Защита электронной почты

Топ 5 по надежности электронной почты

5 — место занимает сервис Mail, чаще всего взламывают именно его, сложно сказать это из-за того что просто большинство людей пользуется их услугами или потому что у них слабая защита. Но факт остается — фактом, чаще всего обращаются с просьбой о помощи вернуть почту именно на этом портале.

4 — место занимает Rambler, тут обращений меньше, но и пользователей намного меньше.

3 — место Yandex, мне нравится у них двухфакторная защита аккаунта, очень серьезная тема, но те у кого ее нет все же пишут о взломах.

2 — место GMAIL, даже не столько уже почта, сколько облачное хранилище для синхронизации устройств на платформе знаменитой операционной системы Android. Ребята знают свое дело и при правильном использование предлагается хорошая защита.

Нет мозгов — не поможет защита.

Из названия темы прекрасно понятно о чем я. Многие пользователи обращаются к специалистам для создания «непробиваемой почты» или установки супер крутой защиты. И это помогает до тех пор пока специалист по настройке не ушел.

Потому что  пользователь считает, раз ему все настроили, значит можно делать  все что хочется и лазить где угодно без шанса на взлом. Именно такие люди первые будут взломаны, потому что не хотят получать даже базовых знаний по управлению и сами впускают взломщиков или «добровольно отдают» свои логины и пароли вводя их везде без исключения.  Надеюсь намек понятен, проблема даже не в том, что у человека реально нет умственных способностей, а в том, что он не хочет развивать свои знания в информационных технологиях, а защита электронной почты все таки требует хотя

Доказательства уязвимости популярных почтовиков

Главная проблема российских Mail.ru и Яндекса в том, что они показывают рекламу прямо внутри электронной почты. А это значит, что вездесущие рекламные боты шерстят всё содержимое, включая всю входящую корреспонденцию, черновики, а также отправляемые письма. Таким образом, несмотря ни на какие заявленные методы шифрования, считать конфиденциальными эти два популярных российских сервиса нельзя. Более того, Яндекс признал, что сотрудники компании получают доступ к электронной почте пользователей, когда уличил одного из своих сотрудников в предоставлении несанкционированного доступа к 4887 почтовым ящикам в феврале прошлого года.

Также и Яндекс, и Mail.ru Group подтверждали факты сотрудничества со спецслужбами (один из примеров). И хотя представители компаний уверяли, что законопослушным пользователям бояться нечего и неправомерные запросы спецслужб они отклоняют, уже понятно, что личная информация тех, кто пользуется Яндекс.Почтой и Почтой Mail.ru, таковой, по сути, не является. А что Gmail?

, как Google делится данными с разработчиками сторонних приложений и сервисов

Обратите внимание на пункт «Сторонние сервисы и приложения с доступом к аккаунту Google» и на ссылку оттуда «Какие данные предоставляются». Там указано, что, цитируем: «Если вы предоставите доступ к аккаунту Google сторонним ресурсам, они смогут просматривать, редактировать и удалять ваши личные и конфиденциальные данные, а также делиться ими»

Сторонние приложения могут делать всё, за исключением смены пароля, удаления аккаунта и проведения платежей. То есть их разработчики смогут даже читать ваши письма (и удалять их).

Если доступ не предоставляется, то Google гарантирует безопасность при работе с почтой, однако конфиденциальность переписки всё равно обеспечить не может из-за значительного количества личной информации, предоставляемой провайдеру при регистрации и в процессе работы. В политике конфиденциальности Google указано, что, даже если пользователь не входит в аккаунт, сервис хранит информацию, которую собирает, «используя уникальные идентификаторы, связанные с вашими браузерами, приложениями и устройствами. Это позволяет нам запоминать Ваши настройки и другие данные, например предпочтительный язык, настройки персонализации рекламы и результатов поиска. Если Вы выполнили вход, мы собираем и сохраняем в аккаунте Google информацию, которые обрабатываем как личные данные».

Теперь рассмотрим возможности других провайдеров электронной почты.

Услуги по защите электронной почты от ГК “Интегрус”

Услуги по защите электронной почты от компании “Интегрус” включают в себя целый комплекс мер, направленных на то, чтобы уменьшить риски использования электронной почты:

  • Аудит конфигурации почтовых серверов заказчиков. Создание рекомендаций по оптимальной защите в каждом конкретном случае.
  • Настройка почтовых серверов таким образом, чтобы они обеспечивали требуемую производительность и были отказоустойчивы, мониторинг их работы.
  • Организация системы защиты электронной почты от спама, вирусов, фишинга, взломов с помощью специального оборудования и ПО.
  • Защита информации при использовании электронной почты путем ее шифрования.
  • Создание регламентов безопасности корпоративной почты, обучение сотрудников заказчика правилам безопасности работы с электронной почтой.

В результате у вас будет надежная и безопасная электронная почта, защита информации в письмах от несанкционированного доступа будет на высоком уровне, вы сможете быть уверены, что никто посторонний не прочитает её.    

Безопасность и конфиденциальность: в чём разница?

Безопасным можно назвать почтовый сервис, владельцы которого не распространяют информацию, собираемую этим сервисом, третьим лицам. Таким образом, сами владельцы сервиса всё же имеют доступ к вашей переписке, хотя и обязуются не передавать ее кому-либо еще. Но обязуются не означает, что не передают. Например, может возникнуть ситуация, когда в почтовую службу поступит запрос из правоохранительных органов. Также существует автоматическая обработка информации из писем пользователей.

Конфиденциальным можно назвать такой почтовый сервис, где никто, в том числе владельцы и рекламные боты, не может получить доступ к переписке пользователей. То есть конфиденциальность — это полная секретность. Популярные почтовые службы (Яндекс.Почта, Почта Mail.ru и Gmail) не могут обеспечить своим пользователям такой уровень секретности, и сейчас объясним, почему.

Проблемы защиты электронной почты – реальные и потенциальные

Поскольку электронные письма сейчас широко используются, они стали средством распространения вирусов, спама, фишинговых атак, таких как использование использование ложных сообщений для того, чтобы побудить получателей разгласить конфиденциальную информацию, открыть вложение или перейти по опасной ссылке.

Безопасность электронной почты пользователя – сотрудника компании – часто является уязвимым местом, которым пользуются злоумышленники для получения доступа к корпоративной сети и важным внутренним данным компании.

Мы расскажем о том, как обеспечить безопасность электронной почты, какой тип безопасности выбрать для почты.

Рейтинг надежности электронной почты, на мой взгляд!

Я не хочу чтобы подписчики много спорили об этом рейтинге, поэтому сразу пишу, что это мое личное мнение, которое я принимаю исходя из собственного опыта. Я прекрасно знаю, с какими проблемами ко мне обращаются читатели и какие электронные ящики чаще всего подвергаются взломам на основе ваших же обращений ко мне за помощью.

Топ 5 по надежности электронной почты

5 — место занимает сервис Mail, чаще всего взламывают именно его, сложно сказать это из-за того что просто большинство людей пользуется их услугами или потому что у них слабая защита. Но факт остается — фактом, чаще всего обращаются с просьбой о помощи вернуть почту именно на этом портале.

4 — место занимает Rambler, тут обращений меньше, но и пользователей намного меньше.

3 — место Yandex, мне нравится у них двухфакторная защита аккаунта, очень серьезная тема, но те у кого ее нет все же пишут о взломах.

2 — место GMAIL, даже не столько уже почта, сколько облачное хранилище для синхронизации устройств на платформе знаменитой операционной системы Android. Ребята знают свое дело и при правильном использование предлагается хорошая защита.

1- место Icloud , тоже представляет основную возможность в роли облачного хранилища для синхронизации аппаратов под управлением самой надежной операционной системы IOS. Наверное обладатели яблочной продукции сейчас улыбнулись, но напомню, «если руки кривые», то не одна система защиты не поможет.

Мы не сканируем и не читаем вашу переписку в Gmail, чтобы подбирать рекламу.

В корпоративных и учебных аккаунтах Gmail реклама не показывается.

Если вы используете Gmail с личным аккаунтом, то на вкладках «Промоакции» и «Соцсети» будут отображаться наиболее релевантные и потенциально полезные для вас объявления. Процесс показа объявлений в Gmail полностью автоматизирован. Реклама подбирается с учетом ваших действий в аккаунте Google. Содержимое ваших писем для подбора рекламы не сканируется.

Чтобы совершенствовать алгоритмы и показывать вам только актуальную рекламу, мы сохраняем информацию о том, какие объявления вы закрыли, а на какие нажали.

Параметры персонализации рекламы можно изменить в любой момент. Подробнее о рекламе в Gmail…

CounterMail

CounterMail является еще одним ведущим поставщиком услуг электронной почты, который предлагает несколько уникальных функций.

Он использует протокол шифрования OpenPGP с 4096 битными ключами для защиты ваших данных, а также предлагает сквозное шифрование.

Кроме того, он предлагает опцию безопасного USB-ключа, которая делает невозможным доступ к вашей учетной записи, если ваш USB-ключ не вставлен в USB-порт.

CounterMail поддерживает Linux, macOS и Windows, а также имеет поддержку IMAP на случай, если вы захотите использовать свой собственный почтовый клиент. Вы можете попробовать CounterMail бесплатно в течение недели, после чего цены начинаются с $ 6,33 / месяц.

Заключение

Если вам нужен очень высокий уровень конфиденциальности в вашей электронной почте, все вышеперечисленные услуги имеют хорошую репутацию, когда речь идет о защите ваших данных.

Одна из причин, по которой они так круты, заключается в том, что даже если правительства по какой-либо причине захотят подследить, а компаниям придется передавать информацию, будет практически невозможно прорваться через их системы шифрования.

Привязка номера мобильного телефона к почте

И снова из названия темы все вроде бы понятно. Мол надо просто привязать свой номер телефона к электронной почте. А для чего и как это сделать часть пользователей до сих пор не знает. Напомню для тех кто в курсе и объясню для тех кто не знает. Привязка мобильного номер — это указание своего номера в анкете профиля и все. То есть зашли в настройки почты, раздел безопасность и в поле номер мобильного ввели свой действующий номер.

Тут я спешу вам напомнить еще один момент, заполняйте анкету в своем аккаунте максимально подробно. То есть обязательно укажите реальную дату рождения, имя, фамилию, даже увлечения и те могут вам помочь в плачевной ситуации. Плачевная ситуация — это когда все таки взломали и вы не знаете, что теперь делать. А в таких случаях просто нужно написать в тех.поддержку сервиса, который вы используете. Чем больше верной информации о вас будет указанно в профиле тем быстрее сотрудники службы поддержки поверят вам и помогут вернуть доступ, они видят намного больше информации нежели мы. Даже если взломщики поменяют все данные на вашей почте служба поддержки это увидит и будет рассматривать данные для возврата, которые были введены до взлома.

Отсутствие передачи содержания писем правоохранительным органам

Для начала я приведу вам скриншот одной новости, опубликованной на популярном канале в Telegram. Я не настаиваю на ее достоверности, однако из разных источников мне известно несколько подобных историй.

Сервисы, заботящиеся о праве на тайну переписки пользователей, не выдают доступ к содержимому электронных почтовых ящиков. Например, нам известны случаи, когда Protonmail передавал данные по запросу, они содержали IP-адрес при регистрации почтового ящика, но никакие письма выданы не были.

Кстати, Protonmail и некоторые другие сервисы, по заявлениям создателей, вообще не имеют доступа к пользовательским письмам. Однако тут есть некоторый элемент доверия, о котором я подробнее расскажу во второй части статьи.

Особенности защиты корпоративной почты на Yandex, Google, Mail.ru

Почтовые сервисы постоянно совершенствуются. Хотя несколько лет назад держать на них корпоративную почту считалось ненадежным, защита электронной почты в интернете оставляла желать лучшего и компаниям рекомендовали разворачивать собственные почтовые сервера, то сейчас Яндекс, Мейл.ру и Гугл заметно прогрессировали в области информационной безопасности электронной почты. Например, защита почты mail ru и защита яндекс почты включают в себя двухступенчатую аутентификацию пользователя при входе в почтовый ящик,  безопасность почты gmail может быть также обеспечена с помощью аппаратного ключа-токена.  Это значить, что даже если пароль электронной почты похищен, без кода из СМС или ключа защиты в корпоративный почтовый ящик постороннему все равно не удастся попасть.

Преимуществом этих сервисов также являются встроенные инструменты и алгоритмы защиты почты от спама, защиты электронной почты от вирусов.

Почему это вызывает столько проблем?

Несмотря на то что для доступа к вашей учетной записи вам необходимо указать имя пользователя и пароль (хотя Yahoo пытается повысить безопасность, позволяя заменять обычный пароль ключом на основе приложения), электронная почта остается одним из наименее безопасных способов связи. Нередко его сравнивают с отправкой открытки — любой желающий может прочитать содержание сообщения.

На самом деле учетные записи электронной почты бывают взломаны так много раз, что это может вызвать определенную панику. В сети даже имеется сайт, на котором вы можете посмотреть, не производился ли взлом вашего электронного ящика когда-либо.

Фактически учетные записи электронной почты не являются частной собственностью. Это связано с тем, что она не является прямой связью, а, скорее, идет через нескольких посредников. Одно сообщение электронной почты передается через несколько серверов, включая интернет-провайдеров, а также почтовый клиент, с несколькими копиями сообщения, хранящимися на каждом сервере, и последующими копиями, как на компьютерах отправителя и получателя. Поэтому даже если письмо удалено, еще много его экземпляров остаются доступными.

Электронная почта сегодня начинает показывать, что эта технология устарела. Первое такое сообщение было отправлено ​​еще в 1971 году, и различных недостатков в безопасности такой передачи достаточно, чтобы перевести пользователей к более современным, альтернативным средствам связи. Однако с некоторыми изменениями она может быть более безопасной. Защита электронной почты в Интернете может осуществляться одним из следующих способов.

Кто владеет информацией, тот владеет миром!

Тут я хочу немного подсказать и добавить несколько строк о контроле безопасности.  Не все пользователи знают, что можно отслеживать последние удачные входы на почту. Допустим вы проснулись, прекрасное утро, но зайдя на свою электронную почту окажется, что прочитаны письма, которые вы не читали. Возможно перемещались письма из папки в папку или еще хуже того нашли отправленные письма, которые явно не отправляли. Начинается паника, в голове куча вопросов, что делать, кто, как и т.д.

А для начала надо зайти в настройки безопасности и посмотреть откуда были входы  на почту, во сколько, с какого устройства и каким ip адресом. Ведь вполне вероятно, что пока вы спали или просто отсутствовали, кто-то из ваших членов семьи зашел на почту, пошпионить за вами или случайно)))

Необходимость защиты

Также будет важна антивирусная защита электронной почты и иных сервисов. Разработано немало троянских программ и другого вирусного ПО, которое может существенно повлиять на работу почтового ящика, на содержимое писем, даже на безопасность компьютера. Вирусные программы могут уничтожить важные переписки, повлиять на содержание сообщений. Пользователь нередко получает сообщения от спамеров с фишинговыми ссылками, переход по которым может вызвать утечку паролей или логина от почтового ящика, важных сведений из корпоративной переписки.

Злоумышленники постоянно подбирают новые способы для атаки личных переписок и документации, однако технологии не стоят на месте. Сейчас начал пользоваться спросом такой метод защиты, как шифрование письма на транспортном уровне, что позволяет полностью отследить передвижение сообщения. Шифровке могут поддаваться и сообщения, которые расшифровываются только при открытии его у получателя. В процессе его перемещения злоумышленник может перехватить информацию, но только если сможет его расшифровать.

Защита информации при использовании электронной почты должна работать с двух сторон – как при получении, так и при отправке писем. Почему? Защита контактов, контроль отправки файлов и документов, проверка сообщений будут необходимы при ведении корпоративной почты, от безопасности которой может зависеть конфиденциальность данных компании, ее репутация или даже осуществляемая ею деятельность. Любое постороннее воздействие со стороны спамеров, мошенников или недоброжелателей может привести к утечке информации, а впоследствии, отобразиться на компании. Рекомендуется применять сетевые экраны для защиты.

Disroot

К новым продуктам в блоке почтовых сервисов, ориентированных на конфиденциальность, всегда следует подходить с осторожностью, так как вы никогда не знаете, выживет ли компания или какие компании натягивают на себя обязательства. Тем не менее, Disroot за последние пару лет зарекомендовал себя как отличный, независимый и зашифрованный вариант электронной почты

Тем не менее, Disroot за последние пару лет зарекомендовал себя как отличный, независимый и зашифрованный вариант электронной почты.

Disroot не содержит рекламы, не отслеживает и не слоняется без дела, спрашивая вашу личную информацию, такую как ваш адрес или любимый цвет боксерских шорт.

Их клиент на основе браузера, Rainloop, прост в обращении и использовании, но под приятным внешним видом он поддерживается открытым исходным кодом и непрерывным шифрованием GPG.

Disroot также сотрудничает со всеми нужными компаниями, предлагая безопасное облачное хранилище с Nextcloud и облачный текстовый процессор в форме EtherPad.

1. Как SSL / TLS защищают электронную почту

Secure Sockets Layer (SSL) и его преемник, Transport Layer Security (TLS), являются наиболее распространенными протоколами безопасности электронной почты, которые защищают вашу электронную почту во время ее перемещения через Интернет.

SSL и TLS являются протоколами прикладного уровня. В сетях интернет-связи прикладной уровень стандартизирует связь для услуг конечного пользователя. В этом случае прикладной уровень обеспечивает инфраструктуру безопасности (набор правил), которая работает с SMTP (также протоколом прикладного уровня) для защиты вашей электронной почты.

Далее в этом разделе статьи обсуждается TLS, так как его предшественник SSL полностью устарел в 2015 году.

TLS обеспечивает дополнительную конфиденциальность и безопасность для общения компьютерных программ. В этом случае TLS обеспечивает безопасность для SMTP.

Когда ваш почтовый клиент отправляет и получает сообщение, он использует протокол управления передачей (TCP — часть транспортного уровня, а ваш почтовый клиент использует его для соединения с почтовым сервером), чтобы инициировать «рукопожатие» с почтовым сервером.

Рукопожатие — это последовательность шагов, в ходе которых почтовый клиент и почтовый сервер проверяют параметры безопасности и шифрования и начинают передачу самой электронной почты. На базовом уровне рукопожатие работает так:

  1. Клиент отправляет «привет», типы шифрования и совместимые версии TLS на сервер электронной почты.
  2. Сервер отвечает сервером TLS Digital Certificate и открытым ключом шифрования сервера.
  3. Клиент проверяет информацию сертификата.
  4. Клиент генерирует Общий секретный ключ (также известный как Pre-Master Key), используя открытый ключ сервера, и отправляет его на сервер.
  5. Сервер расшифровывает секретный общий ключ.
  6. Клиент и сервер теперь могут использовать секретный общий ключ для шифрования передачи данных, в данном случае, вашей электронной почты.

TLS очень важен, так как подавляющее большинство почтовых серверов и почтовых клиентов используют его для обеспечения базового уровня шифрования вашей электронной почты.

Оппортунистический TLS и Принудительный TLS

Оппортунистический TLS — это команда протокола, которая сообщает серверу электронной почты, что почтовый клиент хочет превратить существующее соединение в безопасное соединение TLS.

Время от времени ваш почтовый клиент будет использовать простое текстовое соединение вместо того, чтобы следовать вышеупомянутому процессу рукопожатия, чтобы создать безопасное соединение. Оппортунистический TLS попытается запустить рукопожатие TLS для создания туннеля. Однако в случае сбоя процесса рукопожатия Opportunistic TLS будет использовать простое текстовое соединение и отправлять электронную почту без шифрования.

Принудительный TLS — это конфигурация протокола, которая заставляет все транзакции электронной почты использовать стандарт безопасного TLS. Если электронная почта не может пройти от почтового клиента до почтового сервера, то для получателя электронной почты сообщение не будет отправлено .

Шифрование электронной почты

Наилучшая стратегия сохранения конфиденциальности и защиты электронной почты в Интернете — это зашифровать ее напрямую. В некоторых случаях используемый вами почтовый клиент может делать это негласно.

Gmail предлагает шифрование в качестве настройки по умолчанию с 2014 года для пользователей, отправляющих электронные письма через приложения Google или через браузер Chrome. Однако электронные письма не шифруются, если используется другой браузер или если у получателя есть какой-либо адрес кроме Gmail, поэтому этот метод имеет свои ограничения. С другой стороны, Google стал «большим братом» Интернета и известен тем, что читает сообщения пользователей, чтобы впоследствии показывать им более релевантные объявления.

Почтовый клиент от Microsoft — Outlook — также предлагает возможность шифрования. И отправитель, и получатель должны обмениваться цифровыми подписями, которые включают сертификат и открытый ключ. Цифровая подпись также включает электронный идентификатор, который подтверждает подлинность отправителя. Однако это не работает ни в Outlook.com, ни в приложении Windows Mail.

Существует несколько почтовых сервисов, которые были разработаны для шифрования. Бесплатным примером является Tutanota с открытым исходным кодом, который предлагает мобильные приложения для iOS и Android, а также электронную почту на основе браузера. Недостатком является то, что люди, которым вы отправляете письма, должны будут иметь учетную запись на той же платформе или предоставить пароль для расшифровки каждого электронного письма.

Другая стратегия защиты информации в электронной почте заключается в том, чтобы фактически не использовать постоянный адрес электронной почты, а вместо этого применять одноразовый. Почтовый провайдер MailDrop предлагает бесплатные адреса именно для этой цели. У пользователей есть выбор: либо создать свой адрес, либо позволить MailDrop назначить им случайный. Здесь не требуется регистрация или пароль, что делает его идеальным для отправки электронного письма незащищенному получателю, но не для получения почты.

Плагин Mailvelope

Что, если по какой-то причине ты не захочешь ставить почтовый клиент, но все же решишь защитить свою переписку? Есть выход: расширение для браузера под названием Mailvelope. Оно имеет открытый исходный код, поддерживается всеми современными браузерами и не требует для работы никаких сторонних приложений. Но если ты установишь на компьютер Pgp4Win, то у тебя появится возможность выбора, какой движок использовать — GnuPG или OpenPGP.js. В последнем реализовано шифрование PGP на языке JavaScript.

Чтобы начать пользоваться шифрованием почты при помощи Mailvelope, нужно будет еще сгенерировать ключевую пару и отправить открытый ключ на сервер ключей — в настройках Mailvelope это можно сделать установкой нужной галочки.

Сгенерированная ключевая пара появится во вкладке «Управление ключами».

Кроме того, есть возможность импорта и экспорта готовых ключевых пар. Еще расширение умеет шифровать передаваемые вложения и отдельные файлы, в нем есть возможность добавлять электронную подпись. Теперь, если ты зайдешь в свой почтовый ящик через веб-интерфейс и попытаешься написать кому-то письмо, в форме ввода письма появится новая кнопка, запускающая Mailvelope.

Если кликнуть по этой кнопке, откроется окно ввода сообщения. Когда письмо будет написано, необходимо нажать на кнопку «Зашифровать».

Зашифрованное сообщение будет автоматически скопировано в веб-интерфейс почтового сервера.

Если расширение активно, сообщение дешифруется и электронная подпись проверяется автоматически, нужно будет только ввести свой пароль.

Шифрование почты на Android

Если у тебя смартфон с Android, обрати внимание на приложение OpenKeychain, которое поможет в шифровании сообщений в твоем телефоне. В качестве почтового клиента для Android можно использовать K-9 Mail — это известный почтовый клиент с открытым исходным кодом, а принцип генерации ключевых пар там точно такой же, как и на десктопе

Настройка IP и DNS

Обеспечение внешнего статического IP-адреса, публичного домена и записи PTR

Это основные требования для запуска собственного почтового сервера.

  • Публичный статический IP-адресIP-адрес почтового сервера должен быть общедоступным и постоянным во времени. Убедиться в этом можно у хостинг или Интернет-провайдера.

  • Доменное имя указывает на IPDNS-запись публичного доменного имени почтового сервера должна указывать на этот IP-адрес. Им можно управлять в настройках DNS провайдера доменного имени.

  • IP указывает на доменное имяСамое главное, обратная DNS-запись (именуемая PTR) должна указывать на доменное имя почтового сервера по IP-адресу. Можно попросить своего хостинг-провайдера или поставщика интернет-услуг настроить его. Его можно легко проверить по IP-адресу онлайн (например, тут), или с помощью команды ‘nslookup’ в Windows и команды ‘host’ в системах на основе UNIX.

Настройка MX записи в DNS

Запись почтового обмена (MX) указывает почтовый сервер, ответственный за прием сообщений электронной почты от имени домена.

Например, если наш домен — mycompany.com, почтовый сервер — mail.mycompany.com, то запись DNS для mycompany.com будет:

Type

Host

Value

Priority

TTL

MX

@

mail.mycompany.com

10

1 min

где:

  • Priority (приоритет) используется, когда в домене более одного почтового сервера.

  • TTL (время жизни) можно установить любое предпочтительное значение, а наименьшее значение используется для применения конфигурации DNS как можно скорее при отладке настроек.

Настройка DKIM записи в DNS

Почта, идентифицированная ключами домена (DKIM) — это протокол безопасности электронной почты, который прикрепляет зашифрованную цифровую подпись к электронному письму. Принимающий сервер проверяет его с помощью открытого ключа, чтобы убедиться, что электронное письмо не было подделано.

Понадобятся приватный и открытый ключи. Их можно создать с помощью онлайн-инструментов, например Power DMARC Toolbox — DKIM Record Generator, или с помощью команд OpenSSL (приведен пример для Windows):

  • Создать приватный ключopenssl.exe genrsa -out private.key 2048

  • Создать публичный ключ из приватногоopenssl.exe rsa -in private.key -pubout -outform der 2>nul | openssl base64 -A > public.key.txt

И запись DNS будет выглядеть так:

Type

Host

Value

TTL

TXT

selector._domainkey

v=DKIM1; k=rsa; p=public_key

1 min

где:

  • selector — самостоятельно выбранный идентификатор (например, mysrv), который будет использоваться в приложении почтового сервера (смотрите ниже).

  • public_key — открытый ключ, закодированный алгоритмом base64 (содержимое public.key.txt).

  • TTL (время жизни) имеет то же значение, что и в предыдущем разделе.

Настройка SPF записи в DNS

Инфраструктура политики отправителя (SPF) — это стандарт проверки подлинности электронной почты, который проверяет IP-адрес отправителя по списку авторизованных IP-адресов владельца домена для проверки входящей электронной почты.

Тут запись DNS будет выглядеть так:

Type

Host

Value

TTL

TXT

@

v=spf1 a mx include:relayer_name -all

1 min

где:

  • relayer_name — имя необязательного внешнего почтового сервера-ретранслятора (смотрите ниже). Если не нужно — убирается вместе с «include:».

  • TTL (время жизни) имеет то же значение, что и в предыдущем разделе.

Можно использовать удобный онлайн-генератор записи SPF.

Дополнительные записи DNS

Некоторые поля не обязательны, но желательно иметь.

  • DMARCЗапись доменной проверки подлинности сообщений, отчетов и соответствия (DMARC) позволяет собственному почтовому серверу декларировать политику того, как другие почтовые серверы должны реагировать на недостоверные сообщения от него.

  • BIMIИндикаторы бренда для идентификации сообщений (BIMI) — это новый стандарт, созданный для того, чтобы упростить отображение логотипа рядом с сообщением. Кроме того, BIMI предназначен для предотвращения мошеннических электронных писем и улучшения доставки.

  • TLS-RPTTLS-отчетность (TLS-RPT) дает ежедневные сводные отчеты с информацией о электронных письмах, которые не зашифровываются и не доставляются.

  • MTA-STSСтрогая транспортная безопасность агента пересылки почты (MTA-STS) — это новый стандарт, направленный на повышение безопасности SMTP, позволяя доменным именам выбирать строгий режим безопасности транспортного уровня, требующий аутентификации и шифрования.

Все эти записи кроме MTA-STS могут быть созданы с помощью Power DMARC Toolbox. Конфигурация MTA-STS похожа на , также описывалась на habr, и, наконец, может быть проверена с помощью Hardenize.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Работатека
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: