DMARC

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

DMARC (Domain-based Message Authentication, Reporting and Conformance - домен на основі аутентифікації повідомлень, звітності та відповідності) - це технічна специфікація створена групою організацій, мета яких зменшити потенціал для електронної пошти на основі зловживань при вирішенні розгортання та звітності питань, пов'язаних з електронною поштою протоколи аутентифікації. DMARC стандартизує як електронна пошта приймачів виконувати перевірку автентичності за допомогою відомих SPF і DKIM механізмів. Використовуючи існуючу електронну пошту технологій аутентифікації SPF (Sender Policy Framework) і DKIM (DomainKeys Виявлені Mail), DMARC дозволяє відправників електронної пошти для розширення можливостей всіх провайдерів з можливістю повідомити, а також монітор, карантин, або відхилити будь-який лист, який не належним автентичності.

Принцип роботи[ред.ред. код]

Політика DMARC дозволяє відправникові вказати, що їхні повідомлення знаходяться під захистом SPF і/або DKIM, і говорить приймачу, що робити, якщо жоден з цих методів аутентифікації проходить - таких, як небажані або відхилити повідомлення. DMARC усуває здогади з обігу одержувача цих помилкових повідомлень, обмеження або усунення впливу користувача на потенційно шахрайських і шкідливих повідомлень. DMARC також надає можливість для електронної пошти одержувача повідомити відправникові про повідомлення, які проходять і/або не DMARC оцінки. Email технологій аутентифікації SPF і DKIM був розроблений більш десяти років тому для того, щоб забезпечити більшу впевненість про особу відправника повідомлення. Багато відправників мають складне середовище електронної пошти з багатьма системами відправки електронної пошти, часто включаючи 3-постачальниками послуг. Забезпечення того, кожне повідомлення може бути перевірена за допомогою технології SPF і DKIM є складним завданням, особливо враховуючи, що ці екосистеми знаходяться в стані постійної зміни. Якщо власник домену посилає суміш повідомлення, деякі з яких може бути перевірена та інші, які не можуть, то електронна пошта приймачів змушені розрізняти законні повідомлення, не проходять перевірку справжності і шахрайських листів, які також не проходять перевірку автентичності. За своєю природою, спам алгоритмів до помилок і потрібно постійно розвиватися, щоб реагувати на зміни в тактиці спамерів. Результатом є те, що деякі шахрайські повідомлення неминуче пробиваються в поштову скриньку користувача. Відправники отримують дуже поганий зворотний зв'язок на їх розгортання пошти аутентифікації. Якщо повідомлення повернеться до відправника, немає ніякого способу визначити, скільки таких листів були відправлені, які не можуть пройти перевірку автентичності або навіть за рамки шахрайських листів, які підміни домену відправника. Це робить усуненні неполадок аутентифікації пошти дуже важко, особливо в складних умовах поштою. Навіть якщо відправник має застебнутому до їх поштової інфраструктури аутентифікації і всі їх законні повідомлення може бути перевірена, електронною поштою приймачів побоюються відмовитися справжність повідомлення, тому що вони не можуть бути впевнені, що не існує деякий потік таких листів, які йдуть без підпису. Єдиний спосіб, ці проблеми можуть бути вирішені, коли відправники та одержувачі обмінюватися інформацією один з одним. Приймачі поставляти відправників з інформацією про їх інфраструктури аутентифікації відправників листів, а сказати приймачів що робити, коли отримано повідомлення, що не проходить перевірку автентичності. У 2007 році PayPal вперше цей підхід і розроблена система Yahoo! Пошта Gmail, а потім взяти участь в цьому моді. Результати виявилися дуже ефективними, що призвело до значного зниження підозрюваних шахрайську електронну пошту нібито, від PayPalприймаються цими приймачами. Мета DMARC полягає у створенні цієї системи відправників та одержувачів співробітництва для поліпшення пошти аутентифікації відправників практики і дозволяють одержувачам відмовитися автентичності повідомлення.

Призначення[ред.ред. код]

DMARC призначений для установки в існуючі входять організації процесу перевірки справжності електронної пошти. Як це працює, щоб допомогти електронною поштою приймачів визначити, чи є передбачуваний повідомлення вирівнюється з тим, що одержувач знає про відправника. Якщо ні, то DMARC включає керівництво, як поводитися з "неприєднаних" повідомлення. DMARC безпосередньо не стосується чи ні електронної пошти є спамом чи інакше сфальсифіковані. Замість цього повідомлення є "вирівнюється", якщо отримане повідомлення відповідає конфігурації виявлення шахрайства (наприклад, DKIM, SPF і т.д.), і «неприєднаних», якщо це не так.

SPF-перевірки справжності ідентифікаторів[ред.ред. код]

DMARC надає можливість застосування SPF в строгому режимі або в розслабленому режимі. У розслабленому режимі [SPF]-аутентифікацію RFC5321. MailFrom ("відправник конверта") домену і RFC5322.From домену має відповідати або одні й ті ж організаційні домену. SPF-перевірки справжності RFC5321.MailFrom домен може бути батьківського домену або дочірнього домену з RFC5322.From області. У строгому режимі, тільки точний домен DNS матч вважається виробляти ідентифікатор вирівнювання. Наприклад, якщо повідомлення проходить перевірку SPF з RFC5321.MailFrom області "cbg.bounces.example.com", а також адреса частини RFC5322.From полемістить "payments@example.com" Минулі перевірку RFC5321. MailFrom ідентифікатор домену та домену RFC5322.From вважаються "у відповідність" в розслабленому режимі, але не в строгому режимі.

DKIM-перевірки справжності ідентифікаторів[ред.ред. код]

DMARC надає можливість застосування DKIM в строгому режимі або в розслабленому режимі. У розслабленому режимі, організаційні Область [DKIM]-справжність підпису домен (із значення "d =" тег в підпису), і що з RFC5322.From домену повинні бути рівні. У строгому режимі, тільки точний збіг, як вважають, виробляти ідентифікатор вирівнювання. Приміром, в розслабленому режимі, якщо перевіряється підпис DKIM успішно перевіряє з "d =" Область "example.com", і RFC5322.From домен "alerts@news.example.com", DKIM "d = "домен і домен RFC5322.From вважаються« у відповідність ». У строгому режимі, цей тест не буде. Тим не менш, підпис DKIM несучі значення "D = ком" ніколи не дозволить "у відповідність" результат "COM" повинні з'явитися на всіх публічних списків суфіксів, і тому не можуть бути організаційні домену. Ідентифікатор вирівнювання для запобігання зловживань з боку фішерів, які посилають DKIM підписані електронної пошти за допомогою довільного "d =" домен , щоб пройти перевірку аутентифікації.

Безпека[ред.ред. код]

Питання безпеки DMARC зауважує:

  • Безпека DMARC і лежать в його основі технології (SPF, DKIM) залежать від безпеки DNS.
  • DMARC залежить від DKIM, і, отже, безпеку закритих ключів для підписуповідомлень повинні бути впевнені.
  • DMARC залежить від SPF, і, таким чином, список авторизованих серверів в SPF записи автора домену повинні бути точно збережені.
  • На додаток до вище сказаного, автори повинні переконатися, що їх вихідні поштові сервери не посилають несанкціонованої пошти (наприклад, не заражених спам або шкідливі програми).
  • DMARC спирається на концепцію повідомлення карантин в якості дійсногорозташування повідомлення, і, отже, залежить від різних компонентів поштової скриньки одержувача послуг та користувальницького інтерфейсу, щоб зробити цей засіб доступно.

Посилання[ред.ред. код]

http://dmarc.org/
http://dmarc.org/overview.html
http://dmarc.org/draft-dmarc-base-00-01.html
http://www.returnpath.net/commercialsender/domainassurance/dmarc/