Скрытая зона атаки, которую вы упускаете из виду

DNS-записи вашего домена — это как открытая дверь в ваш дом, ключ от которой есть у всех подряд. Каждая рассылка email, каждый subdomain, каждый API — всё зависит от DNS. Если настройка слабая, хакерам не нужны ваши файрволы. Им хватит перенаправить трафик на свои сервера.

Большинство компаний настраивают DNS разок при запуске, добавляют SPF и забывают. Аудит? Его никто не проводит годами.

Что проверяет настоящий аудит DNS-безопасности

Хороший аудит — это не просто тест на разрешение домена. Вот ключевые зоны:

Стандарты аутентификации email (SPF, DKIM, DMARC)

Фишинг через поддельные письма — главная угроза. SPF указывает, кто может слать email от вашего имени. DKIM ставит цифровую подпись. DMARC объединяет всё и диктует, что делать при сбое проверки.

Часто SPF слишком широкий: "все кому угодно". Это хуже, чем пустое место.

Проверка DNSSEC

DNSSEC шифрует DNS-запросы, блокируя подмену ответов. Без него хакер в сети клиента может подсунуть фишинговый сайт вместо вашего.

Внедрено у единиц. Многие даже не в курсе.

Перечисление subdomain'ов и "висячие" домены

У вас субдоменов больше, чем кажется: api.yourdomain.com, staging.yourdomain.com, забытые старые. Каждый — цель для атаки. Если subdomain висит на удалённом облаке, злоумышленник его захватит и получит кусок вашей инфраструктуры.

CAA-записи

CAA — это фильтр для SSL-сертификатов. Они разрешают только доверенным CA выдавать сертификаты для вашего домена. Без них любой CA в мире сможет это сделать, и браузеры примут.

Почему это бьёт по бизнесу

DNS-безопасность — не формальность для compliance. Она напрямую влияет на:

• Доставку email: Слабая настройка — и ваши письма в спаме. Прощай, лиды и связь с клиентами.
• Защиту бренда: Фишинг под вашим именем рушит репутацию.
• Соответствие нормам: GDPR, HIPAA, SOC 2 требуют контроля DNS.
• Доверие клиентов: Докажете безопасность — и это станет вашим преимуществом.

Эволюция DMARCbis

DMARC работает с 2015-го, но идёт апгрейд — DMARCbis. Это как версия 2.0: лучше с субдоменами, гибкие режимы проверки.

Следите за обновлениями, если уже на DMARC. Это отличает лидеров от остальных.

Ваш план действий

Начните просто. В этом месяце:

1. Просмотрите DNS-записи — узнайте, что там есть.
2. Проверьте SPF, DKIM, DMARC. Начните с мониторинга (p=none), потом ужесточите.
3. Добавьте CAA, если нет. Укажите только свои CA.
4. Найдите все субдомены и убедитесь, что они под контролем.
5. Внедрите DNSSEC, если работаете с чувствительными данными.

Плюс: изменения в DNS — это не перестройка всей системы. Делается по частям, без простоев и согласований.

Настоящая цена промедления

Игнор DNS — это подарок хакерам. Для стартапов фишинг под вашим доменом — крах. Для крупных — штрафы и разборки.

Парадокс: аудит займёт меньше времени, чем собрание, где вы это обсуждаете.

Не тяните. Проведите аудит, закройте дыры — и спите спокойно.

Хотите глубже разобрать безопасность домена? Инструменты NameOcean помогут с аудитом DNS, управлением SSL и настройкой email-аутентификации для всего портфеля доменов — с AI-подсказками по лучшим практикам.