Приятного чтения!

← назад
Защита почты от фишинговых, мошеннических писем и спама или как рассылке не попасть в чёрный список

Защита почты от фишинговых, мошеннических писем и спама или как рассылке не попасть в чёрный список

calendar_today26.03.2024 visibility48

Этой статьёй хочу открыть серию о защите пользователей от недобросовестных, или вовсе преступных лиц, которые могут неправомерно использовать ваш почтовый сервер или от вашего имени отправлять им спам.

Защита почтового сервера

Защита серверов электронной почты имеет решающее значение для защиты конфиденциальных данных и конфиденциальных сообщений от потенциальных кибер-атак. Серверы электронной почты должны быть защищены от внешних и внутренних угроз для обеспечения конфиденциальности, целостности и доступности электронной почты.

Внедрение передовых методов может значительно снизить риск нарушения безопасности, связанной с электронной почтой. Регулярные обновления и исправления программного обеспечения также могут устранить любые уязвимости, которыми могут воспользоваться киберпреступники.

Опережая угрозы и следуя передовой практике, предприятия и организации могут обеспечить безопасность своих почтовых серверов и сохранить доверие клиентов и заинтересованных сторон.

К первому эшелону защиты относятся:

  • обязательная авторизация отправителя;
  • шифрование отправляемой почты технологиями SSL и TLS;
  • использование таких программ защиты, как fail2ban для исключения проникновения злоумышленника путём перебора паролей

Защита отправляемых писем

Триада защиты получателей почты от фишинговых, мошеннических писем и спама включает в себя технологии аутентификации отправителя посредством шифрования письма с использованием публичного и приватного ключей (DKIM), определения легитимности отправителя по разрешённым IP (SPF), сверку с его политикой (DMARC) для применения окончательного решения о судьбе полученного письма. Каждый из этих элементов будет рассмотрен в следующих статьях по отдельности, сейчас же мы познакомимся с ними довольно поверхностно, чтобы получить общее представление об этих элементах.

DKIM выполняет задачу шифрования. Принцип его работы базируется на двух ключах: публичном и приватном. Публичный ключ размещается в DNS‑записи в txt-поле. Приватный ключ размещается на стороне отправляющего сервера. В заголовки каждого отправляемого письма с помощью приватного ключа в зашифрованном виде добавляются: тело письма, служебные заголовки, время отправки и другие параметры.

Почтовый провайдер обращается к домену отправителя сразу, как только получит подписанное email‑сообщение. С помощью публичного ключа расшифровывает заголовок и проверяет соответствие письма и информации в заголовке.

Подробнее о DKIM читайте на нашем сайте в статье Что такое DKIM и как его настроить.

SPF определяет с каких IP разрешено отправлять сообщения от имени отправляющего домена. Получив письмо, почтовые провайдеры (Mail.ru/Yandex/Gmail) понимают, что оно действительно отправлено от имени домена вашей компании.

При этом спамер не сможет использовать ваш домен для фишинга. Ему придётся искать другие варианты.

Подробнее о SPF читайте на нашем сайте в статье Что такое SPF и как его настроить.

Ключевые функции DMARC — проверка аутентификации и отправка отчётов. DMARC определяет политику использования вышеуказанных элементов триады. С его помощью даются рекомендации принимающему серверу как поступить с полученным письмом, если нет соответствий DKIM и SPF. Также, после прохождения проверки, добавляются данные о факте и результате проверки в агрегированный отчёт, который по умолчанию отправляется раз в сутки.

Подробнее о DMARC читайте на нашем сайте в статье Что такое DMARC и как его правильно настроить.

Как провайдер проверяет письма

Допустим, вы отправили рассылку через свой сайт пользователю на Mail.ru. 

После того как письмо получает провайдер подписчика (Mail.ru), он проверяет репутацию домена, наличие email и домена в черных списках, IP-адреса серверов, с которых отправлено письмо. В рамках этой проверки почтовый провайдер:

  • Расшифровывает и верифицирует DKIM. Точно ли от этого домена отправлено письмо, или это подделка.
  • Расшифровывает и верифицирует SPF. Разрешено ли слать письма от имени этого домена этому IP.
  • Применяет политику, прописанную в DMARC. Допустим, в DMARC написано отправить в «Спам» тех, у кого DKIM не совпадает, и отослать отчет об этом администратору домена.

Далее к письму применяются стандартные спам-фильтры. 

Варианты развития событий после проверки:

  • Письмо пропущено и попадает во «Входящие». Если DKIM и в порядке, а спам-фильтры пройдены.
  • Письмо добавлено в карантин (в «Спам»). Если DKIM или SPF не совпадает и/или спам-фильтры не пройдены.
  • Письмо отклонено (не доставлено). Индивидуальные причины: к примеру, у пользователя забит почтовый ящик.

После распределения писем отправителю высылается автоматический отчёт в формате xml, где написано, что произошло с отправленными письмами. 

Прочитать такой отчёт в удобочитаемом виде можно на главной странице нашего сайта во вкладке Отчёты DMARC, стоит лишь загрузить отчёт или архив, который вы получили. Также вы можете зарегистрироваться на нашем сайте, настроить DMARC-записи своих доменов, как показано в инструкции на странице регистрации или в Домены личного кабинета, указать их на этой же странице или при регистрации и получать готовые отчёты на свою почту также в “человекочитаемом” виде.