Что такое DMARC?
Запись DMARC (Domain-based Message Authentication, Reporting & Conformance (проверка подлинности, отчетность и соответствие сообщений на основе домена)) — это запись DNS TXT, которая помогает защитить электронную почту, инструктируя принимающие почтовые серверы, как обрабатывать сообщения, которые не проходят аутентификацию с помощью SPF (структура политики отправителей (Sender Policy Framework)) и DKIM (DomainKeys Identified Mail (почта, идентифицированная доменными ключами)) политики. Запись предназначена для того, чтобы дать владельцам доменов электронной почты возможность защитить свой домен от несанкционированного использования, например от подделки электронной почты, и является важной частью процесса аутентификации электронной почты в организации. DMARC работает, проверяя IP-адрес отправителя и гарантируя, что он соответствует записям предполагаемого отправляющего домена.
DMARC влияет на безопасность организации, предоставляя три основных преимущества: он повышает безопасность, предотвращая подделку домена, улучшает репутацию организации, гарантируя, что из ее домена отправляются только проверенные электронные письма, и обеспечивает видимость отправителей электронной почты, что помогает в выявлении потенциальных угроз и источников злоупотреблений.
Злоумышленники могут использовать неправильно настроенные параметры DMARC для проведения различных атак по электронной почте, таких как фишинг, рассылка спама и выдача себя за другое лицо. Распространенная форма атаки включает отправку электронных писем с домена, который кажется законным, но на самом деле не прошел аутентификацию, что позволяет обойти защиту DMARC. Это позволяет злоумышленникам обманом заставить получателей раскрыть конфиденциальную информацию или взаимодействовать с вредоносными ссылками. Неправильно настроенные настройки DMARC также могут позволить злоумышленникам выдавать себя за законных отправителей, нанося этим ущерб репутации и авторитету организации.
Примером таких злоупотреблений может служить крупная утечка данных в Marriott в 2018 году, которая произошла из-за неправильно настроенной записи DMARC. Злоумышленники отправили сотрудникам Marriott фишинговые электронные письма, которые, по-видимому, исходили от генерального директора компании. В результате этого были скомпрометированы записи клиентов. Другие известные организации, которые пострадали от нарушений из-за неправильных настроек DMARC, включают Yahoo, Target. К частым ошибкам настройки относятся неправильное согласование записей SPF и DKIM или установка политики DMARC на «карантин» или «отклонение», что может сделать организацию уязвимой для атак.