С 18 мая почта Mail.Ru будет включать строгую политику DMARC для всех основных доменов бесплатной почты. Как следует из официального сообщения компании, этот шаг позволит повысить точность отделения писем, отправленных реальными людьми и организациями, от сообщений спамеров и злоумышленников.
В случае использования базового протокола SMTP невозможно обеспечить верификацию отправителей на должном уровне, то есть в поле From злоумышленники могут подставить абсолютно любой адрес.
DMARC (Domain-based Message Authentication, Reporting and Conformance) — техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей. Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию. Строгая политика DMARC на стороне сервера отправителя гарантирует получателю письма, что отправитель авторизован использовать адрес, указанный в поле «От:». Таким образом, DMARC позволяет выявлять и пресекать подмену обратного адреса отправителя, которую производят фишеры и спамеры для проведения подложных рассылок от имени авторитетной компании или, в случае доменов бесплатных почтовых ящиков, от имени других пользователей.
Ранее строгая политика DMARC была включена только для служебных доменов Mail.Ru Group (например, @corp.mail.ru), поскольку, по наблюдениям внутри компании, именно они чаще всего подделываются фишерами. В настоящее время она также применяется для домена mail.ua. 25 апреля запуск строгой политики DMARC планируется для домена bk.ru, а с 18 мая она будет распространена на все домены бесплатных почтовых ящиков (list.ru, inbox.ru и mail.ru). В интерфейсе Почты письма, на которые еще не распространена строгая политика DMARC, но которые могут быть затронуты ею в будущем, в настоящий момент помечаются уведомлением о том, что адрес отправителя потенциально мог быть подделан.
Эксперты отмечают, что DMARC полезен именно для борьбы с мошенническим и вредоносным спамом, который подделан под рассылки известных компаний. Для обычного спама, который злоумышленники рассылают со своих собственных доменов, он неэффективен.