Коротко. Email spoofing — это отправка писем от имени вашего домена без вашего ведома, основа фишинга и BEC-атак. Остановить подделку можно только связкой трёх механизмов: SPF (кто имеет право слать), DKIM (криптоподпись письма) и DMARC (что делать с провалившими проверку плюс выравнивание по видимому домену From). Цель — политика p=reject в DMARC.
Как работает спуфинг
Протокол SMTP исторически не проверяет, кто указан в поле отправителя. Атакующий просто ставит в From ваш домен — и письмо выглядит как настоящее. Жертва видит знакомое имя, доверяет и переходит по ссылке или оплачивает фальшивый счёт. Без аутентификации защиты нет.
Три уровня защиты
- SPF — список разрешённых отправляющих серверов.
- DKIM — цифровая подпись, подтверждающая целостность и источник.
- DMARC — политика поверх SPF и DKIM плюс выравнивание (alignment) с доменом из видимого From.
SPF и DKIM по отдельности не блокируют спуфинг: SPF проверяет конверт, а не видимый From; DKIM подтверждает подпись, но не требует, чтобы домен совпадал. Только DMARC связывает проверки с тем, что видит пользователь.
Реальные записи для связки
# 1. SPF — кто имеет право отправлять:
example.com. IN TXT "v=spf1 include:_spf.google.com ~all"
# 2. DKIM — публичный ключ подписи:
selector._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."
# 3. DMARC — политика отклонения подделок:
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s"
# Проверка всех трёх:
dig +short txt example.com
dig +short txt selector._domainkey.example.com
dig +short txt _dmarc.example.comПуть к p=reject
| Этап | Политика | Что происходит |
|---|---|---|
| 1. Наблюдение | p=none | Сбор отчётов, ничего не блокируется |
| 2. Карантин | p=quarantine | Подделки уходят в спам |
| 3. Защита | p=reject | Подделки отклоняются на приёме |
Переходите кp=rejectпостепенно: сначалаp=noneи анализ DMARC-отчётов, чтобы не заблокировать собственные легитимные сервисы рассылки.
Дополнительные меры
- Строгое выравнивание
adkim=sиaspf=sдля жёсткой проверки доменов. - BIMI — логотип бренда в почте после достижения p=reject (дополнительный сигнал доверия).
- Обучение сотрудников распознавать фишинг и проверять адрес отправителя.
- мониторинг сайтов DMARC-отчётов на появление чужих источников.
Как enterno.io помогает
Инструмент /email-check проверяет всю связку SPF + DKIM + DMARC сразу и показывает, защищён ли домен от подделки или политика всё ещё p=none. Для тарифа Pro+ доступна загрузка DMARC-агрегатов (RUA), чтобы увидеть, кто рассылает от вашего имени. enterno диагностирует и мониторит настройку — DNS Lookup правит владелец, писем enterno не отправляет. Бесплатно — 10 мониторов, 48+ инструментов и DNS-проверка.
Частые вопросы
Защитит ли только DMARC без SPF и DKIM?
Нет. DMARC опирается на результаты SPF и DKIM. Без хотя бы одного из них с выравниванием DMARC не сможет авторизовать ваши письма, и легитимная почта тоже пострадает.
Чем спуфинг отличается от фишинга?
Спуфинг — техника подделки адреса отправителя. Фишинг — цель: выманить данные или деньги. Спуфинг часто используется как инструмент фишинга.
Можно ли подделать домен с p=reject?
Подделать само поле From с выровненным доменом — нет, такие письма отклонят. Атакующие переключаются на похожие домены (тайпсквоттинг), поэтому следите и за схожими именами.
Проверьте защиту: запустите /email-check и доведите DMARC до p=reject. См. также анализ DMARC-отчётов и разбор SPF.