Как обезопасить доставку электронной почты с помощью DKIM и DMARC?

Чтобы обезопасить доставку электронной почты с помощью DKIM и DMARC, нужно настроить в зоне DNS домена три TXT-записи: SPF, DKIM и DMARC. 5

SPF (Sender Policy Framework) — проверка сервера отправителя. 5 В записи перечисляются домены и IP-адреса серверов, которые могут отправлять почту от имени домена. 2 Почтовый сервис при получении письма проверяет, с какого адреса оно отправлено. 2

DKIM (DomainKeys Identified Mail) — проверка домена отправителя. 5 Технология использует криптографическую подпись, которую отправляющий сервер добавляет в заголовки сообщения. 1 Получатель сверяет подпись с открытым ключом в DNS-записи домена — и если всё сходится, письмо считается подлинным. 1 Важно, чтобы DKIM был активен на всех платформах, с которых отправляется почта — иначе часть писем останется неподписанной. 1

DMARC (Domain-based Message Authentication, Reporting and Conformance) — технология, которая помогает домену не просто применять SPF и DKIM, но и управлять поведением почтовых серверов, если письмо не прошло эти проверки. 1 Она создаёт слой политики и обратной связи, позволяя владельцам доменов увидеть, кто и как отправляет письма от их имени, и контролировать, что делать с сообщениями, не соответствующими критериям подлинности. 1

Принцип работы DMARC основан на синтезе результатов SPF и DKIM. 1 Если хотя бы один из этих механизмов успешно срабатывает, а домен отправителя совпадает с доменом в записи, письмо считается легитимным. 1 В противном случае DMARC-запись определяет дальнейшие действия: можно просто зафиксировать нарушение (режим «none»), поместить письмо в спам («quarantine») или отклонить его полностью («reject»). 1

Важно не только настроить SPF, DKIM и DMARC, но и регулярно контролировать их работу, анализировать отчёты и своевременно вносить правки. 1