Общение по электронной почте имеет важное значение для личного и профессионального контакта в современной цифровой среде.

Электронная почта широко используется, что делает ее идеальной мишенью для киберпреступников, что приводит к увеличению попыток фишинга, спама и подделки электронной почты.

Строгие меры безопасности электронной почты становятся все более изощренными. В подобных ситуациях решающее значение имеют такие методы аутентификации электронной почты, как SPF, DKIM и DMARC.

Аутентифицируя личность отправителя и подтверждая точность полученных сообщений, эти процедуры действуют как первая линия защиты от угроз, исходящих из электронной почты.

В этой статье будет проведен тщательный обзор этих трех важных методов аутентификации электронной почты, включая их роли, то, как они взаимодействуют, и почему они имеют решающее значение для поддержки надежной и защищенной инфраструктуры обмена электронной почтой.

Что такое протоколы аутентификации по электронной почте?

Безопасная переписка по электронной почте может быть достигнута с помощью протоколов аутентификации электронной почты, стандартов или технологий, которые подтверждают личность отправителя и защищают целостность сообщения.

Эти стандарты направлены на защиту пользователей от спама, фишинга и других вредоносных атак на основе электронной почты.

В качестве бонуса они снижают вероятность того, что хорошее электронное письмо будет ошибочно удалено как спам или вредоносное ПО.

Вот основные протоколы аутентификации электронной почты, которые обычно используются:

• Структура политики отправителя (SPF)
• Метод почтовой идентификации (DKIM)
• Аутентификация сообщений на основе домена, составление отчетов и соответствие требованиям (DMARC)

Структура политики отправителя (SPF)

Платформа политики отправителя (SPF) – это технология аутентификации электронной почты, разработанная для предотвращения спама.

Позволяя владельцам доменов выбирать, какие почтовые серверы могут отправлять электронные письма от их имени, SPF помогает принимающим серверам в аутентификации отправителя входящих сообщений.

Для этой цели проверяются записи DNS домена, чтобы убедиться, что электронные письма приходят с адресов, которые, как они утверждают, представляют.

Структура политики отправителя (SPF) направлена на повышение безопасности электронной почты путем ограничения возможности того, что неавторизованный отправитель может использовать определенный домен в адресе “От”.

Это помогает защитить почтовые ящики отправителя и получателя от нежелательных сообщений и повышает доверие каждой стороны к электронной почте.

Как это работает

• Владельцы доменов создают записи SPF, показывающие надежные IP-адреса и домены, с которых могут быть отправлены электронные письма.
• Серверы электронной почты проверяют записи в рамках политики отправителя (SPF) всякий раз, когда получают электронное письмо.
• При получении сообщения сервер проверяет IP-адрес, чтобы увидеть, является ли он одним из утвержденных отправителей, упомянутых в записи SPF.
• Проверка SPF успешна, если IP-адрес отправки известен и принят; в противном случае электронное письмо может быть помечено как подозрительное и удалено.

Как злоумышленники злоупотребляют SPF:

Sender Policy Framework (SPF) – это система аутентификации электронной почты, которая проверяет имя отправителя, чтобы предотвратить подделку электронной почты и фишинг. Но, как и любая другая система, SPF не полностью защищена от возможных векторов атак. Вот несколько возможных способов атаки на SPF:

Манипулирование записями SPF: Злоумышленники могут попытаться изменить или создать записи SPF, изменив записи DNS домена. Это позволило бы им указывать неавторизованные IP-адреса или серверы в качестве действительных отправителей. Это может сделать возможными такие тактики, как подмена или фишинг.

Захват домена: если злоумышленник получает контроль над законным доменом, он может изменить записи SPF, включив в них свои собственные вредоносные серверы. Это может привести к отправке плохих электронных писем, которые выглядят так, как будто они пришли из надежного источника.

Атаки на поддомены: записи SPF часто настраиваются для основного домена организации, но они могут забыть настроить записи SPF для поддоменов. Злоумышленники, которые отправляют электронные письма с поддоменов без соответствующих записей SPF, могут использовать это против вас.

Неадекватные политики защиты: Организации могут иметь слабые политики защиты, которые позволяют многим IP-адресам отправлять электронные письма от их имени. Это может предоставить злоумышленникам больший пул возможных IP-номеров для обмана людей.

Метод почтой идентификации (DKIM)

DomainKeys Identified Mail (DKIM) – это технология аутентификации электронной почты, которая использует шифрование для подтверждения подлинности электронного письма.

Отправляющий сервер добавляет к каждому электронному письму отличительную подпись DKIM, используя закрытый ключ. Принимающий сервер проверяет подпись входящего электронного письма, используя открытый ключ, полученный из DNS-записей отправителя.

Если они совпадают, электронной почте можно доверять как подлинной и защищенной от подделки. DKIM предназначен для предотвращения подделки электронной почты и фишинговых атак и гарантирует безопасную доставку сообщений электронной почты путем проверки домена отправителя и зашифрованной подписи сообщения.

Как это работает

• Используя закрытый ключ, компьютер электронной почты создает цифровую подпись.
• Упаковка электронной почты была изменена, чтобы включить эту подпись.
• Из записей DNS почтовый сервер, получающий электронное письмо, получает открытый ключ отправителя.
• Затем цифровая подпись расшифровывается и проверяется с использованием открытого ключа.
• Подлинное электронное письмо не было изменено, если подпись верна.

Как злоумышленники злоупотребляют DKIM

1. Компрометация закрытого ключа: DKIM использует закрытый ключ, хранящийся на сервере отправки, для подписи исходящих электронных писем. Если злоумышленник получает доступ к закрытому ключу, он может подписывать вредоносные электронные письма, которые получатели могут счесть законными, поскольку подпись DKIM будет выглядеть действительной.
2. Управление записями DNS: открытые ключи DKIM хранятся в записях DNS в виде текстовых записей (TXT). Если злоумышленник получит контроль над DNS-записями домена, он может изменить или заменить открытый ключ DKIM, что позволит ему подписывать мошеннические электронные письма, которые кажутся подлинными.
3. Подмена поддоменов: организации могут настраивать DKIM для своего основного домена, но упускать из виду его реализацию для поддоменов. Затем злоумышленники могут отправлять электронные письма с поддоменов, на которых отсутствует надлежащая подпись DKIM, что затрудняет проверку подлинности электронного письма получателями.
4. Длина ключа и алгоритмы: Если организация использует слабые алгоритмы шифрования или короткие длины ключей для подписи DKIM, злоумышленникам становится проще взломать шифрование и подделать подписи DKIM.

Решение: Организациям следует принять эффективные планы реагирования на инциденты, регулярно отслеживать трафик электронной почты на предмет аномалий и быть в курсе возникающих угроз, чтобы опережать меняющийся ландшафт угроз электронной почты с помощью решений на базе искусственного интеллекта.

Аутентификация сообщений на основе домена, составление отчетов и соответствие требованиям (DMARC)

Для улучшения SPF и DKIM был разработан новый протокол аутентификации электронной почты, называемый проверкой подлинности сообщений, отчетов и соответствия на основе домена (DMARC).

Администраторы домена могут инструктировать принимающие почтовые серверы о том, что делать с сообщениями, которые не проходят проверку подлинности.

Владельцы доменов могут предписать почтовым серверам прекратить прием спама, добавив запись политики DMARC в свои настройки DNS. Трафик электронной почты и любые риски безопасности могут быть лучше поняты с помощью функций отчетности DMARC.

DMARC разработан для усиления безопасности электронной почты путем добавления дополнительного уровня проверки, уменьшения фишинга и подмены, а также повышения достоверности и доставки законных сообщений.

Как это работает

• Принимающий сервер ссылается на политику DMARC в случае сбоя аутентификации SPF или DKIM.
• Политика DMARC может предписывать серверу предпринимать различные действия, такие как классификация спама, помещение его в карантин или прямое отклонение.
• Чтобы улучшить свои меры защиты электронной почты, администраторы домена могут использовать судебную экспертизу и агрегировать данные о действиях по аутентификации.

Вектор атаки DMARC

Агрессивное применение: некоторые организации могут предпочесть использовать DMARC со стратегией “карантина” или “отклонения” с самого начала. Это может сработать, но если политика не настроена должным образом, это также может привести к блокировке действительных электронных писем.

Подмена адреса сообщения: злоумышленники могут попытаться изменить адрес сообщения DMARC, чтобы отправлять отчеты о неудачных проверках DMARC на сайты, которые они контролируют. Это могло бы дать им возможность узнать больше о том, как работает система электронной почты организации.

Целенаправленная подмена: злоумышленники могут попытаться выдать себя за людей или подразделения организации, которые не полностью настроили DMARC. Этот специфический метод повышает вероятность того, что их электронные письма будут прочитаны.

Как и при других атаках, связанных с электронной почтой, злоумышленники могут использовать социальную инженерию, чтобы заставить получателей игнорировать предупреждения DMARC или думать, что электронное письмо с ошибкой DMARC является реальным.

Где хранятся записи SPF, DKIM и DMARC?

Записи Spf:

Записи SPF – это текстовые записи в DNS. Электронные письма из этого домена должны отправляться с IP-адресов или частей, указанных в этих записях.

Почтовый сервер получателя проверит запись SPF для поля отправителя в системе доменных имен (DNS), чтобы убедиться, что электронное письмо является законным.

Пример записи SPF:

v=spf1 ip4:192.0.2.1 ip6:2001: db8::1 include:example.com все

Записи DKIM:

Записи DKIM аналогичным образом хранятся в DNS, хотя они представляют собой записи в формате TXT. В этих записях хранится открытый ключ для аутентификации цифровых подписей домена в исходящих электронных письмах.

Запись DKIM извлекается из DNS принимающим почтовым сервером, который затем использует открытый ключ для проверки подписи и обеспечения подлинности электронного письма.

Пример записи DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDnWLKu6qIH66AjqkMYyq3A5bkD

  sY+T4rQzSXFJWzh7DQoKmmrkRDbCIPRrkRHF/EpTExGDD2P8WOEqdGTfVbRy14

  5k3soVGMItcL1QvWskhNKLQYGJME6XE1WUCmAw29FcYKavqnGQFWFpDBIMVFOFw

  7/TZS0Lj1QIDAQAB

Записи DMARC:

DNS также хранит записи DMARC в формате записи TXT. Меры, которые следует предпринять, если электронное письмо не проходит проверку SPF или DKIM, указаны в политике DMARC домена, определенной этими записями.

Чтобы владелец домена был в курсе действий по аутентификации, DMARC дополнительно предоставляет инструменты отчетности.

Пример записи DMARC:

v=DMARC1; p=quarantine; pct=25; rua=mailto:reports@example.com; ruf=mailto:forensics@example.com

Проверка электронной почты на соответствие стандартам SPF, DKIM и DMARC

Требуется несколько процедур и возможность запроса записей DNS, чтобы убедиться, что электронное письмо соответствует SPF, DKIM и DMARC.

Вот меры, принятые для обеспечения соответствия электронной почты этим стандартам:

Проверьте соответствие SPF:

• Извлеките IP-адрес почтового сервера, отправившего электронное письмо, из заголовков электронных писем.
• Извлеките запись SPF из DNS домена, с которого, как утверждается, отправлено электронное письмо. Обычно это находится в текстовой записи в DNS домена.
• Проверьте, указан ли IP-адрес отправляющего сервера в записи SPF. Если это так, электронное письмо проходит проверку SPF; в противном случае произойдет сбой.

Проверьте соответствие DKIM:

• Проверьте заголовки электронной почты на наличие подписи DKIM. Обычно ее можно найти в поле заголовка, называемом ‘DKIM-Signature’.
• Извлеките параметр ‘d=’ из подписи DKIM, чтобы найти домен подписи, и параметр ‘s=’ , чтобы найти селектор.
• Извлеките открытый ключ DKIM из DNS подписывающего домена. Он будет найден в текстовой записи в селекторе>._domainkey.подписывающий домен>’.
• Используйте открытый ключ для проверки подписи DKIM в заголовке электронного письма. Если подпись действительна, электронное письмо проходит проверку DKIM; в противном случае это не удается.

Проверьте соответствие DMARC:

• Убедитесь, что электронное письмо прошло проверки SPF и DKIM. Для прохождения проверки DMARC должна пройти хотя бы одна из них.
• Извлеките запись DMARC из DNS домена, с которого, как утверждается, отправлено электронное письмо. Обычно это находится в текстовой записи по адресу ‘ _dmarc.domain>’.
• Проверьте, соответствует ли домен адреса ‘From’ домену SPF или домену подписи DKIM. Если это так, то электронное письмо проходит проверку соответствия DMARC.
• Следуйте политике, указанной в записи DMARC, для обработки электронных писем, которые не прошли проверку DMARC.

Как настроить SPF, DKIM и DMARC для домена

Настройте SPF:

• Определите авторизованные IP-адреса или серверы: определите IP-адреса или серверы, авторизованные для отправки электронной почты от имени вашего домена.
• Создайте запись SPF: создайте запись SPF, создав текстовую запись в настройках DNS вашего домена. Значение этой текстовой записи будет начинаться с ‘v=spf1’, за которым следуют авторизованные IP-адреса или серверы.

Example SPF Record: 'v=spf1 ip4:192.168.0.1 -all'

Этот пример разрешает IP-адресу ‘192.168.0.1’ отправлять электронные письма от имени вашего домена и запрещает всем остальным.

• Обновите настройки DNS: добавьте запись SPF в настройки DNS вашего домена.

Настройте DKIM:

• Сгенерируйте пару ключей DKIM: Сгенерируйте пару открытых и закрытых ключей для DKIM. Ваш почтовый сервер будет использовать закрытый ключ для подписи исходящих электронных писем, а настройки DNS вашего домена сделают общедоступный ключ доступным.
• Настройте сервер электронной почты: настройте свой почтовый сервер на подпись исходящих электронных писем с помощью закрытого ключа DKIM.

• Создайте запись DKIM: Создайте запись DKIM, создав текстовую запись в настройках DNS вашего домена.
• Имя этой текстовой записи будет в формате селектор>._domainkey.yourdomain>’, а значение будет содержать ваш открытый ключ DKIM.

Example DKIM Record: 'v=DKIM1; k=rsa; p=MIGfMA0...'

В этом примере указывается, что тип ключа – RSA и включает открытый ключ.

• Обновите настройки DNS: добавьте запись DKIM в настройки DNS вашего домена.

Настройте DMARC:

• Создайте запись DMARC: создайте запись DMARC, создав текстовую запись в настройках DNS вашего домена. Имя этой текстовой записи будет ‘_dmarc.ваш домен>’, а значение будет содержать вашу политику DMARC.

Example DMARC Record: 'v=DMARC1; p=reject; rua=mailto:report@example.com'

В этом примере указывается, что электронные письма, не прошедшие проверку DMARC, должны быть отклонены и что отчеты должны отправляться по адресу ‘report@example.com’.

• Обновите настройки DNS: добавьте запись DMARC в настройки DNS вашего домена.

Заключение

Стандарты SPF, DKIM и DMARC являются важными компонентами надежной архитектуры безопасности электронной почты в эпоху, когда электронная почта уязвима для широкого спектра атак.

Хотя у каждого из них есть преимущества и недостатки, они обеспечивают надежную защиту от значительной части атак на основе электронной почты.

Внедрение этих процессов аутентификации повысит безопасность ваших почтовых систем, а также повысит эффективность доставки ваших электронных писем, уменьшая вероятность того, что ваши законные сообщения будут ошибочно отнесены к категории спама.

Применение этих стандартов к вашей цифровой коммуникационной инфраструктуре может значительно повысить безопасность и надежность ваших коммуникаций.