Письмо Министерства науки и высшего образования РФ от 17 августа 2023 г. N МН-19/634 "О направлении типовых рекомендаций"

Департамент цифрового развития Министерства науки и высшего образования Российской Федерации с целью повышения безопасности почтовых систем организаций, подведомственных Минобрнауки России (далее - организации), сообщает следующее.

Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации разработаны и согласованы с ФСБ России, ФСО России и ФСТЭК России типовые рекомендации по настройкам на почтовых системах функций безопасности Sender Policy Framework, Domain-based Message Authentication, Reporting and Conformance и DomainKeys Identified Mail (далее - SPF, DMARC, DKIM), а также по эффективному распознаванию фишинговых писем для их возможного использования организациями (прилагается)*.

В связи с этим рекомендуем организовать доведение до сотрудников рекомендаций по эффективному распознаванию фишинговых писем.

Более подробно ознакомиться с информацией по теме личной информационной безопасности, в том числе по эффективному распознаванию фишинговых писем, можно на следующих ресурсах в информационно-телекоммуникационной сети "Интернет":

- раздел "Кибербезопасность - это просто!" на Едином портале государственных услуг - https://www.gosuslugi.ru/cybersecurity;

- лендинговая страница в сети "Интернет" - https://киберзож.рф/;

- сайт "Безопасность российских пользователей сети "Интернет" - https://www.safe-surf.ru.

Одновременно сообщаем, что в рамках письма Минобрнауки России от 18.07.2023 N МН-19/1335-ДК, направленного в адрес руководителей организаций, необходимо обеспечить настройку на почтовых системах функций безопасности SPF, DMARC, DKIM.

Дополнительно информируем о необходимости принятия мер по недопущению распространения настоящих рекомендаций в информационно-телекоммуникационной сети "Интернет".

Врио Директора Департамента

С.В. Афанасьев

------------------------------

* См. https://www.edu-press.ru/publications/odvo/_26_856.

------------------------------

Рекомендации
Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по настройке SPF, DKIM, DMARC

Введение

Документ описывает технологии, настройки серверов электронной почты и принципы противодействия фишингу и спуфингу. Тема противодействия спаму не затрагивается, ввиду ее обширности и особой специфики, требующей отдельного рассмотрения. В этой связи такие меры, направленные на борьбу со спамом, как проверка по DNSBL (DNS black list), проверка PTR записи хоста при входящем подключении по SMTP; проверка корректности представления сервера в SMTP HELO заголовке, graylisting и других мер в рамках указанных рекомендаций не рассматриваются.

Следует отметить, что технологии для борьбы с фишингом и спуфингом электронной почты, как правило, используются в работе систем выявления спам-сообщений.

Настройка механизмов борьбы с фишингом и спуфингом электронной почты условно разделяется на настройку механизмов на стороне отправителя электронной почты и на стороне получателя.

Настройка механизмов на стороне отправителя предполагает предоставление дополнительной информации получателю, которая может быть использована для подтверждения факта отправки почты с данного сервера. Настройки механизмов на стороне получателя предполагают возможное использование нижеуказанной информации для принятия соответствующих мер по противодействию возможному фишингу и спуфингу.

1. SPF (Sender Policy Framework)

1.1. Настройка на стороне отправителя

SPF (Sender Policy Framework) - это расширение для протокола отправки электронной почты с использованием протокола SMTP, позволяющее проверить, не подделан ли домен отправителя. Для размещения политики SPF владелец домена указывает список почтовых серверов или ip-адресов, которые могут отправлять письма (авторизованы использовать этот домен в командах SMTP HELO и MAIL FROM).

Для настройки политики необходимо обладать возможностью редактирования записей доменной зоны, от имени которой почтовый сервер отправляет электронные сообщения. Настройка механизма предполагает добавление новой записи типа ТХТ, которая будет описывать перечень dns и ip-адресов, которые, в свою очередь, могут быть источником отправки электронного сообщения.

В случае, когда доменное имя сервера электронной почты совпадает с именем основного домена, запись ТХТ будет иметь следующий вид:

"v=spf1 а -all"

В случае, когда доменное имя сервера электронной почты задано в записи MX доменной зоны, то запись ТХТ будет иметь следующий вид:

"v=spf1 mx -all"

В случаях, когда серверы электронной почты не имеют доменного имени, в запись добавляются их ip-адреса (например, 1.1.1.1 и 2.2.2.2). В этом случае запись ТХТ будет иметь следующий вид:

"v=spf1 ip4:1.1.1.1 ip4:2.2.2.2 -all"

Формат SPF допускает совместное использование нескольких видов описания. Однако, ключи "v=spf1" и "all" должны присутствовать в записи в единственном экземпляре, в начале и в конце записи соответственно.

Ниже приведен пример настройки механизма SPF для домена digital.gov.ru:

digital.gov.ru. 300 IN ТХТ "v=spf1 mx a ip4:212.164.137.119 ip4:84.42.67.50 ip4:185.194.32.26 ip4:185.194.32.204 ip4:185.194.32.205 ip4:109.120.189.156 ip4:91.206.127.97 ip4:185.194.34.50 ip4:185.194.34.51 include:_spf.armgs.team ~all"

В данной записи помимо ключей "mx", "а" и "ip4" присутствует ключ "include". Данный ключ указывает на то, что к записи необходимо добавить параметры, указанные для соответствующей ТХТ записи домена, заданного в качестве параметра - в данном случае домена _spf.armgs.team. Кроме того, для ключа "all" указан модификатор "~". Данный модификатор предполагает, что письма, не прошедшие проверку SPF должны особым образом помечаться на стороне клиента и передаваться далее по цепочке пересылки электронных сообщений. В случае с модификатором "-" владелец домена рекомендует отклонять сообщения, не прошедшие проверку SPF.

Важно знать, что записи SPF не распространяются на поддомены. То есть запись SPF для домена gov.ru не имеет силы для домена digital.gov.ru.

Кроме того, следует отметить, что адрес сервера отправителя почты при получении указывается в нескольких местах и видимый пользователю адрес может не совпадать с реальным адресом сервера отправителя. Например, видимый пользователю адрес имеет вид "user@digital.gov.ru", а сервер, с которого доставлено сообщение, имеет доменное имя mxs.armsg.team. В связи с этим, надо учитывать, что SPF никак не защищает видимый пользователю адрес отправителя, а сам SPF вообще не работает с содержимым письма, которое видит пользователь, в частности с адресом отправителя. Таким образом, письмо с поддельным отправителем в поле "From" без труда может пройти SPF-авторизацию.

1.2. Настройка на стороне получателя

1.2.1. Почтовый сервер Postfix

1. Установите модуль postfix-policyd-spf-python. Для этого в операционных системах, основанных на Linux Debian, требуется выполнить с правами администратора следующую команду:

apt-get install postfix-policyd-spf-perl

2. В конфигурационный файл /etc/postfix/master.cf необходимо добавить следующие строки:

policy-spf unix - n n - 0 spawn user=nobody argv=/usr/bin/policyd-spf /etc/postfix-policyd-spf-python/policyd-spf.conf

3. В конфигурационный файл /etc/postfix/main.cf необходимо добавить следующую строку:

policy-spf_time_limit = 3600s

4. В конфигурационном файле /etc/postfix/main.cf дополните набор smtpd_recipient_restrictions следующим правилом:

check_policy_service unix:private/policyd-spf

Рекомендуем указывать это правило после правила reject_unauth_destination:

5. В конфигурационном файле /etc/postfix-policyd-spf-python/policyd-spf.conf проверьте наличие следующей записи:

TestOnly=0

6. Перезапустите почтовый сервер. Для этого в операционных системах, использующих systemd, требуется выполнить с правами администратора следующую команду:

systemctl restart postfix

7. Проверьте журналы postfix, чтобы удостовериться, что SPF проверяется правильно. По умолчанию они размещаются в следующих файлах:

/var/log/mail.log
/var/log/mail.error
/var/log/mail.info
/var/log/mail.warn

1.2.2. Почтовый сервер Exim

1. Установите пакет программного обеспечения spf-tools-perl. Для этого в операционных системах, основанных на Linux Debian, требуется выполнить с правами администратора следующую команду.

apt-get install spf-tools-perl

2. В конфигурационном файле /etc/exim4/update-exim4.conf.conf проверьте значение следующего параметра:

dc_use_split_config=′false′

В конфигурационном файле Exim /etc/exim4/update-exim4.conf.conf настройка dc_use_split_config определяет, будет ли Exim использовать разделенный конфигурационный файл или однофайловую конфигурацию.

Если dc_use_split_config=′true′, то Exim будет ожидать, что его конфигурация будет разделена на несколько файлов в каталоге /etc/exim4/conf.d/. Это может быть полезно для больших или сложных конфигураций, где разделение на отдельные файлы может упростить управление и обслуживание.

Если dc_use_split_config=′false′, то Exim будет ожидать единую конфигурацию в одном файле. Это может быть проще для меньших или менее сложных конфигураций. В данном примере используется вариант, когда dc_use_split_config установлен в значение ′false′.

3. В начало конфигурационного файла /etc/exim4/exim4.conf.localmacros добавьте следующую строку. Если файл не существует - создайте его:

CHECK_RCPT_SPF=yes

4. Обновите текущую конфигурацию почтового сервера. Для этого требуется выполнить с правами администратора следующую команду:

update-exim4.conf

5. Проверьте корректность полученной конфигурации, выполнив следующую команду:

exim4 -bV

6. Если проверка завершилась успешно, перезапустите почтовый сервер. Для этого в операционных системах, использующих systemd, требуется выполнить с правами администратора следующую команду:

systemctl restart exim4

1.2.3. Почтовый сервер MS Exchange

1. Откройте Exchange Management Console.

2. Перейдите в "Organization Configuration" → "Hub Transport".

3. Выберите политику "Default Policy" и нажмите "Edit".

4. Выберите вкладку "Message Filtering".

5. Поставьте галочку "Sender ID" и выберите "Enforce".

6. Сохраните изменения.

7. Перезапустите службу "Microsoft Exchange Transport".

2. DKIM (DomainKeys Identified Mail)

2.1. Настройка доменной зоны

DomainKeys Identified Mail (DKIM) - метод e-mail-аутентификации, разработанный для обнаружения подделки электронных писем. DKIM дает возможность получателю убедиться, что письмо действительно было отправлено с заявленного домена, упрощает борьбу с поддельными адресами отправителей, которые часто используются в фишинговых письмах и в почтовом спаме.

Для настройки политики необходимо обладать возможностью редактирования записей доменной зоны, от имени которой почтовый сервер отправляет электронные сообщения, а также публичным ключом подписи (процесс генерации ключей подписи сообщений рассматривается ниже). Настройка механизма предполагает добавление новой записи типа ТХТ с именем "селектор._domainkey.доменное_имя". Где "селектор" - уникальный идентификатор записи, "доменное_имя" - доменное имя сервера отправки почты. Формат записи имеет следующий вид:

селектор._domainkey.доменное_имя ТХТ "v=DKIM1; k=rsa; р=<публичный ключ>"

2.2. Почтовый сервер Postfix

1. Для подписи всех исходящих сообщений, при использовании почтового сервера postfix, следует использовать программное обеспечение OpenDKIM. Для установки OpenDKIM в операционных системах, основанных на Linux Debian, требуется выполнить с правами администратора следующую команду:

apt-get install opendkim opendkim-tools

2. Создайте директорию, в которой будет сохраняться конфигурационная информация для приложения opendkim. Для этого с правами администратора выполните следующую команду:

mkdir -р /etc/postfix/dkim/keys

3. В конфигурационном файле /etc/opendkim.conf проверьте значения следующих параметров:

AutoRestart	Yes
AutoRestartRate	10/1h
Umask	002
Syslog	yes
SyslogSuccess	Yes
LogWhy	Yes
Canonicalization	relaxed/simple
ExternalIgnoreList	refile:/etc/postfix/dkim/TrustedHosts
InternalHosts	refile:/etc/postfix/dkim/TrustedHosts
KeyTable	refile:/etc/postfix/dkim/KeyTable
SigningTable	refile:/etc/postfix/dkim/SigningTable
Mode	sv
PidFile	/run/opendkim/opendkim.pid
SignatureAlgorithm	rsa-sha256
UserlD	opendkim:opendkim
Socket	inet:8891@localhost

4. Создайте конфигурационный файл /etc/postfix/dkim/TrustedHosts и добавьте туда перечень доверенных источников получения почтовых сообщений. Возможный вариант содержимого файла приведен ниже:

127.0.0.1
localhost
*.my-domain

5. В директории /etc/postfix/dkim/keys/ создайте каталог, в котором будут находиться сгенерированные ключи. Для этого с правами администратора выполните следующую команду (не забывайте подставить доменное имя своего домена вместо my-domain):

mkdir /etc/postfix/dkim/my-domain/

6. Создайте ключи подписи электронных писем. Для этого выполните с правами администратора следующую команду (не забывайте подставить доменное имя своего домена вместо my-domain):

opendkim-genkey --directory=/etc/postfix/dkim/keys/my-domain/
--domain=my-domain --selector=selector

После создания ключа в директории будут располагаться файлы my-domain.private и my-domain.txt, в которых сохранены секретный ключ подписи и параметры конфигурации для задания доменной записи, обозначенной в разделе 2.1.

7. Создайте конфигурационный файл /etc/postfix/dkim/KeyTable и добавьте туда перечень ключей, которые могут быть использованы для подписи исходящих сообщений. Возможный вариант содержимого файла приведен ниже:

selector._domainkey.my-domain
my-domain:selector:/etc/postfix/dkim/keys/my-domain/selector.private

8. Создайте конфигурационный файл /etc/postfix/dkim/SigningTable и добавьте туда перечень идентификаторов ключей (указывается в качестве первого параметра в файле КеуТablе), которые будут использоваться для подписи сообщений с разных доменных имен. Возможный вариант содержимого файла приведен ниже:

*@my-domain selector._domainkey.my-domain

9. Укажите порт, на котором работает OpenDKIM. Для этого в конфигурационном файле /etc/default/opendkim проверьте значение следующего параметра:

SOCKET="inet:8891@localhost"

10. На следующем этапе в настройки postfix внесите "взаимодействие" с DKIM, выполнив следующие команды:

postconf -е ′milter_default_action=accept′
postconf -e ′milter_protocol=6′
postconf -e ′smtpd_milters=inet:127.0.0.1:8891′
postconf -e ′non_smtpd_milters=inet:127.0.0.1:8891′

11. Измените владельца конфигурационных файлов opendkim. Для этого от имени администратора выполните следующую команду:

chown -R opendkim:opendkim /etc/postfix/dkim

12. Для применения настроек перезапустите соответствующие сервисы. Для этого от имени администратора выполните следующие команды:

systemctl restart opendkim
systemctl restart postfix

2.3. Почтовый сервер Exim

Настроить DKIM на сервере Exim можно, выполнив следующие действия:

1. Создайте закрытый ключ RSA, сгенерировав ключ OpenSSL. Это создаст 2048-битный закрытый ключ RSA и сохранит его в файле с именем my_key.pem:

openssl genrsa -out my_key.pem 2048

2. Сгенерируйте строку открытого ключа, используя закрытый ключ:

openssl rsa -in my_key.pem -pubout -out my_pubkey.pem

Это создаст открытый ключ RSA и сохранит его в файле с именем my_pubkey.pem, который должен быть использован для задания доменной записи, обозначенной в разделе 2.1.

3. В начало конфигурационного файла /etc/exim4/exim4.conf.localmacros добавьте следующие строки. Если файл не существует - создайте его:

DKIM_SELECTOR=selector
DKIM_PRIVATE_KEY = <YOUR PRIVATE KEY STRING>

4. Обновите текущую конфигурацию почтового сервера. Для этого требуется выполнить с правами администратора следующую команду:

update-exim4.conf

5. Проверьте корректность полученной конфигурации, выполнив следующую команду:

exim4 -bV

6. Если проверка завершилась успешно, перезапустите почтовый сервер. Для этого в операционных системах, использующих systemd, требуется выполнить с правами администратора следующую команду:

systemctl restart exim4

2.4. Почтовый сервер MS Exchange

2.4.1. Общий подход

Если вы используете MS Exchange, то вам необходимо воспользоваться сторонними приложениями, так как встроенная функциональность MS Exchange не поддерживает подпись исходящих сообщений.

Существуют два варианта таких инструментов:

- установка приложения Exchange DKIM Signer;

- установка Postfix (совместно с OpenDKIM).

В указанных рекомендациях рассмотрен второй вариант, который:

- позволяет удалять из электронных писем RFC (технические) заголовки, которые, в свою очередь, раскрывают информацию о внутренних серверах и внутренних ip-адресах;

- не зависит от конкретной почтовой системы, используемой в компании.

В случае с MS Exchange схема получения и отправки почты должна выглядеть следующим образом:

При реализации взаимодействия MS Exchange и почтового сервера Postfix аутентификация пользователей производится с помощью SASL.

2.4.2. Настройка SASL

1. Установите пакет программного обеспечения sasl2. Для этого в операционных системах, основанных на Linux Debian, требуется выполнить с правами администратора следующую команду.

apt-get install sasl2-bin libsasl2-modules

2. Создайте файл /etc/postfix/sasl/smtpd.conf с содержимым:

pwcheck_method: auxprop
auxprop_plugin: sasldb
mech_list: ntlm digest-md5 login plain

3. Добавьте пользователя Postfix в группу SASL. Для этого требуется выполнить с правами администратора следующую команду.

adduser postfix sasl

4. Отредактируйте файл /etc/default/saslauthd (корректно для Debian 11, в других дистрибутивах расположение файла может меняться). Установите значения переменных:

START=yes
MECHANISMS="sasldb"

5. Перезапустите службу. Для этого требуется выполнить с правами администратора следующую команду.

systemctl enable saslauthd
systemctl start saslauthd

6. Добавьте пользователя в базу sasldb2:

saslpasswd2 -с -u my-domain username

Для получения списка пользователей в sasldb2 используйте команду:

sasldblistusers2

2.4.3. Настройка почтового сервера Postfix

Приведенная ниже конфигурация предназначена исключительно для взаимодействия с сервером MS Exchange.

1. Сконфигурируйте поддержку dkim в Postfix в соответствии с указаниями подраздела 2.1.

2. В конфигурационном файле /etc/postfix/main.conf проверьте значения следующих параметров:

smtpd_tls_cert_file=/etc/ssl/certs/<ваш сертификат>.crt
smtpd_tls_key_file=/etc/ssl/private/<ваш приватный ключ>.key
tls_high_cipherlist =
ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
smtpd_sasl_local_domain = <ваш домен>
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sender_login_maps = hash:/etc/postfix/login
smtp_helo_name = <имя сервера>

3. В файле /etc/postfix/master.cf оставьте незакомментированными только следующие строчки:

smtp	inet	n	-	Y	-	-	smtpd
pickup	unix	n	-	Y	60	1	pickup
cleanup	unix	n	-	Y	-	0	cleanup
qmgr	unix	n	-	n	300	1	qmgr
tlsmgr	unix	-	-	Y	1000?	1	tlsmgr
rewrite	unix	-	-	Y	-	-	trivial-rewrite
bounce	unix	-	-	Y	-	0	bounce
defer	unix	-	-	Y	-	0	bounce
trace	unix	-	-	Y	-	0	bounce
verify	unix	-	-	Y	-	1	verify
flush	unix	n	-	Y	1000?	0	flush
proxymap	unix	-	-	n	-	-	proxymap
proxywrite	unix	-	-	n	-	1	proxymap
smtp	unix	-	-	Y	-	-	smtp
relay	unix	-	-	Y	-	-	smtp
showq	unix	n	-	Y	-	-	showq
error	unix	-	-	Y	-	-	error
retry	unix	-	-	Y	-	-	error
discard	unix	-	-	Y	-	-	discard
local	unix	-	n	n	-	-	local
virtual	unix	-	n	n	-	-	virtual
lmtp	unix	-	-	Y	-	-	lmtp
anvil	unix	-	-	Y	-	1	anvil
scache	unix	-	-	Y	-	1	scache

4. В конфигурационный файл /etc/postfix/headers необходимо добавить следующие строки:

/^Received:/	IGNORE
/^X-Originating-IP:/	IGNORE
/^X-ClientProxiedBy:/	IGNORE

Указанные настройки предназначены для удаления служебных почтовых заголовков, которые раскрывают информацию о внутренней инфраструктуре.

5. Установите содержимое файла /etc/postfix/login:

@<ваш домен>	<имя пользователя в формате имя@домен>

Пример:

@example.com	user@example.com

Такой файл определяет список пользователей, которые могут отправлять письма с вашего домена. Такие же имена пользователя должны использоваться в настройках основной почтовой системы.

Это же имя пользователя нужно использовать в подразделе 2.3.2.

6. В конфигурационный файл /etc/postfix/transport необходимо добавить следующие строки:

<ваш домен>	smtp:<внутренний почтовый сервер>

Пример:

example.com	smtp:mail.example.com

7. Для применения настроек перезапустите соответствующие сервисы. Для этого от имени администратора выполните следующую команду:

systemctl restart postfix

2.4.4. Настройка MS Exchange

Вместо того, чтобы направлять все исходящие сообщения непосредственно в Интернет, направьте исходящую почту организации через Postfix.

1. Создайте соединитель отправки, использующий маршрутизацию через промежуточный узел, с помощью Центра администрирования MS Exchange:

1.1. В EAC (Exchange admin center) перейдите к разделу Mail flow > Send connectors и нажмите кнопку "Добавить". Запустится мастер создания коннектора.

1.2. На первой странице укажите следующие сведения:

- имя: введите описательное имя коннектора, например, "Сервис подписи исходящей почты";

- тип: выберите описательное значение (например, Internet или Custom)1.

1.3. На следующей странице выберите Route mail through smart hosts и нажмите кнопку "Добавить". В открывшемся диалоговом окне Add smart host определите промежуточный узел, используя одно из следующих значений:

- IP-адрес (например, 192.168.3.2);

- полное доменное имя (FQDN) (например, securitydevice01.contoso.com. При этом, обратите внимание, что исходные серверы MS Exchange должны иметь возможность разрешать интеллектуальный узел в DNS с помощью этого полного доменного имени).

1.4. Вы можете указать несколько промежуточных узлов, повторив действия, указанные в подразделе 1.3. По завершении, нажмите кнопку "Далее".

1.5. На следующей странице, в разделе Route mail through smart hosts, выберите способ проверки подлинности, необходимый промежуточному узлу.

В данном случае используется парольная проверка подлинности в Postfix. Поэтому необходимо активировать Basic authentication, ввести актуальные данные аутентификации. Затем необходимо указать Offer basic authentication only after starting TLS для обеспечения безопасного соединения.

1.6. На следующей странице в разделе Address space нажмите кнопку "Добавить". В открывшемся диалоговом окне Add domain введите следующие сведения:

- тип: убедитесь, что smtp введен;

- полное доменное имя (FQDN). Введите звездочку (*), чтобы указать, что соединитель отправки применяется к сообщениям, адресованным всем внешним доменам. Вы также можете указать определенный внешний домен (например, postfix.ru), либо домен и все его поддомены (например, *.postfix.ru);

- затраты: убедитесь, что введено значение "1. Чем ниже значение, тем предпочтительнее будет этот маршрут для указанных доменов".

1.7. На предыдущей странице имеется параметр Scoped send connector, который важен, если серверы Exchange установлены на нескольких сайтах Active Directory в организации:

- если не выбрать Scoped send connector, действия, соединитель можно использовать на всех транспортных серверах (серверах почтовых ящиков Exchange 2013 или более поздних версий и транспортных серверах концентратора Exchange 2010) во всем Active Directory. Это значение используется по умолчанию;

- если включить параметр Scoped send connector, соединитель смогут использовать только другие транспортные серверы на том же сайте Active Directory.

1.8. На следующей странице в разделе Source server нажмите кнопку "Добавить". В открывшемся диалоговом окне Select a Server выберите один или несколько серверов почтовых ящиков, которые вы хотите использовать для отправки исходящей почты на промежуточный узел. Если в вашей среде несколько серверов почтовых ящиков, выберите те из них, которые могут направлять почту на промежуточный узел. Если у вас только один сервер почтовых ящиков, выберите его. Выбрав по крайней мере один сервер почтовых ящиков, нажмите кнопку добавить, кнопку "ОК", а затем кнопку "Готово".

Созданный соединитель появится в списке соединителей отправки.

2. Создайте соединитель отправки, использующий маршрутизацию через промежуточный узел, с помощью командной консоли MS Exchange:

2.1. Запустите командную консоль Exchange.2

2.2. Используйте следующий синтаксис:

New-SendConnector -Name <Name> -AddressSpaces * -Custom -DnsRoutingEnabled $false -SmartHosts <SmartHost1>[,<SmartHost2>...] [-SourceTransportServer <fqdn1>,<fqdn2>...]

He забудьте указать параметры аутентификации Basic authentication с использованием Offer basic authentication only after starting TLS.

3. DMARC (Domain-Based Message Authentication, Reporting And Conformance)

2.1. Настройка доменной зоны

DMARC - это техническая спецификация, призванная усилить защиту от спамеров, подделывающих адреса отправителей.

DMARC представляет собой набор правил обработки электронных сообщений, которые не прошли авторизацию. Настройка позволяет выбрать порядок работы с такими письмами: не делать с ними ничего, либо помещать их в спам, либо просто отклонять.

Для обеспечения работоспособности DMARC необходимо настроить SPF и DKIM. Почтовый провайдер при получении электронного письма проверяет его при помощи SPF и DKIM. Если сообщение не прошло проверку ни по SPF, ни по DKIM, то применяется DMARC-политика.

Добавьте в вашу DNS-зону запись вида:

_dmarc.<ваш домен>.ru. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@<ваш_домен>.ru; sp=reject; aspf=s; adkim=s; ri=604800"

где:

Поле	Значение	Комментарий
v	DMARC1	Версия протокола DMARC
P	reject	Отклонять письма не прошедшие проверку DMARC
rua	mailto:dmarc@<ваш_домен>.ru	Адрес электронной почты на который присылать уведомления о результатах проверки
sp	reject	Отклонять письма с поддоменов, не прошедшие проверку DMARC
aspf	s	Определяет тип проверки ′strict′ для SPF-записей
adkim	s	Определяет тип проверки ′strict′ для DKIM-подписей
Ri	604800	Интервал в секундах, определяющий как часто получать агрегированные XML-отчеты

В случае, если у вас есть поддомены, с которых вы отправляете почту, то:

- в политике установите sp=none;

- настройте для каждого поддомена соответствующие политики SPF, DKIM, DMARC.

В результате этих настроек все поддомены должны соответствовать политике DMARC.

2.2. Почтовый сервер Postfix

1. Установите пакет программного обеспечения opendmarc. Для этого в операционных системах, основанных на Linux Debian, требуется выполнить с правами администратора следующую команду:

apt install opendmarc

2. В конфигурационном файле /etc/opendmarc.conf проверьте значения следующих параметров.

AuthservID	OpenDMARC
TrustedAuthservIDs	<ваш домен>
RejеctFailures	true
IgnoreAuthenticatedClients	true
RequiredHeaders	true
SPFSelfValidate	true
ForensicReports	true
ForensicReportsSentBy	noreply@<ваш домен>
Socket	inet:8892@localhost
HistoryFile /var/log/dmarc.dat

3. На следующем этапе в настройки postfix внесите одновременное "взаимодействие" с DKIM и DMARC. Для этого требуется выполнить с правами администратора следующие команды:

postconf -е ′smtpd_milters=inet:127.0.0.1:8891, inet:127.0.0.1:8892′
postconf -e ′non_smtpd_milters=inet:127.0.0.1:8891, inet:127.0.0.1:8892′

Следует отметить, что параметры команд предполагают, что opendkim настроен в соответствии с инструкцией, приведенной в подразделе 2.2.

4. Для применения настроек, перезапустите соответствующие сервисы. Для этого от имени администратора выполните следующие команды:

systemctl restart opendmarc
systemctl restart postfix

2.3. Настройка Exim

Определите расположение актуального конфигурационного файла сервера Exim. Для этого выполните следующую команду.

exim4 -bV

2. Проверьте, что в актуальном конфигурационном файле приведенные ниже параметры имеют соответствующие значения и, в случае необходимости, отредактируйте их.

-------------------------------------------------------------------------

dmarc_history_file            = /var/log/dmarc.dat

dmarc_forensic_sender         = norерlу@<ваш_домен>

accept authenticated          = *

accept hosts = +relay_from_hosts

begin acl

  acl_check_rcpt:

    warn    domains           = +local_domains

            hosts             = +local_hosts

            control           = dmarc_disable_verifу

    warn    !domains          = +screwed_up_dmarc_records

            control           = dmarc_enable_forensic

  acl_check_data:

    warn    dmarc_status      = accept : none : off

            !authenticated    = *

            log_message       = DMARC DEBUG: $dmarc_status

$dmarc_used_domain

    warn    dmarc_status      = !accept

            !authenticated    = *

            log_message       = DMARC DEBUG: ′$dmarc_status′ for

$dmarc_used_domain

    warn    dmarc_status      = quarantine

            !authenticated    = *

            set $acl_m_quarantine = 1

    deny    condition         = ${if eq{$dmarc_domain_policy}{reject}}

            message           = Messages from $dmarc_used_domain break

mailing lists

    deny    dmarc_status      = reject

            !authenticated    = *

            message           = Message from $dmarc_used_domain failed

sender′s DMARC policy, REJECT

    warn    add_header        = :at_start:${authresults

{$primary_hostname}}

begin routers

  localuser:

    transport = ${if =={$acl_m_quarantine}{1}

{local_delivery_quarantine}{local_delivery}}

begin transport:

  local_delivery_quarantine:

    driver = appendfile

    directory = /home/mail-quarantine/Maildir

    user = mail-quarantine

    home_directory = /home/mail-quarantine

    current_directory = /home/mail-quarantine

    maildir_format

    delivery_date_add

    envelope_to_add

    return_path_add

    group = mail

    mode = 0660

-------------------------------------------------------------------------

Обратите внимание, что указные параметры располагаются в разных частях конфигурационного файла.

3. Создайте пользователя mail-quarantine. Для этого от имени администратора выполните следующую команду:

useradd -m -G main mail-quarantine

4. Обновите текущую конфигурацию почтового сервера. Для этого требуется выполнить с правами администратора следующую команду:

update-exim4.conf

5. Проверьте корректность полученной конфигурации, выполнив следующую команду:

exim4 -bV

6. Если проверка завершилась успешно, перезапустите почтовый сервер. Для этого в операционных системах, использующих systemd, требуется выполнить с правами администратора следующую команду:

systemctl restart exim4

------------------------------

1 Дополнительные сведения о типах использования соединителей отправки: https://learn.microsoft.com/ru-ru/exchange/mail-flow/connectors/send-connectors?view=exchserver-2019#send-connector-usage-types

2 https://learn.microsoft.com/ru-ru/powershell/exchange/open-the-exchange-management-shell?view=exchange-ps