Ваше сообщение не прошел проверку dmarc

Обновлено: 04.07.2024

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс портала Microsoft 365 Defender объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения

Посетите каталог Ассоциации информационной безопасности Майкрософт (MISA), чтобы просмотреть сторонних поставщиков, предлагающих услуги отчетности DMARC для Microsoft 365.

Как SPF в сочетании с протоколом DMARC обеспечивают защиту электронной почты в Microsoft 365?

В этой записи имеются следующие адреса отправителей:

Если используется DMARC, принимающий сервер также проверяет адрес "От". В примере выше, если имеется запись DMARC TXT для адреса woodgrovebank.com, то проверка адреса "От" завершится сбоем.

Что такое запись DMARC TXT?

Запись DMARC TXT корпорации Майкрософт имеет примерно следующий вид:

Посетите каталог MISA, чтобы просмотреть других сторонних поставщиков, предлагающих услуги отчетности DMARC для Microsoft 365.

Настройка протокола DMARC для входящей почты

Вам не нужно ничего делать, чтобы настроить протокол DMARC для почты, которую вы получаете в Microsoft 365. Все выполняется автоматически. Если хотите узнать, что происходит с почтой, которая не прошла наши проверки DMARC, ознакомьтесь c разделом Как Microsoft 365 обрабатывает входящую почту, не прошедшую проверки DMARC.

Настройка DMARC для исходящей почты из Microsoft 365

Если у вас есть личный домен или помимо Microsoft 365 вы также используете локальные серверы Exchange, необходимо вручную реализовать DMARC для исходящей почты. Вот как реализовать DMARC для личного домена:

Шаг 1. Определение допустимых источников почты для домена

Если вы уже настроили инфраструктуру SPF, то вы уже выполнили все необходимые действия. Тем не менее, существует ряд дополнительных факторов, которые следует учитывать при развертывании DMARC. При определении источников почты для домена вы должны задать себе два вопроса:

Какие IP-адреса используются для отправки почты из моего домена?

Шаг 2. Настройка SPF для вашего домена

Теперь, когда у вас есть список всех допустимых отправителей, можно приступать к выполнению инструкций из статьи Настройка SPF для предотвращения спуфинга.

Рекомендуется, чтобы в записи SPF TXT учитывались сторонние отправители.

Шаг 3. Настройка DKIM для вашего личного домена

Инструкции по настройке DKIM для вашего домена, включая порядок настройки метода DKIM для сторонних отправителей, чтобы они могли подделывать ваш домен, см. в статье Проверка исходящей электронной почты, отправляемой с личного домена, с помощью DKIM.

Шаг 4. Создание записи DMARC TXT для вашего домена

В этом разделе описаны наиболее часто используемые варианты использования синтаксиса для Microsoft 365, хотя существуют и другие. Создайте запись DMARC TXT для вашего домена в следующем формате:

TTL — этот параметр всегда должен быть равен одному часу. Срок жизни (TTL) измеряется либо в часах (1 час), либо в минутах (60 минут) или в секундах (3600 секунд). Это зависит от регистратора доменных имен.

pct=100 — обозначает, что это правило следует применять в отношении абсолютно всей почты.

policy — определяет политику, которой должен руководствоваться принимающий сервер в случае, если почта не прошла проверки DMARC. Для этого параметра можно задать значение "none", "quarantine" или "reject".

Чтобы узнать больше о параметрах, которые следует использовать, ознакомьтесь с понятиями, изложенными в разделе Рекомендации по реализации протокола DMARC в Microsoft 365.

Параметру "policy" присвоено значение "none"

Параметру "policy" присвоено значение "quarantine"

Параметру "policy" присвоено значение "reject"

Создав запись, необходимо обновить ее у регистратора доменных имен.

Почта DMARC (общедоступная предварительная версия)

В этом примере записи DMARC TXT dmarc.microsoft.com. 3600 IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1" вы можете увидеть адрес rua, в данном случае обработанный сторонней компанией Agari. Этот адрес используется для отправки "сводного отзыва" для анализа и создания отчета.

Рекомендации по реализации протокола DMARC в Microsoft 365

Реализовать DMARC можно постепенно, чтобы это не влияло на остальной поток обработки почты. Создайте и внедрите план расширения, руководствуясь приведенными ниже действиями. Прежде чем переходить к следующему действию, каждое из этих действий следует сначала выполнить в отношении поддомена, других поддоменов и, наконец, в отношении домена верхнего уровня.

Организуйте отслеживание влияния реализации DMARC

Запросите у внешних почтовых систем помещение на карантин почты, не прошедшей проверки DMARC

Как настроить DMARC для поддомена?

Кроме того, вы можете добавить политику с подстановочным знаком для DMARC, если поддомены не должны отправлять почту, добавив значение sp=reject . Например:

Как Microsoft 365 обрабатывает исходящую почту, не прошедшую проверку DMARC

Как Microsoft 365 обрабатывает входящую почту, не прошедшую проверку DMARC

Пользователи могут добавить надежных отправителей в список с помощью своих почтовых клиентов.

Как Microsoft 365 использует Authenticated Received Chain (ARC)

В настоящее время Microsoft 365 использует ARC для подтверждения результатов проверки подлинности, если корпорация Майкрософт является подтверждающим центром ARC, но в будущем планируется добавить поддержку сторонних подтверждающих центров.

Устранение неполадок реализации DMARC

Если в записях MX своего домена первым указан домен, отличный от EOP, то для вашего домена не будут принудительно применяться проверки DMARC.

Изображение устранения неполадок DMARC, предоставленное Дэниелом Манде

Дополнительные сведения

Хотите узнать больше о протоколе DMARC? Эти ресурсы помогут вам.

Пройдите курс обучения DMARC, предлагаемый компанией M 3 AAWG (Messaging, Malware, Mobile Anti-Abuse Working Group).

Такие письма причиняют ущерб адресатам, что, в конечном счете, сказывается на репутации как самих добропорядочных сервисов, так и почтовых провайдеров.


Как работает DMARC

Суть технологии проста: вы как владелец домена, с которого ведутся рассылки, можете прописать в DNS своего домена политику, определяющую, что делать с письмами, которые признаны поддельными.

Для работы этой технологии требуется настроить SPF для вашего домена и подписывать каждое письмо DKIM-подписью. При этом домен DKIM должен совпадать с доменом в заголовке From.

При получении письма наш сервер проверит валидность SPF и DKIM. В случае, если проверка и DKIM и SPF не пройдена, к письму будет применена DMARC-политика вашего домена.

Я уже хочу. Что мне делать?

Первое, что необходимо сделать — решить, как будет внедряться DMARC. Мы рекомендуем делать это не сразу, а постепенно:

  • Сначала включить только получение отчетов и пропускать все письма. Это необходимо, чтобы убедиться, что все письма корректно подписаны.
  • Далее можно включить применение политики только на какой-то небольшой процент траффика с помощью опции pct
  • Если в отчетах не обнаружено проблем, можно включать политику на 100%

Для включения политики DMARC нужно разместить в DNS-записи вашего сайта новую TXT-запись вида:

В данный момент мы поддерживаем отправку только агрегированных отчетов. Отправка образцов, которые не прошли проверку будет запущена позже.

Как выглядит отчет?

Ниже — пример отчета о том, что с одного IP-адреса было отправлено 20 писем, и все они прошли проверку.

Причины возникающих проблем

Чаще всего проблема с прохождением DMARC возникает при отправке писем с серверов виртуального хостинга.

Обратите внимание! Если подобных ошибок будет много, отправка почты для конкретного аккаунта будет автоматически заблокирована нашей системой. Это необходимо для предотвращения блокировки IP-адреса сервера виртуального хостинга со стороны самого почтового сервиса.

Для того, чтобы письма, отправляемые с сайта, успешно проходили необходимые проверки и доставлялись получателям, можно воспользоваться одним из следующих вариантов:

Domain-based Message Authentication, Reporting & Conformance (DMARC) — политика проверки подлинности отправителя электронного письма, основанная на протоколах DKIM и SPF. Данная политика определяет, как почтовый сервер получателя должен обрабатывать входящие письма, если адрес отправителя не удалось идентифицировать.

Зачем нужна политика DMARC

Политика DMARC защищает владельцев доменов от отрицательных последствий мошеннических действий. Злоумышленники рассылают мошеннические письма с доменов авторитетных компаний. Получатели помечают их как спам и в результате страдает репутация владельца домена, с которого они отправляются.

Как работает DMARC

Проверить, используются ли мониторинговые инструменты для вашего домена, можно с помощью URlports, а dmarcian подскажет детали DMARC записи для любого доменного имени.

Массовые рассылки и DMARC политика

Как настроить DMARC

где:
v — версия протокола, равна DMARC1. Этот параметр означает, что именно эта запись определяет политику DMARC, и должен быть первым в записи.

p — политика обработки писем. Указывается один из возможных вариантов — none, quarantine или reject.

rua — email адрес для получения статистических отчетов. Адрес должен принадлежать тому же домену, для которого настраивается DMARC запись.

ruf — email адрес для получения отчетов о непройденных проверках аутентификации. Так как каждая ошибка при проверке адреса отправителя генерирует отдельный отчет, лучше указывать отдельный почтовый ящик для этого.

fo — определяет, в каких случаях будут отправляться отчёты владельцу домена.

Возможные значения fo :

0 — отчет отправляется, если не пройдены проверки SPF и DKIM. Установлено значением по умолчанию.

1 — отчет отправляется, если не пройдена одна из проверок — или SPF, или DKIM.

Читайте также: