Как работает система аутентификации по электронной почте?

Аутентификация электронной почты — это процесс, с помощью которого серверы проверяют надёжность отправителя и содержимого письма. adguard.com Она помогает убедиться, что письма действительно были отправлены с заявленных доменов, и предотвратить различные виды кибератак, такие как фишинг и спуфинг. adguard.com

Аутентификация электронной почты включает три основных протокола: SPF, DKIM и DMARC. adguard.com

SPF (Sender Policy Framework) позволяет владельцам доменов создавать список проверенных IP-адресов, которые имеют право отправлять электронную почту от их имени. adguard.com Когда письмо достигает сервера адресата для входящих писем, SPF выполняет проверку — это DNS-поиск, который проходит через все записи SPF. stripo.email Если адрес отправителя найден в ходе поиска, то письмо попадает в почтовый ящик получателя. stripo.email В противном случае оно будет отклонено и не будет отправлено дальше. stripo.email

DKIM (DomainKeys Identified Mail) — это система на основе ключей. adguard.com Отправитель электронной почты создаёт пару ключей: закрытый и открытый. adguard.com Закрытый ключ хранится у поставщика услуг электронной почты (ESP) отправителя, а открытый ключ хранится в DNS. adguard.com Когда получателю приходит электронное письмо, его ESP может проверить, соответствует ли закрытый ключ открытому, хранящемуся в DNS. adguard.com DKIM использует криптографию для добавления зашифрованной подписи к каждому отправленному письму, гарантируя, что письмо не было изменено или подделано в процессе передачи. adguard.com

DMARC (Domain-based Message Authentication, Reporting & Conformance) работает в связке с SPF и DKIM, предоставляя владельцам доменов контроль над тем, как их электронная почта обрабатывается получателями. adguard.com В то время как SPF и DKIM проверяют подлинность отправителя, DMARC позволяет владельцам доменов устанавливать политику в DNS, которая определяет, как получатели должны обрабатывать письма, особенно те, которые не прошли проверку подлинности. adguard.com

Процесс аутентификации электронной почты включает следующие этапы: adguard.com

1. Настройка отправки. adguard.com Владелец домена настраивает записи аутентификации (SPF, DKIM и DMARC) в своей системе доменных имён (DNS). adguard.com
2. Отправка письма. adguard.com Письмо включает информацию об отправителе и данные аутентификации в своих заголовках. adguard.com
3. Проверка получателя. adguard.com Почтовый сервер получателя проверяет письмо по записям аутентификации в DNS отправителя. adguard.com
4. Проверка SPF. adguard.com Сервер проверяет, разрешено ли IP-адресу отправителя отправлять письма от имени домена. adguard.com
5. Проверка DKIM. adguard.com Сервер использует открытый ключ в DNS для расшифровки подписи DKIM и подтверждения целостности письма. adguard.com
6. Оценка DMARC. adguard.com Если письмо не проходит хотя бы одну из проверок, SPF или DKIM, сервер обращается к политике DMARC, чтобы решить, как обработать письмо. adguard.com
7. Решение. adguard.com На основании результатов аутентификации сервер получателя решает, доставить письмо или поместить его в спам. adguard.com