И рад бы в Инбокс, да DMARC не пускает: 10 мифов об электронной подписи

Только в первом квартале 2017 года с помощью системы «Антифишинг» Касперского было предотвращено  51 321 809 фишинговых атак, причем каждая десятая атака была направлена на клиентов онлайн-магазинов.

При этом уловки мошенников становятся всё изощреннее, теперь на них попадаются даже пользователи с высоким уровнем интернет-грамотности.

Один из самых распространенных способов интернет-мошенничества — рассылка писем от имени известного домена.

Не стоит надеяться, что ваши получатели сами  распознают мошеннические электронные письма и сообщат о них в службу поддержки. Каждый бренд должен самостоятельно защитить свою репутацию.

Для этого в DNS существуют записи SPF, DKIM и DMARC. Они не пропускают поддельные письма во “Входящие”. Процесс контролируется процедурой DMARC Policy (идентификация сообщений, создание отчётов и определение соответствия по доменному имени).

Ликбез

SPF (Sender Policy Framework) —  это механизм безопасности, который не позволяет злоумышленникам отправлять письма от вашего имени. Для этого в строке SPF перечислены адреса почтовых серверов, которым разрешено отправлять письма от адресов вашего домена.

Подпись DKIM (Domain Keys Identified Mail ) создана с той же целью, что и SPF — ее наличие в заголовке письма удостоверяет, что отправка этого письма разрешена владельцем домена отправителя.

Запись DMARC (Domain-based Message Authentication, Reporting and Conformance) задает правила проверки приходящей почты, например — что делать, если письма не проходят аутентификацию SPF или DKIM.

Добавить собственные записи SPF, DKIM и DMARC очень легко, это занимает всего несколько минут. Однако есть много ошибочных представлений о внедрении DMARC, с которыми наш отдел техподдержки постоянно сталкивается. Эти недоразумения часто мешают борьбе с фишинг-атаками.

Вот 10 мифов, которые нужно разоблачить.

1. Письма от вашей организации уже так или иначе подписаны SPF, DKIM и DMARC

Письма, которые вы отправляете от почтового ящика вашей организации, могут не иметь записей SPF, DKIM и DMARC. Чтобы проверить это, лучше обратиться к компетентному специалисту.

Если этого не сделать, ваши письма могут не дойти до получателей.

В разделе “Поддержка” вы найдете подробную инструкцию по настройке электронной подписи.

2. Можно просто оставить предыдущие настройки

Очень не рекомендуем делать это! Чем больше вы верите в непогрешимость прошлых настройщиков электронной подписи, тем ближе вы к краю пропасти. Настройки со временем могут ломаться, поэтому советуем всё перепроверить самому или довериться специалистам.

Еще лучше заново настроить все записи — так у вас появится возможность оптимизировать их структуру.

3. Настраивать SPF, DKIM, DMARC не нужно, если используешь ESP

Если вы пользуетесь сервисом рассылок, настраивать свою собственную подпись не обязательно. Но очень желательно.

Во-первых, это повышает доставляемость.

Во-вторых, вы формируете репутацию своего домена, и если придерживаться несложных правил емейл-гигиены, то вскоре даже Gmail будет всегда пропускать ваши письма во входящие.

Дополнительным бонусом будет внешний вид ваших писем — все поля с информацией об отправителе будут подписаны вашим доменом.

4. Настройка электронной подписи — гарантированное попадание в инбокс

Не совсем. Например, Gmail не считает безопасными по умолчанию email-рассылки, которые отправляют даже самые известные ESP. Иногда, чтобы письма от определенного домена не попадали в спам, получателю нужно отметить одно из них флажком “Не спам”.

Второй вариант — внести адрес “From” отправителя в свой список контактов.

Некоторые компании после подписки присылают письмо со ссылкой, чтобы подписчику было проще настроить доставку в Инбокс.

Ну и конечно, на попадание во “Входящие” влияет масса факторов помимо электронной подписи: репутация домена, качество контактной базы, содержимое письма и т.д.

5. Использование дорогих и популярных ESP гарантирует высокую доставляемость

Наоборот. Если вы допустите серьезную ошибку, которая приведет к большому количеству жалоб и ошибок, алгоритмы таких ESP надолго отправят ваш сервер в список “неблагонадежных”. Шансов относительно быстро выйти из Спама не будет.

Вы можете прочесть кейс о том, как eSputnik спасал репутацию сервера, испорченную в другом ESP.

6. Сразу после настройки электронной подписи можно запускать любые массовые рассылки

Нет. С этого момента начинается формирование репутации вашего сервера. Соответственно, сначала нужно “прогреться”, постепенно увеличивая объем рассылок.

Начинать лучше с проверенной, активной базы подписчиков, а реактивационные кампании запускать уже после того, как ваш сервер хорошо зарекомендует себя.

7. Все электронные письма должны отправляться от домена организации верхнего уровня

Это плохая идея. Часть писем могут быть транзакционными, другие — промо. Зачем их смешивать? Чтобы узнать подробности, ознакомьтесь с этой статьей от Google.

8. Sender ID (SPF2) круче, чем SPF1

Не стоит сравнивать теплое с мягким. Эти две записи связаны с разными уровнями электронной подписи. Одна запись не лучше другой, поскольку они решают разные проблемы:
SPF проверяет исходный адрес электронной почты. Он не всегда совпадает с адресом «от», поскольку относится к фактическому серверу, отправляющему сообщение. SPF широко используется всеми крупными ESP.

Идентификатор отправителя проверяет фактический адрес «From» электронной почты. Сервисами рассылки он практически не используется.

9. Злоумышленники будут отправлять электронные письма с того же субдомена, что и вы

Весь домен постоянно подвергается риску. Вам необходимо защитить его целиком — как основной, так и субдомены.

Вопреки распространенному мнению, именно основной домен организации, а не поддомен, чаще становится целью атаки.

10. Можно отправить ваш личный ключ DKIM кому-то еще

Высказывание противоречит само себе. Когда ваш ключ DKIM отправляется другому человеку, он перестает быть приватным! Ваш ключ DKIM должен использоваться только в MTA (Mail Transfer Agent, клиент-серверное почтовое программное обеспечение).

Это самые распространенные заблуждения, с которыми мы сталкиваемся каждый день. Конечно, на самом деле их гораздо больше.
А с какими заблуждениями сталкивались вы?