Cloudflare DMARC Management: безкоштовна аналітика поштових звітів


2 хвилини

Безпека електронної пошти та захист власного домену від підробки (спуфінгу) — це базове завдання при адмініструванні будь-якої інфраструктури. Після успішного налаштування записів SPF та DKIM логічним кроком є впровадження суворої політики DMARC. Проте, як тільки ви вмикаєте моніторинг, ваша поштова скринька починає швидко наповнюватися технічними листами. У цій статті я покажу, як налаштувати безкоштовний сервіс Cloudflare DMARC Management, щоб позбутися ручного аналізу “сирих” XML-даних та перетворити незрозумілі логи на корисну й наочну аналітику.

Email звіт

Я регулярно отримую DMARC звіти тому, що в DNS-записах мого домену ostrich.kyiv.ua налаштований DMARC-запис із тегом rua=mailto:[email protected].

Вміст листа має файл звіту google.com!ostrich.kyiv.ua!1782086400!1782172799.zip який в свою чергу має XML файл із такою самою назвою – google.com!ostrich.kyiv.ua!1782086400!1782172799.xml

Оскільки такі листи надходять регулярно, нема фізичної можливості їх опрацьовувати, тому на допомогу прийде сервіс від Cloudflare – DMARC Management

Керування поштою: Для створення та адміністрування скриньок на власному домені, куди спочатку надходили звіти, перегляньте мій гайд про налаштування PostfixAdmin для керування поштовими скриньками

Автоматизація DMARC звітів

Оскільки я вже користуюся Cloudflare, активація DMARC Management (DMARC Analytics) займе лічені хвилини. Сервіс автоматично згенерує унікальну поштову адресу, на яку поштові провайдери надсилатимуть ці XML-звіти, а Cloudflare перетворить їх на зручні та зрозумілі графіки.

Увімкнення DMARC Analytics

  1. Авторизуйтесь у своєму акаунті Cloudflare.
  2. У списку оберіть ваш домен.
  3. У лівому бічному меню перейдіть у розділ Email -> DMARC Management.
  4. Натисніть кнопку Enable DMARC Management.

Моніторинг пошти: Якщо ви хочете контролювати активність вашого локального поштового сервера безпосередньо в системі моніторингу, читайте про моніторинг активності Postfix у Zabbix.

Отримання унікальної адреси Cloudflare

На сторінці Configure DMARC records буде відображено поточний DNS запис і новий, щойно згенерований. Необхідно перевірити ці записи та продовжити налаштування клацнувши на кнопку Next.

Cloudflare додасть додатковий RUA до поточного запису для правильної обробки звітів DMARC. Цей новий RUA не замінить ваш існуючий.

На наступній сторінці відобразиться блок із налаштуваннями DMARC та звіт.

DMARC Management

На сторінці DMARC Management відобразиться табличка з наступними налаштуваннями:

  • DMARC policy – Reject
  • SPF policy – Soft fail (warning)
  • DKIM in use – Yes
  • BIMI in use – No (Fail)

Звіт буде пустий, адже поки жодного листа не було надіслано. Проте я опублікую скріншот, коли буде що показати на графіку.

Безпека домену: Налаштування поштових записів — це лише частина захисту доменної зони; дізнайтеся також, як працює захист доменних імен DNSSEC.

Візуалізація DMARC звітів

В блоці Email volume з часом буде побудовано графік. Оскільки в мене активність не висока, тому я вже через добу отримав перший результат.

На графіку відображається кількість успішних та неуспішних поштових відправлень.

Другим блоком буде DMARC reports, де зазначено, які служби розсилки надсилають електронні листи від мого імені.

В цьому звіті у вигляді таблиці відображено, що листи надсилаються через мою мережу, а в наступних колонках статус контрольних перевірок DMARC, SPF та DKIM. Мій результат свідчить про успішність.

Якщо перейти за посиланням із колонки Sending service, то буде відображено більш детальний звіт на сторінці Sending service detail.

Висновки

Підсумовуючи, перехід на Cloudflare DMARC Management – це рішення категорії “налаштував і забув”, яке значно полегшує моніторинг поштового трафіку. Замість того, щоб накопичувати або ігнорувати щоденні XML-архіви, ви отримуєте наочну аналітику здоров’я домену в єдиному інтерфейсі. Такий підхід дозволяє тримати руку на пульсі: ви завжди бачитимете реальні обсяги відправлених листів, статус проходження перевірок безпеки та зможете миттєво помітити будь-які спроби несанкціонованої розсилки від вашого імені. Оскільки цей інструмент є безкоштовним і потребує лише зміни одного DNS-запису, рекомендую активувати його всім, хто вже делегував керування своєю зоною на Cloudflare.

Досвід роботи з Cloudflare: DMARC Analytics – не єдиний корисний інструмент цього сервісу. Раніше я описував свій реальний досвід відбиття DDoS-атаки з росії за допомогою Cloudflare.