Comments 33
В настоящее время наблюдаются проблемы с политикой DMARC типа reject в случае использования сервера пересылки (backup MX) и при работе с листами рассылки (mailing list). Поэтому я бы рекомендовал не увлекаться закручиванием гаек, удовлетворившись пока политикой quarantine.
Со списками рассылки действительно бывают проблемы, но большая часть крупных списков уже умеют обнаруживать домены с DMARC и делать для них замену From. Строгий DMARC уже есть у yahoo.com, aol.com, mail.ru, Microsoft обещал внедрить на outlook/hotmail до конца года, GMail так же анонсировал внедрение, поэтому списки рассылки вынуждены адаптироваться. Если это действительно необходимо, можно выделить отдельный поддомен с более мягкой политикой специально для постинга в списки рассылки.
Возможно это офтоп, но… Совершенно недавно окунулся в мир почты. И у меня складывается такое ощущение, что все достижения разработчиков последних десятилетий обошли технологию email стороной. Один плохой дизайн накладывается на другой.
У меня как у пользователя встает один вопрос, когда почтой снова можно будет начать пользоваться? Почему крупные операторы стоят в стороне от прогресса. Когда уже появится какой-нибудь консорциум наподобие whatwg и устранит эту кашу из технологий и осовременит email.
Проблема в другом. Очень мало кто из администраторов знаком с новыми технологиями почты. 100% администраторов с которыми приходилось общаться уверены, что SPF должен защищать почту от подделок (что абсолютно не соответствует действительности). Как заставить, например, крупные российские банки внедрить SPF, DKIM и DMARC, которых там как правило нет, при том что в штатах DMARC есть практически у всех крупных финансовых организаций? Мы на себя взяли задачу — продвинуть технологию среди администраторов. И уже есть определенные успехи.
DMARC для построения отчетов использует XML, который сегодня уже считается утратившим актуальность. И это при том, что создавался он в 2015! Понимаю, еще если бы это был 2005. Это раз. Два: наличие таких игроков как spamhaus, которые в большей степени паразитируют на слабости технологии перед спам-атаками, говорит об отсутствии на рынке общей стратегии по дальнейшему развитию.
Далее идет низкая насыщенность программными решениями: большинство присутствующих сегодня продуктов имеют слабую поддержку сообщества и имеют высокий порог входа. Из-за чего важные нововведения проходят со скрипом.
Как заставить, например, крупные российские банки внедрить SPF, DKIM и DMARC,
… а обновления требуется заставлять внедрять. Не потому ли, что дорого!? Сама технология почты очень дорогая в обслуживании. Сегодня почта живет на почтовых гигантах и корпоративном сегменте. Устоявшееся мнение, что почту проще доверить яндексу или гуглу является нормой. И, даже потеря конфиденциальности, никого не останавливает. Нет, с почтой у нас определенно проблемы.
Во-вторых спецификация DMARC позволяет расширять форматы и добавить другие методы при необходимости.
Вся сила почты в том, что из-за своей универсальности и всеобщести она заставляет всех подстраиваться под неё. Хорошо или плохо, но это много лучше, чем любая альтернативная система, придуманная компаниями.
Я могу написать пользователю microsoft и пользователю apple, даже если один из них пользуется skype, а другой viber'ом, и даже если рядом есть фанат блекберри с watsup'ом, то он может написать харкорному пользователю hipchat'а.
Посредством электронной почты, разумеется.
Я о том, что консорциум браузеров появился, а консорциум почтовых клиентов – нет. Что, согласитесь, странно для второй по значимости технологии интернета. При этом почта до сих пор страдает детскими болезнями первородного Интернета.
Чтобы не заморачиваться с FF под виртуалкой удобнее использовать HTTP-туннель, а то как-то ну совсем уж хардкорно.
В итоге реализуя почтовый протокол нужно думать не только о стандарте, но и о всем многообразии отступлений от него.
Дизайн протокола как абсолютно распределенного обмена сообщениями очень хорош. Но методы защиты и представления информации остались на зачаточном уровне. При этом проблема продолжает потреблять большие деньги.
Устаревшие почтовые клиенты и сервера, могут бесконечно долго успешно существовать, пока не сложится предпосылок для замен, так можно еще пару десятилетий протянуть. А обратную совместимость при внесении изменений никто не отменял. Чтобы не попасть в проприетарную ловушку нужно объединять усилия сообщества разработчиков, тогда ситуация поменяется в лучшую сторону очень быстро.
Проблема защиты упирается по сути в основном в масштабы. Это я говорю как разработчик системы защиты почты если что. Есть невероятно много источников почты, которые настроены как попало, с каким попало софтом и шлют всякую дрянь. И эта дрянь является легитимной почтой, ее нельзя просто взять и выкинуть. Единственная реальная возможность продвигать стандарты безопасности — это быть монополистом с сильной политической волей. Как например гугл хром. Отжать львиную долю рынка и тупо отключить поддержку небезопасных сертификатов. Иначе весь интернет не заставить. К сожалению в области почты нет такого крупного монополиста, которым мог это сделать.
Подпись DKIM внедрена и проблем с ней не наблюдается.
Скажите, кто-нибудь нашел нормальный инструмент для обработки DMARC отчетов?
Для отдельных отчетов можно использовать https://dmarcian.com/dmarc-xml/
для организации процесса обработки в целом удобно использовать либо сервис, который тот же Dmarcian представляет по подписке (есть бесплатные подписки для небольших объемов почты) либо его аналоги. Мы пользуемся услугами Agari.
Бесплатных готовых инструментов пока не встречалось.
Использую https://dmarc.postmarkapp.com/ для получения еженедельных отчетов.
Внедрение DMARC для защиты корпоративного домена от спуфинга