2016/04/22 11:12:35

DMARC
Domain-based Message Authentication, Reporting and Conformance

Стандарт, позволяющий определить, действительно ли письмо было отправлено с указанного домена. Поддержка DMARC позволяет с большей точностью выявлять и отфильтровывать спам и фишинговые письма, замаскированные под легальные рассылки.

Содержание

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей. Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию. Строгая политика DMARC (на стороне сервера отправителя) гарантирует получателю письма, что отправитель авторизован использовать адрес, указанный в поле «От:» (From:). Таким образом, DMARC позволяет выявлять и пресекать подмену обратного адреса отправителя, которую производят фишеры и спамеры для проведения подложных рассылок от имени авторитетной компании или, в случае доменов бесплатных почтовых ящиков, от имени других пользователей.

Ключевая технология, известная как Domain-based Message Authentication, Reporting, and Conformance, или DMARC, значительно снижает возможности злоумышленников подделывать целевые домены и руководителей предприятий, проверяя путь от сервера отправки до почтового ящика получателя. Кроме того, эта технология позволяет администраторам электронной почты организации получить представление о том, как происходит злоупотребление доменом в электронной почте.

Каждый год злоумышленники используют подмену в фишинговых атаках для получения учетных данных пользователей, а также в схемах BEC, где они посылают поддельные счета от поставщиков или запросы на оплату от предполагаемых руководителей компании в бухгалтерию объекта. В 2019 году ФБР получило почти 24 000 жалоб на мошенничество посредством ВЕС на общую сумму 1,8 миллиарда долларов, согласно ежегодному отчету Центра жалоб на преступления в Интернете.

Существуют технологии защиты электронной почты, предназначенные для того, чтобы помешать попыткам злоумышленников выдать себя за законные организации. Sender Policy Framework (SPF) добавляет легитимные почтовые серверы в авторитетную DNS-запись для домена. Технология Domain Keys Identified Mail (DKIM) подписывает электронные сообщения для подтверждения того, что они не были изменены. Наконец, DMARC проверяет, что адрес From сообщения соответствует информации, проверенной SPF и DKIM. Кроме того, DMARC создает сводные отчёты о почтовом трафике, отправленном из домена администратора.

Forrester рекомендует компаниям работать с поставщиком инфраструктуры электронной почты, чтобы настроить ее и рассмотреть возможность привлечения консультанта.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов 4.2 т

Кроме того, для получения всех преимуществ технологии в области безопасности требуется время. Администраторы электронной почты организации могут выбирать три различные политики для сообщений, которые не прошли проверку: Полная доставка сообщений, карантин сообщений или отклонение сообщений. В 2019 году 71% компаний не смогли применить строгие правила, не предприняв никаких действий и разрешив доставку сообщений, согласно данным DMARC.org.

SMTP

Основная статья: SMTP

В базовом протоколе передачи электронной почты SMTP есть недостаток: он не позволяет на должном уровне проводить аутентификацию внешних отправителей. Говоря простыми словами, при отправке письма в поле From можно подставить абсолютно любой адрес. Например, пользователь, который получил письмо от мамы, не может быть уверен, что ему писала именно она. Подделку email можно распознать, но для этого нужно быть технически подкованным специалистом: необходимо сверять заголовки, служебную информацию, сервер и IP, с которых поступило письмо.

Мошенничество с электронной почтой

Основная статья: Мошенничество с электронной почтой (business email compromise, BEC, invoice fraud)

Компрометация корпоративного e-mail (англ. business email compromise или invoice fraud) — это мошенничество, при котором преступник изображает из себя продавца или делового партнера и убеждает представителя компании перевести крупную сумму на оффшорный счет в качестве «оплаты» за услуги, которые никогда не оказывал. Обычно мошенник тщательно изучает взаимодействие между двумя партнерами и используемые способы оплаты услуг. Затем мошенник взламывает электронный почтовый ящик одного из партнеров или убедительно подделывает корпоративный e-mail, чтобы отправить счет или просьбу о банковском переводе за оказанные услуги.

2013

В феврале 2013 года Почта Mail.Ru стала первым в рунете почтовым сервисом, поддерживающим стандарты DMARC. Это позволяет точнее определять, какие письма отправлены реальными людьми и организациями, а какие – спамерами и фишерами.

Владельцы доменов получают возможность управлять действиями, которые Почта Mail.Ru предпринимает в отношении подложных писем (т.е. тех, где адрес отправителя замаскирован злоумышленником под их собственный). Письма, признанные подложными, могут быть пропущены, отправлены в папку Спам, или вообще не приняты почтовым сервером. Например, авторизованный отправитель может указать, что 100% таких подложных писем должны считаться спамом – в таком случае атаки станут просто бессмысленными.

Почта Mail.Ru совершенствует системы взаимодействия сервиса с интернет-компаниями, которые общаются со своей аудиторией с помощью электронной почты. Ранее уже был запущен сервис Постмастер Mail.Ru для компаний, отправляющих большие объемы писем, затем сервис стал предоставлять подписку на FBL. Все эти шаги направлены на улучшение взаимодействия отправителей c получателями и устранение из этой цепочки фишеров и спамеров.

Один из методов защиты от злоумышленников — использование цифровых подписей DKIM, которые подтверждают, что письмо действительно было отправлено из указанного домена. Узнавать статистику по своим письмам через сервис Постмастер могут только те отправители, письма которых подписаны DKIM. «К моменту запуска Постмастера осенью 2011 года только 15% писем, приходящих пользователям Mail.Ru, подписывались DKIM. За полтора года работы сервиса в Постмастере было зарегистрировано около 15 тысяч доменов, а доля писем с DKIM возросла до 80%. Теперь все отправители, использующие DKIM, могут также настроить DMARC — это позволит повысить эффективность фильтрации поддельных сообщений»,— отмечает Аникин Денис, технический директор Почты Mail.Ru.

2016

С 18 мая 2016 года Почта Mail.Ru включает строгую политику DMARC для всех основных доменов бесплатной почты. Этот шаг позволит повысить точность отделения писем, отправленных реальными людьми и организациями, от сообщений спамеров и злоумышленников.

Ранее строгая политика DMARC была включена только для служебных доменов Mail.Ru Group (например, @corp.mail.ru), поскольку именно они чаще всего подделываются фишерами. В настоящее время она также применяется для домена mail.ua. 25 апреля запуск строгой политики DMARC планируется для домена bk.ru, а 18 мая она будет распространена на все домены бесплатных почтовых ящиков (list.ru, inbox.ru и mail.ru). В интерфейсе Почты письма, на которые еще не распространена строгая политика DMARC, но которые могут быть затронуты ею в будущем, в настоящий момент помечаются уведомлением о том, что адрес отправителя потенциально мог быть подделан.

Поэтапное внедрение стандарта с предварительным показом предупреждений о возможной подделке адреса гарантирует, что легальные рассыльщики, которые некорректно указывают отправителя, успеют адаптироваться к ужесточению правил и провести требуемые перенастройки.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT