Ненадежные источники DMARC
Теперь, когда вы начали получать отчеты DMARC, вы можете задаться вопросом, что означают «Ненадежные» источники. Стоит ли переживать? Что с ними делать? Ответ зависит от ситуации, поэтому давайте разберемся, что такое ненадежный источник и как с ним работать.
Каждая строка в отчете представляет источники, для которых все сообщения не прошли ни по SPF, ни по DKIM, и поэтому не прошли проверку DMARC. Любой источник, который появляется здесь, либо является легитимным отправителем, который должен быть настроен в вашей DNS-записи, либо не является легитимным и не должен отправлять письма от вашего имени. В первом случае нужно настроить их записи SPF или DKIM, либо, если они уже настроены, убедиться, что они настроены правильно. Во втором случае, как правило, можно просто игнорировать их, если только объем сообщений не слишком велик.
Самая сложная часть процесса — это определить, является ли источник легитимным. Если объем сообщений небольшой, можно, скорее всего, проигнорировать источник. Однако если ненадежный источник отправляет большое количество сообщений, вам стоит проверить это.
Самая сложная часть процесса — это определить, является ли источник легитимным. Если объем сообщений небольшой, можно, скорее всего, проигнорировать источник. Однако если ненадежный источник отправляет большое количество сообщений, вам стоит проверить это.
Исследование источников
Часто домен и IP-адреса не напрямую связаны с сервисом, который вы используете. Вместо этого они могут быть связаны с хостинг-компаниями, использующимися этими сервисами. Это может затруднить установление связи с источником, который отправляет письма. Более эффективным подходом будет составить список всех сервисов, которые вы используете, и затем сузить его до тех сервисов, которые отправляют почту от вашего имени.
Когда у вас будет список таких сервисов, проверьте требования для настройки SPF и DKIM для каждого из них, чтобы убедиться, что они настроены правильно. В идеале вы быстро найдете сервис, который неправильно настроен, и сможете решить проблему. В некоторых случаях ненадежный источник может быть злонамеренным. Если объем небольшой, беспокоиться не стоит. Однако если ненадежный источник с высоким объемом сообщений нельзя отнести к одному из ваших сервисов, вам может понадобиться принять меры по защите вашего домена.
Когда у вас будет список таких сервисов, проверьте требования для настройки SPF и DKIM для каждого из них, чтобы убедиться, что они настроены правильно. В идеале вы быстро найдете сервис, который неправильно настроен, и сможете решить проблему. В некоторых случаях ненадежный источник может быть злонамеренным. Если объем небольшой, беспокоиться не стоит. Однако если ненадежный источник с высоким объемом сообщений нельзя отнести к одному из ваших сервисов, вам может понадобиться принять меры по защите вашего домена.
Что делать?
В целом, мы не рекомендуем сразу использовать политики DMARC «quarantine» или «reject», если вы не видите большого объема сообщений от конкретного источника или если ваш сервис не привлекает фишинговые атаки. В большинстве случаев риск блокировки легитимных писем выше, чем риск пропустить небольшое количество нелегитимных писем.
Как только вы настроите отчет DMARC и будете собирать данные хотя бы несколько месяцев, вы сможете добавить все свои легитимные источники отправки в вашу DNS-запись. Только после того, как вы будете уверены, что все источники добавлены, стоит рассматривать возможность ограничения доставок.
Как только вы настроите отчет DMARC и будете собирать данные хотя бы несколько месяцев, вы сможете добавить все свои легитимные источники отправки в вашу DNS-запись. Только после того, как вы будете уверены, что все источники добавлены, стоит рассматривать возможность ограничения доставок.
Виды политик DMARC
Вы можете установить три разных значения для p в зависимости от того, как вы хотите, чтобы входящий почтовый сервер обрабатывал нелегитимные письма:
- p=none → Доставить письмо и записать его для отчета.
- p=quarantine → Отметить письмо как спам.
- p=reject → Удалить письмо до того, как оно попадет в папку «Входящие».
Кроме политики, вы также можете указать процентное значение (pct), чтобы не применять политику ко всем письмам. Если вы использовали стандартную запись DMARC, вы увидите переменную pct=100. Она управляет процентом писем, которые будут обработаны в соответствии с политикой DMARC. Рекомендуется, чтобы при установке политики quarantine или reject на письма, вы начинали с небольшого процента и постепенно увеличивали его.
Примерная схема может быть следующей, увеличивая процент каждую неделю, получая отчеты DMARC:
Примерная схема может быть следующей, увеличивая процент каждую неделю, получая отчеты DMARC:
- Контроль всех сообщений (p=none; pct=100;)
- Карантин 25% (p=quarantine; pct=25)
- Карантин 50% (p=quarantine; pct=50)
- Карантин все (p=quarantine; pct=100)
- Отклонение 25% (p=reject; pct=25)
- Отклонение 50% (p=reject; pct=50)
- Отклонение все (p=reject; pct=100)
Постепенное увеличение поможет минимизировать вероятность пропуска легитимного отправителя, при этом начиная применять фильтрацию, чтобы защитить ваш домен и доставку почты. Вам следует уведомить вашу команду поддержки об агрессивной политике, чтобы они могли своевременно реагировать, если начнут поступать жалобы на потерянные письма.
Не можете найти то, что ищете?
Спросите нас! Мы рады помочь вам с любой проблемой или вопросом.