Ответы пользователя по тегу DMARC
  • Как правильно настроить DMARC?

    McHaber
    @McHaber
    sysadmin
    Богдан Герасименко если интересно, вот сравнительно полный список сервисов по обработке DMARC отчетов
    https://np.reddit.com/r/sysadmin/comments/dcjz4i/d...
    Ответ написан
    Комментировать
  • Mailchimp заменяет нашу записью DKIM Domain и запись DMARC становится не валидна. Это можно исправить?

    McHaber
    @McHaber
    sysadmin
    Олексій Ануров-Приходько , Настройте DKIM-аутентикацию, чтобы пройти проверку DMARC
    вот инструкция -> https://mailchimp.com/help/set-up-email-domain-aut...

    SPF записть трогать не надо! Mailchimp не поддерживает SPF аутентикацию ибо использует адрес своего (а не пользовательского) домена в поле return-path (bounce) адрес

    From : Анастасія, Galantpol < anastasiapakhomova@galantpol.ua >
    Bounce address : bounce-mc.us8_29244863.5360794-__test_email__@mail254.sea51.mcsv.net
    Ответ написан
    1 комментарий
  • Почему почтовые службы не обрабатывают DMARC?

    McHaber
    @McHaber
    sysadmin
    Политика "reject" применяется только к письмам которые не проходят проверку и SPF и DKIM.
    То есть, DMARC= fail IF (SPF=fail AND DKIM=fail).

    В случае (SPF=pass AND DKIM=pass) или (SPF=fail AND DKIM=pass) письмо считается "authenticated" (DMARC=pass) и, соответственно, не будет отклонено принимающим сервером.

    Вот наиболее удачная диаграмма из всех которые я встречал:
    5e1b4a4e73d71485021444.png

    Единственное исключение - это почтовые сервисы от Microsoft (Hotmail / Outlook / Office365). Входящие письма которые попадают под политику "reject", не отклоняются а помещаются в папку "Junk".
    Подробнее тут:
    https://docs.microsoft.com/en-us/microsoft-365/sec...
    Ответ написан
    2 комментария
  • Для чего нужен DMARC?

    McHaber
    @McHaber
    sysadmin
    vldm, DMARC позволяет:
    - получать ежедневные статистические отчеты (в формате XML) по письмам, отправляемым от имени домена
    - на основе данных из этих отчетов определить все источники писем (mail sources)
    - узнать о наличии / отсутствии / корректности настроек SPF и DKIM писем (messages authentication), посылаемых с этих источников, чтобы, в случае обнаружения проблемы, добавить (где возможно) или исправить SPF и DKIM
    - применить политику "reject", для запрета доставки писем, не прошедших аутентификацию (failed SPF + failed DKIM)

    Так что это есть защита, конечно не на 100% идеальная, так как есть различные нюансы, и естественно, она требует от администратора почтовой инфраструктуры соответствующих ресурсов для начального внедрения, перехода на "reject", и дальнейшего (постоянного) мониторинга отчетов.

    Со временем для рассылок с домена возможно будут использованы новые источники писем, о которых администратор почтовой инфраструктуры может и не знать, например в больших компаниях, отдел продаж начнет посылать письма из нового CRM-а. И если администратор, после внедрения DMARC, продолжает мониторить сводные DMARC отчеты, он будет осведомлен о новом источнике писем на следующий же день.

    Для обычного пользователя анализ сводных DMARC отчетов (сырой XML) вручную задача не из легких, особенно если речь идет домене с десятком и более тысяч отправляемых писем в месяц.

    Есть достаточное количество профессиональных коммерческих SaaS решений, которые парсят XML DMARC отчеты и, после дополнительной обработки, показывают данные в пригодном для просмотра и анализа виде.
    Кроме этого у них также имеется у другой полезный функционал, например оптимизация / уплотнение SPF, оповещения при срабатывании преднастроенных событий, таких как:
    - изменение SPF или MX записи в DNS
    - превышение объема писем (DMARC non-compliant или DMARC compliant или всех) за определенный период времени

    Многие из коммерческих систем имеют также бесплатные пакеты для доменов с небольшим (например до 10,000 писем в месяц) объемом исходящих писем.

    Я активно использую платформу EasyDMARC. Кстати имеется также и Русская версия сайта.
    Ответ написан
    Комментировать
  • DMARC. Внедрять или не внедрять?

    McHaber
    @McHaber
    sysadmin
    Александр Черных, Внедрять DMARC с политикой reject абсолютно необходимо если вы не хотите стать жертвой спуфинга и фишинга.
    До того как перейти на политику reject, необходимо некоторое время (месяц как минимум) побыть с политикой none, чтобы собрать достаточное количество сводных DMARC отчетов для анализа.

    Анализировать сводные DMARC отчеты (они в формате XML) в сыром виде практически невозможно (по крайней мере для обычного пользователя).
    Для этого существует много инструментов - от простого Add-on для Хрома до вполне серьезных SaaS систем с дополнительным полезным функционалом.

    Я лично пользуюсь решением EasyDMARC, и вам рекомендую попробовать.
    Ответ написан
    Комментировать
  • Как прописать DMARC для динамических поддоменов в TXT-запись?

    McHaber
    @McHaber
    sysadmin
    ice_jd, DMARC запись головного домена наследуется на все поддомены.

    примеры:
    1. v=DMARC1; p=reject; etc...
    все поддомены получают политику reject

    2. v=DMARC1; p=reject; sp=none
    все поддомены получают политику none

    DMARC запись можете проверить по этой ссылке
    https://easydmarc.com/tools/dmarc/
    Ответ написан
    Комментировать