Zabezpečení e-mailů je mnohem více, než se na první pohled zdá. Všichni dobře víme, že e-mail je jednou z nejzávažnějších oblastí, kde dochází k phishingu osobních údajů a citlivých informací.
Hackeři jsou stále lepší ve vytváření autenticky vypadajících zpráv, které mnohé oklamou tak, že kliknou na výzvu k akci a poskytnou podvodníkům informace, které hledají – často přihlašovací údaje a finanční přístup.
Ověřování e-mailů – co to je?
Ověřování e-mailu is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Jaké jsou možné metody?
V současné době se používají tyto čtyři typické metody ověřování e-mailu:
- SPF – Rámec zásad odesílání
Tento standard provádí původní kontrolu, zda každý e-mail pochází z důvěryhodné IP adresy. - DKIM – DomainKeys Identified Mail
Další kontrola identity, tentokrát však s použitím šifrovacího klíče jako digitálního podpisu. - DMARC – hlášení a shoda ověřování zpráv domény (Domain Message Authentication Reporting and Conformance)
DMARC zajišťuje, že e-maily před doručením splňují požadavky SPF i DKIM. - BIMI – Značkové indikátory pro identifikaci zpráv
BIMI provádí poslední kontrolu, která se zaměřuje na důvěryhodnost odesílatele a zobrazování image značky odesílatele ve schránce příjemce (pokud je v současné době podporována).
Na každý z nich se podíváme hlouběji o něco dále, ale nejprve si vysvětlíme, proč jsou tak důležité, a vysvětlíme si, jak fungují.
Jak funguje ověřování e-mailu?
Každá z metod ověřování (SPF DKIM DMARC BIMI) uplatňuje na vaše e-maily vrstvu zabezpečení pomocí vaší e-mailové domény, aby ověřila, že jste tím, za koho se vydáváte.
- Odesílatel definuje zásady/pravidla ověřování své domény.
- Poté nakonfigurují doménové servery DNS a e-mailové servery tak, aby tato pravidla implementovaly.
- Příjemní servery ověřují příchozí e-maily tak, že je porovnávají s pravidly pevně nastavenými v doméně DNS.
- Pokud je ověřeno, server příjemce e-mail bezpečně zpracuje; pokud ověření selže, zpráva je zablokována nebo umístěna do karantény nebo spravována v souladu s rozhodnutím o ověření.
Jaké jsou výhody?
Jak vidíte, pokud nenastavíte ověřování e-mailů, vystavujete se riziku odmítnutých e-mailů, vyššího počtu nevyžádaných zpráv a nižší míry doručení.
Vaše pečlivě promyšlené, krásně navržené a vytvořené zprávy mají mnohem menší šanci, že se dostanou do schránek, pro které jsou určeny.
Ještě horší je, že bez zavedených metod ověřování e-mailů je vaše značka mnohem snadněji podvržená, což vás i vaše klienty vystavuje útokům na e-maily, hackerským útokům a phishingu.
Nastavení ověřování e-mailu
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
Po přístupu k nastavení DNS přidáte k doméně různé záznamy TXT a CNAME.
Chcete-li zjistit hodnoty nastavení své domény, musíte se obrátit na své e-mailové hostitele. Poskytnou vám nastavení záznamů SPF, vygenerují selektor DKIM v rámci své hostingové oblasti a ukáží vám, jak implementovat zásady DMARC, protože hostitelé se často liší v tom, jak jsou nakonfigurováni.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Rámec zásad odesílání
SPF je standardní ověřování vytvořené v počátcích vývoje e-mailu. Kdysi byl vhodný pro rané e-mailové systémy, ale pro moderní metody odesílání pošty představuje několik problémů. Proto je nutné využívat všechny čtyři metody, aby byla zajištěna forma úplného krytí.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Když e-mailový server příjemce provede vyhledávání DNS za účelem získání záznamu SPF, použije hodnotu v návratové cestě zprávy.
Problémy s ověřováním SPF
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Identifikace schválených IP adres – sdílené systémy, jako jsou cloudové platformy, mohou hostit více služeb s dynamicky přidělovanými IP adresami. Ačkoli lze určit a schválit IP, může také umožnit komukoli jinému používat stejnou sdílenou IP pomocí vašeho záznamu SPF.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
SPF nepodporuje přeposílání e-mailů – Server příjemce neověří platnost přeposlané zprávy, protože identifikační doména se jeví jako doména přeposílajícího serveru, a nikoli jako původní doména.
Jak vidíte, kdysi přijatelná metoda je nyní značně chybná. Poskytuje základy, na kterých lze stavět pro větší všestrannou bezpečnost. Jako samostatná metoda však v dnešní technologii prostě nevyhovuje.
DKIM – DomainKeys Identified Mail
DKIM používá k podepisování e-mailových zpráv šifrování veřejným/soukromým klíčem. Ověřuje, že e-maily byly odeslány z dané domény a že nebyly během přenosu upraveny.
Je to bezpečnější metoda ověřování, protože zaručuje, že zpráva nebyla během doručování změněna. Další výhodou je, že ověření DKIM přežije i přeposílání e-mailů.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
E-mailový server příjemce přečte zašifrované informace pomocí veřejného klíče umístěného v systému DNS, a pokud vše souhlasí, je provedeno ověření.
Selektory DKIM
Každá doména může používat několik selektorů. Tyto hodnoty se používají k identifikaci jedinečných vlastností, například subdomén, uživatelů, umístění a služeb. Každý selektor pracuje s vlastním veřejným klíčem, čímž se vzdává jediného sdíleného klíče pro všechny případy.
Problémy s ověřováním DKIM
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple proces .
Zabezpečení klíčů – hacker, který podepisuje zprávy pomocí domény jiného uživatele, může své e-maily dokonale ověřit pomocí soukromého klíče této domény.
Implementace a správa klíčů – Dlouhé a bezpečnější klíče mohou být při použití v doméně DNS problematické. Tyto dlouhé řetězce dat lze snadno chybně použít, a to i při kopírování a vkládání.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – hlášení a shoda ověřování zpráv domény (Domain Message Authentication Reporting and Conformance)
As already mentioned, DMARC enforces the use of the domain set in the from field to zabránit hackers and attackers from using alternate domains to bypass safety checks.
Zahrnuje také mechanismus hlášení, který odesílateli umožňuje rozhodnout, jak naložit s výsledky ověřování. Záznam DMARC řídí, kam a jakým způsobem servery příjemců zasílají hlášení.
DMARC v podstatě zaplňuje mezery mezi SPF a DKIM a zvyšuje doručitelnost e-mailů. Spammeři již nemohou tyto chráněné domény zneužívat, a proto se buduje reputace domény, čímž se neustále zvyšuje míra doručitelnosti.
Prosazování DMARC
Záznam DMARC určuje, jak naložit s e-maily, které se nepodaří autorizovat. Zásada má tři výsledky: nedělat nic, umístit do karantény nebo odmítnout. Zpráva DMARC upozorňuje držitele domény na to, odkud takové neúspěšné zprávy přišly, a poskytuje mu důležité informace o porušení a o tom, co může udělat, aby podnikl další ochranné kroky.
BIMI – Značkové indikátory pro identifikaci zpráv
Doufáme, že zahrnutí ověřování e-mailů BIMI přinese přibližně 10% zvýšení angažovanosti prostřednictvím doručitelnosti – to není číslo, které by se mělo brát na lehkou váhu.
Vzhledem k tomu, že tato metoda ověřování je teprve v plenkách a mnoho poskytovatelů e-mailových služeb na její zavedení teprve čeká, mohou uživatelé podniknout několik kroků, aby se ujistili, že jsou připraveni na její velké rozšíření, až se konečně dostane na naše servery.
Vzhledem k tomu, že společnost Google zahrnuje integraci BIMI do sady G Suite, je jisté, že je jen otázkou času, kdy ji zbytek světa dožene.
Jak se připravit na BIMI?
Chcete-li aktivovat ověřování e-mailů BIMI, musíte nejprve ověřit e-maily pomocí protokolů SPF, DKIM a DMARC a zajistit jejich sladění (doména je ve všech případech stejná). Zásady DMARC musí být vynuceny na úrovni karantény nebo odmítnutí a doména DNS musí mít správný záznam BIMI.
Aby se výsledné ověření zobrazilo ve schránkách příjemců, je třeba také umístit příslušný soubor s logem jako odkaz. Vaše logo bude muset být ve správném formátu SVG a případně s certifikátem VMC (Verified Mark Certificate) pro ověření souboru.
Kompletní ověřování e-mailových kampaní
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Předplatitelé and boosts the connectivity and returns on your marketing.