Защита домена от почтового скама

Почта до сих пор остается очень уязвимым сервисом в Сети. И до сих пор мошенники продолжают пользоваться старым методом — подделкой почтового адреса. Если у сервиса нет никакой защиты от подделки адреса, то и представиться этим сервисом нет никакой проблемы.

В данной статье я кратко расскажу о том, как защитить свой домен от подобного безобразия.

Существует два основных метода защиты почты — это SPF записи и серверная подпись сообщений. В корпоративной среде также практикуется цифровая подпись сообщений, однако это тема для совсем другой статьи…

SPF это запись на DNS сервере домена, которая указывает на то, какие сервера имеют право отправлять почту с указанием нашего домена. Уже одна эта запись сильно усложняет жизнь злоумышленникам — SPF запись проверяют такие почтовые монстры как gmail, yahoo, inbox.com, yandex. В случае, если SPF проверка не будет пройдена, письмо либо отправится в спам, либо даже не дойдет до почтового ящика — тут все зависит от конкретного почтового сервера.  Gmail, например, отправляет письмо в спам и при его открытии предупреждает что письмо с большой вероятностью отправлено мошенниками. В целом, SPF стоит настраивать всегда — много времени это не займет, а пользу принесет. SPF можно убрать только получив доступ к DNS-серверам домена.

Существует также творческая переделка SPF от майкрософта под названием Sender-ID, которая де-факто является тем же SPF с добавлением пары никому не нужных функций. Пользоваться Sender-ID не имеет смысла, так как SPF является стандартом. Обзорную статью по настройке SPF можно найти тут

Существует также метод подписи сообщений на стороне сервера. Реализации две — DKIM (DomainKeys Identified Message) и DK (DomainKeys). Они очень похожи друг на друга — вся разница заключается лишь в синтаксисе настроек. Я предпочитаю DKIM, так как он более совершенен и распространен.

DKIM устанавливается на сервер как прокси для почтового сервера. После того как письмо проходит DKIM-фильтр, к письму добавляется цифровая подпись. После того, как это письмо доходит до конечного почтового сервера, последний выполняет проверку подписи DKIM, сверяя подпись с той, что находится в DNS домена. В случае несоответствия или отсутствии подписи письмо либо отправляется в спам, либо вообще отклоняется сервером — все зависит от настроек. Убрать DKIM можно только, опять же, получив доступ к DNS домена, либо заполучив приватный ключ для подписи сообщений (но тогда может помешать SPF). Обзорную статью по настройке DKIM можно найти тут

Можно спросить — а что же тогда использовать? Я бы порекомендовал использовать связку SPF + DKIM. Даже в случае если злоумышленник сможет раздобыть приватный ключ, которым Вы подписываете свои сообщения, ему сильно помешает SPF.