ФСТЭК дал рекомендацию, как обезопасить почтовый сервер Microsoft
Несмотря на уход Microsoft, Exchange Server остаётся популярной и уязвимой мишенью для хакеров в России. ФСТЭК выпустил руководство по повышению его защиты с помощью настройки SPF, DKIM и DMARC. Эксперты отмечают, что эти технологии не новы, но критически важны для борьбы с фишингом.
Федеральная служба по техническому и экспортному контролю дала советы по настройке почтового сервера Microsoft Exchange Server. В документе приводятся рекомендации по настройке механизмов SPF, DKIM и DMARC на почтовом сервере — эти технологии помогают бороться с атаками, связанными с подменой отправителя (спуфинг). Полный текст опубликован на сайте ФСТЭК.
У ФСТЭК давние претензии к Microsoft Exchange Server. Еще в октябре 2025 года ФСТЭК опубликовала информационное сообщение, согласно которому Microsoft прекратила техническую поддержку и выпуск обновлений безопасности для продуктов Windows 10, Exchange Server 2016 и Exchange Server 2019. При этом, как указывается в сообщении, они до сих пор используются в информационных системах госорганов и организаций критической информационной инфраструктуры (КИИ). ФСТЭК рекомендовал скорейший переход на отечественные решения.
SPF (Sender Policy Framework) — это стандарт, который проверяет, имеет ли сервер право отправлять письма от имени домена. DKIM (DomainKeys Identified Mail) подтверждает целостность письма и его отправителя с помощью цифровой подписи. DMARC (Domain-based Message Authentication, Reporting and Conformance) объединяет результаты проверок SPF и DKIM, определяя, как обрабатывать непрошедшие аутентификацию письма и куда отправлять отчеты владельцу домена
По словам руководителя группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергея Полунина, фишинг остается одной из важнейших проблем, стоящих перед ИБ сейчас. Рекомендации ФСТЭК могут помочь усложнить работу злоумышленникам, но есть и «другой вопрос».
«Речь идет про технологии SPF, DMARC и DKIM, самой молодой из которых уже больше 10 лет, и, скорее всего, ответственные администраторы почтовых систем уже настроили и обкатали все нюансы этих способов защиты почты. Причем применимо это все не только для Exchange, про который речь идет в документе ФСТЭК, но и вообще для любого современного почтового сервера», — отметил Полунин.
Ранее ФСТЭК публиковал рекомендации по настройке механизмов SPF, DKIM и DMARC на Exim, одном из самых популярных open-source решений для создания и управления почтовыми серверами. По некоторым данным, на Exim приходится 94% почтовых серверов России.
Но и Microsoft Exchange Server тоже пользуется популярностью Microsoft Exchange Server, несмотря на прекращение поддержки Microsoft в РФ. В июне 2025 года Positive Technologies заявила, что с начала года девять российских компаний были атакованы через зараженные серверы Microsoft Exchange. Злоумышленники внедряли вредоносный код в легитимные страницы аутентификации, долгое время оставались необнаруженными — и при этом получали учетные данные пользователей.
Проблема в том, что если компания привыкла использова Microsoft Exchange, ей будет труднее мигрировать на другой сервис — решение представляет из себя полноценную экосистему. Как заявлял руководитель продуктовой экспертизы компании «РуПост» Михаил Зарембо в эфире AM Live, «Exchange столь тесно укоренилась благодаря экосистемному подходу, который объединяет её элементы с самого низа, начиная от операционной системы и службы каталогов».
C 2015 года в Базе данных угроз безопасности информации ФСТЭК было зарегистрировано 142 уязвимости в Microsoft Exchange. 16 из них — критические, 88 — высокого уровня опасности.
