы когда-либо хотели знать об аутентификации электронной почты и DMARC:

1. Что такое аутентификация и почему маркетологам электронной почты это должно волновать?
2. Что такое DMARC, как он работает и чем отличается от других протоколов аутентификации (DKIM и SPF)? Как они работают вместе?
3. Каковы преимущества настройки DMARC? Как это помогает защитить мой бренд?
4. Что может случиться, если я его не настрою?
5. Как выглядят отчеты DMARC? Какую информацию они включают?
6. Почему DMARC важен и для провайдеров почтовых ящиков (ISP)?
7. Сколько брендов и интернет-провайдеров уже используют DMARC?
8. Если провайдер почтового ящика проверяет входящую электронную почту на наличие DMARC, но мой бренд еще не настроил его, может ли это повлиять на скорость доставки?
9. Прикрепляют ли поставщики почтовых ящиков предупреждения о безопасности к электронным письмам от брендов, которые не прошли проверку подлинности? Уведомляются ли получатели электронной почты об ошибках аутентификации?
10. А как насчет доменов, которые не отправляют электронную почту? Должны ли они тоже пройти аутентификацию?
11. Кто обычно отвечает за настройку DMARC для бренда - кто-то из моей компании или моего ESP? Кто может помочь с технической реализацией?
12. Сколько стоит установка DMARC?
13. Какие еще методы защиты от мошенничества с электронной почтой вы порекомендуете, помимо DMARC?

1. Что такое аутентификация и почему маркетологам электронной почты это должно волновать?

Аутентификация электронной почты относится к механизмам или протоколам, которые позволяют вам или вашему почтовому серверу проверять, действительно ли сообщение, использующее определенный интернет-домен в поле «От», было авторизовано для использования этого домена. Другими словами, если вы получили сообщение с адресом от [email protected], действительно ли BigBank.com авторизовал это сообщение?

За последнее десятилетие были введены различные протоколы аутентификации электронной почты. Самые популярные протоколы:

• Структура политики отправителя или SPF
• Идентифицированное сообщение DomainKeys, или DKIM
• Аутентификация сообщений, отчетность и соответствие на основе домена или DMARC.

Многие поставщики почтовых ящиков по всему миру используют эти протоколы для фильтрации входящих сообщений. Маркетологам не нужно искать дальше Google, Yahoo и Microsoft, чтобы обнаружить, что более половины их средних списков проверяется по всем трем протоколам.

Многие маркетологи электронной почты отправляют сообщения от имени клиентов, используя домены клиента в адресе отправителя, но не отправляют сообщения из инфраструктуры клиента. По сути, это то, чем занимаются спамеры и фишеры, поэтому от поставщиков почтовых ящиков требуется больше работы, чтобы отличить злоумышленников от законных маркетологов.

Протоколы проверки подлинности электронной почты призваны упростить эту задачу, и маркетологи должны иметь высокую мотивацию, чтобы гарантировать, что отправляемые ими сообщения могут быть проверены как законные. Это позволяет избежать задержек или случайного перенаправления в папку со спамом.

2. Что такое DMARC, как он работает и чем отличается от других протоколов аутентификации (DKIM и SPF)? Как они работают вместе?

DMARC - это, по сути, уровень политики и отчетности поверх DKIM и SPF.

Сторона отчетности означает, что получатели с поддержкой DMARC сообщат вам:

• Сколько сообщений они получили с использованием вашего интернет-домена в адресе От:
• Откуда пришли эти сообщения
• Прошли ли эти сообщения проверки DKIM и SPF.

Это невероятно полезно для организаций, внедряющих аутентификацию по электронной почте, и позволяет им видеть, не выдаются ли за них преступники.

Сторона политики DMARC позволяет владельцу домена запрашивать конкретную обработку сообщений, которые используют их домен в адресе отправителя, но не передают ни DKIM, ни SPF. Другими словами: если кто-то использует ваш домен, но не проходит аутентификацию, какие действия должен предпринять провайдер почтового ящика? Вы можете спросить, что:

• Никаких действий предпринято не будет
• Сообщения с ошибками помещаются в карантин.
• Ошибочные сообщения будут отклонены.

Очевидно, что это очень мощный инструмент в борьбе с мошенничеством и прорыв, поскольку провайдеры почтовых ящиков в основном не хотели этого делать, когда использовался только SPF, а для DKIM не существовало общепринятого механизма политики.

DMARC вводит еще один дополнительный фактор, известный как выравнивание адресов. При аутентификации DKIM и SPF для каждого сообщения используются определенные доменные имена. В SPF это домен в пределах «адреса возврата», точнее RFC5321.MailFrom. В DKIM это домен, включенный в криптографическую подпись, которую DKIM прикрепляет к сообщению.

Еще не запутались? Это как раз и есть проблема. И DKIM, и SPF используют идентификаторы домена, которые конечный пользователь никогда не видит. Таким образом, злоумышленник может заставить сообщения проходить простые проверки DKIM или SPF, используя домены, которые они контролируют, при этом помещая все, что им нравится, в адрес отправителя. Пользователь увидел бы «[email protected]» и с радостью поверил бы сообщению, хотя не должен.

В DMARC эти домены должны совпадать (или быть «согласованными») с адресом в заголовке from. Это то, что мы называем выравниванием адресов или доменов, и оно помогает предотвратить самый простой и эффективный вид фишинга.

3. Каковы преимущества настройки DMARC? Как это помогает защитить мой бренд?

Никто не хочет, чтобы его связывали с мошенничеством против своих или потенциальных клиентов. Но если вы не защищаете свой домен - свой бренд - с помощью аутентификации по электронной почте, вы упрощаете злоумышленникам возможность заработать на хорошей репутации, которую вы тщательно создали, позволяя им выдавать себя за ваш домен.

Для владельца бренда первое преимущество состоит в том, что отчеты DMARC дают вам моментальный снимок активности электронной почты с использованием вашего домена. Вы можете получить это, даже если вы еще не развернули DKIM и SPF, чтобы увидеть, не выдаются ли за вас спамеры и фишеры. Кроме того, вы получите представление обо всех внутренних организациях, которые отправляют электронную почту с использованием вашего домена: например, вы можете обнаружить, что маркетинг нанял две фирмы для отправки электронной почты клиентам, HR заключил контракт с фирмой, чтобы сообщить сотрудникам о льготах и У закупки есть поставщик, обрабатывающий заказы.

Однако вам все равно следует развернуть и DKIM, и SPF. Упрощение для получателей проверки ваших законных сообщений означает меньшую задержку анализа содержимого каждого отправляемого вами сообщения, поскольку все они потенциально подозрительны. Это означает, что ваши сообщения будут обрабатываться более последовательно у каждого поставщика почтовых ящиков вместо того, чтобы некоторая часть отправлялась в папку для спама, в зависимости от уникальных свойств каждой кампании.

4. Что может случиться, если я его не настрою?

Если вы не настроите DMARC, возможно, ничего не произойдет. Или может случиться так, что кто-то отправляет миллион сообщений, используя ваш домен, пытаясь заставить людей отказаться от своих банковских реквизитов. Без отчетов DMARC вы, возможно, никогда не услышите об этом. При наличии DMARC и других протоколов у вас есть возможность предотвратить попадание таких сообщений к потребителям, которые в случае мошенничества, естественно, будут иметь плохую связь с доменом или брендом, который использовался для их преследования.

Работая на моего бывшего работодателя, мы развернули DMARC для вышедшего на пенсию домена, и месяц ничего не происходило. Затем в один из выходных мошенник отправил почти два миллиона сообщений, используя этот домен. К счастью, почти все из них (99%) были заблокированы из-за политики DMARC, которую мы опубликовали, но без DMARC мы бы никогда не узнали об этом - если только он не попал в газеты, что никому не хочется узнавать о подобных вещах.

Правильно ли настроена ваша запись DMARC? Litmus Spam Testing поможет вам убедиться, что аутентификация вашей электронной почты, включая DMARC, DKIM и SPF, настроена для успешной работы. Изучить тестирование на спам →

5. Как выглядят отчеты DMARC? Какую информацию они включают?

Есть два вида отчетов. Те, о которых мы обычно говорим, называются сводными отчетами, где каждый провайдер входящих сообщений включает сводную информацию обо всех сообщениях, которые они видели с использованием вашего домена. Это количество сообщений, их IP-адреса, аутентификация с помощью DKIM или SPF, проход DMARC, что было сделано с сообщением и т. Д. Это похоже на строки базы данных или электронной таблицы, упакованные в виде текста с использованием формата XML. Отчеты могут быть десятками или сотнями килобайт, все зависит от размера провайдера входящих сообщений, количества источников трафика и т. Д.

Другой вид отчетов - это отчеты об ошибках, которые отправляются не всеми поставщиками почтовых ящиков. Hotmail от Microsoft, вероятно, является самым известным поставщиком почтовых ящиков в США, который их рассылает. В этом случае, если владельцы доменов запросили их через свою политику DMARC, провайдер почтового ящика отправляет один отчет об ошибке для каждого полученного сообщения, которое использует ваш домен, но не может пройти аутентификацию.

Имейте в виду, что запрос отчетов об ошибках может привести к появлению большого количества сообщений. Но эти отчеты могут содержать подробную информацию о системах отправки и любых URL-адресах или ссылках в сообщении, поэтому они могут быть очень полезны как для людей, развертывающих проверку подлинности электронной почты и устранение неполадок, так и для сотрудников службы безопасности, пытающихся понять, чем занимаются мошенники.

Оба этих отчета очень ценны, но их чтение - особенно сводные отчеты - не то, что нравится большинству людей. Владелец домена или отправитель электронной почты обычно хотят обрабатывать отчеты автоматически. Форматы задокументированы в стандартах, поэтому у вас есть возможность написать свои собственные инструменты. Для начала есть несколько пакетов с открытым исходным кодом, но большинство организаций, как правило, используют одну из нескольких служб для получения помощи. Agari, dmarcian и Return Path работают дольше всех, но в последнее время такие компании, как 250ok, Easy Solutions, Fraudmarc и ValiMail, предлагают эти и другие услуги.

6. Мы говорили об отправителях и о том, почему они должны использовать DMARC и действовать в соответствии с ним. Но почему DMARC важен и для провайдеров почтовых ящиков (ISP)?

Внедрение DMARC в качестве поставщика почтовых ящиков может быть дорогостоящим. Представьте себе ведение базы данных обо всех отдельных доменах, отправляющих электронную почту вашей компании. А теперь представьте, что у вас есть сотня компаний. Все еще со мной? А теперь представьте, что вы размещаете все компании, использующие Google Apps или Office 365. Это значительные затраты времени, персонала и ресурсов.

Но и у интернет-провайдеров есть свои преимущества. Аутентификация электронной почты является очень программной по сравнению с определением того, является ли что-то спамом или фишингом, на основе содержимого сообщения. Первый - это быстрый набор вычислений, тогда как последний очень субъективен, включает в себя анализ естественных языков, интерпретацию использования изображений, анализ ссылок в сообщении и т. Д.

Чем сложнее анализ, которому вы должны подвергнуть каждое сообщение, тем дороже будет для провайдера содержать почтовые ящики пользователей в чистоте. Аутентификация электронной почты и более высокая репутация отправителей, когда они ее используют, могут сделать эти первоначальные определения намного быстрее и, следовательно, дешевле. Интернет-провайдерам по-прежнему приходится сканировать на вирусы и тому подобное, но знание того, что сообщение пришло от уважаемого отправителя, имеет большое значение.

Чтобы помочь владельцам доменов и отправителям упростить аутентификацию своих сообщений, интернет-провайдеры и другие получатели DMARC берут на себя накладные расходы на компиляцию и отправку этих сводных отчетов. Идея состоит в том, что отправители будут использовать эти отчеты, чтобы убедиться, что их легитимные сообщения аутентифицируются в 100% случаев, что помогает снизить эксплуатационные расходы для получателей. От этого выигрывают все, особенно конечные пользователи, у которых в почтовом ящике меньше мошеннических сообщений.

7. Сколько брендов и интернет-провайдеров уже используют DMARC?

Дать точный ответ на этот вопрос будет очень сложно. Не каждая организация, использующая DMARC для фильтрации входящих сообщений, объявляет, что они его используют, и некоторые коммерческие почтовые шлюзы теперь выполняют фильтрацию, но еще не поддерживают создание отчетов. Что касается отправителя, я могу сказать, что один набор данных показывает, что более 100 000 доменов опубликовали действительные записи DMARC, и это ограниченный набор данных - он не охватывает ничего отдаленно близко ко всему Интернету.

Если читатели пытаются понять, достаточно ли используется DMARC, чтобы им следовало принять их раньше, чем позже, то мой ответ - да. С точки зрения маркетинга, подумайте, сколько клиентов ваших клиентов охвачено AOL, Comcast, GMail, Microsoft и Yahoo. Все они используют DMARC, так что вы тоже должны быть уверены в этом. И хотя все это может показаться очень специфичным для Северной Америки и, возможно, Европы, одного из крупнейших китайских поставщиков почтовых ящиков, NetEase; LaPoste во Франции; Mail.ru и Яндекс в России; и многие другие поставщики почтовых ящиков, крупные и мелкие по всему миру, используют DMARC.

8. Если провайдер почтового ящика проверяет входящую электронную почту на наличие DMARC, но мой бренд еще не настроил его, может ли это повлиять на скорость доставки?

Чем легче определить неплохие сообщения, тем больше вероятность, что они будут доставлены быстро и без ошибок. Это не столько то, что вы снижаете скорость доставки, когда у вас нет аутентификации электронной почты, сколько то, что вы можете избежать неправильного обращения, когда она у вас есть.

Например, вы отправляете сообщение, содержащее фразу или ссылку, напоминающую что-то в недавней крупномасштабной спам-кампании. Если провайдеру почтовых ящиков приходится полагаться на фильтрацию содержимого и сопоставление с образцом, и у них нет доказательств того, что ваше сообщение было отправлено заведомо исправным субъектом, есть более высокая вероятность, что некоторые или все эти сообщения могут быть отправлены в папку спама. В лучшем случае сообщения будут подвергаться дополнительному сканированию и проверкам, что задерживает доставку ваших сообщений.

Или - и это становится все более распространенным - если вы не пройдете проверки аутентификации, ссылки в ваших сообщениях могут быть удалены или отключены, или изображения могут быть заблокированы, все потому, что источник сообщения не может быть проверен.

9. Прикрепляют ли поставщики почтовых ящиков предупреждения безопасности к электронным письмам от брендов, которые не прошли проверку подлинности? Уведомляются ли получатели электронной почты об ошибках аутентификации?

Фактически, несколько ведущих поставщиков почтовых ящиков экспериментируют с показом пользователям различных индикаторов, когда сообщения, не прошедшие аутентификацию, появляются в их почтовом ящике. Gmail, в частности, делает то же самое, что и для сообщений, отправленных не через зашифрованное соединение.

10. Как насчет доменов, которые не отправляют электронную почту? Должны ли они тоже пройти аутентификацию?

Это особый случай, и его следует решать с помощью аутентификации. Если у вас есть домен, который не отправляет почту сейчас или в ближайшем будущем - скажем, он зарезервирован или «припаркован» - вы можете легко настроить запись SPF, чтобы никто, выдающий себя за нее, не мог попасть во входящие, и настроить запись DMARC для получения сообщает, когда кто-нибудь пытается.

Это то, что следует делать для каждого припаркованного домена, просто чтобы сохранить потенциальный капитал бренда этого домена. Если зарезервированный вами домен подвергся злоупотреблениям и имеет плохую репутацию к тому моменту, когда вы захотите его использовать, вы зря потратили свое время и деньги. Лучше защитить его с самого начала.

11. Кто обычно отвечает за настройку DMARC для бренда - кто-то из моей компании или моего ESP? Кто может помочь с технической реализацией?

Кажется, что каждая компания по-своему организует эту ответственность. Иногда маркетинговая группа разрабатывает названия и регистрирует их, работая с внутренней командой или поставщиком для операций. В других случаях один отдел управляет доменами, другая группа - электронной почтой, а маркетинг - это внутренний заказчик, координирующий свои действия с несколькими ESP. Любой из этих групп может быть поручено предотвращение злоупотреблений, или это может исходить от группы информационной безопасности или управления рисками.

Лучшие предложения, которые я могу предложить:

1. Компания, владеющая брендом, должна быть зарегистрированным владельцем домена, и
2. Они должны определить, кто отвечает за управление доменами в компании, аналогично тому, как обычно организовано управление брендом во всей компании.

Убедитесь, что ваши руководители понимают риски, связанные с незащищением ваших доменов, и установите четкую политику и ответственную сторону или отдел, наделенные полномочиями выполнять свою работу. Затем определите, какие команды должны быть вовлечены в разработку плана защиты этих доменов и его выполнение.

Когда дело доходит до вопросов технологии и операций, если у компании нет собственного опыта, есть поставщики, которые могут помочь. Мы перечислили некоторых поставщиков поддержки внедрения и аналитики на веб-сайте DMARC.

12. Сколько стоит установка DMARC?

На этот вопрос нелегко ответить, потому что масштаб проекта будет сильно различаться от компании к компании. Например:

• Сколько доменов задействовано?
• Сколько различных внутренних отделов отправляют электронную почту?
• Сколько сторонних поставщиков?
• Будет ли взиматься плата, если этим поставщикам придется изменить аспекты отправляемых ими сообщений?
• Кто несет ответственность за проект, и могут ли они заставить другие департаменты вносить операционные изменения в случае необходимости?
• Имеются ли необходимые технические знания внутри компании или их нужно привлекать?

Вооруженный этими вопросами - которые касаются только поверхности - кто-то, кто знает целевую организацию, может начать оценивать усилия. В то же время, чтобы получить представление о том, что может делать DMARC, публикация записи DNS для одного домена и просмотр отчетов - это простой способ начать, который может продемонстрировать потребность в реальном проекте на основе того, что показывают эти отчеты.

13. Какие еще методы защиты от мошенничества с электронной почтой вы рекомендуете, помимо DMARC?

Сделайте все возможное, чтобы упростить идентификацию ваших сообщений. Используйте свои домены последовательно с течением времени, в идеале используя один домен или субдомен во всем сообщении для адресов, изображений, ссылок и т. Д. Легко и заманчиво извлекать ресурсы из разных доменов - например, ваших поставщиков и партнеров, - но это может выглядеть одинаково например, когда фишеры извлекают активы из доменов, не связанных с адресом отправителя. По крайней мере, ограничьте набор других доменов, с которыми вы работаете, и сохраните его стабильность с течением времени.

Чем проще узнать, что ваши сообщения исходят от вас, тем легче определить, когда сообщения, использующие вашу личность, поступают откуда-то еще и не должны доставляться в почтовый ящик.

Попадать во входящие, а не в папку со спамом Выявите проблемы, которые могут мешать вам попасть в почтовый ящик, и получите действенную помощь, как их исправить, с помощью Litmus Spam Testing. Попробовать Litmus бесплатно →