Metoder til autentificering af e-mail - det grundlæggende bag SPF, DKIM, DMARC og BIMI

2. april 2021
7

Der er meget mere i e-mail-sikkerhed, end man umiddelbart skulle tro. Vi er alle klar over, at e-mail er et af de områder, der er hårdest ramt af phishing efter personlige data og følsomme oplysninger.

Hackere er blevet langt bedre til at skabe autentisk udseende beskeder, der narrer mange til at klikke på en call-to-action og give forfalskerne de oplysninger, de er ude efter - ofte loginoplysninger og finansiel adgang.

E-mail-godkendelse - hvad er det?

Godkendelse af e-mail er et system, der er udviklet til at beskytte dit omdømme ved at kontrollere, når du sender en e-mailkampagne, at du er den, du siger, du er. De fire begreber er enkle nok, men det kan være vanskeligt at indstille hver enkelt metode. Den beskyttelse, der tilbydes, når den kombineres, er dog så god, som du kan indføre med vores nuværende systemer.

Hvilke metoder er mulige?

De fire typiske e-mailgodkendelsesmetoder i dag er som følger:

  1. SPF - ramme for afsenderpolitik
    Denne standard udfører den oprindelige kontrol for at sikre, at hver e-mail kommer fra en pålidelig IP-adresse.
  2. DKIM - DomainKeys Identified Mail
    Endnu en identitetskontrol, men denne gang ved hjælp af en krypteringsnøgle som en digital signatur.
  3. DMARC - indberetning og overensstemmelse af domænemeddelelser om autentificering af meddelelser (Domain Message Authentication Reporting and Conformance)
    DMARC sikrer, at e-mailen opfylder både SPF- og DKIM-kravene, før den leveres.
  4. BIMI - mærkeindikatorer til identifikation af meddelelser
    BIMI leverer en sidste kontrol, der fokuserer på afsenderens troværdighed og viser afsenderens brand image i modtagerens indbakke (hvor det understøttes i øjeblikket).

Vi vil se nærmere på hver af disse lidt senere, men først vil vi forklare, hvorfor de er så vigtige, og forklare lidt om, hvordan de fungerer.

Hvordan fungerer e-mail-godkendelse?

Hver af godkendelsesmetoderne (SPF DKIM DMARC BIMI) anvender et lag af sikkerhed på dine e-mails ved hjælp af dit e-mail-domæne for at bekræfte, at du er den, du hævder at være.

  1. Afsenderen definerer politikken/reglerne for, hvordan deres domæne skal godkendes.
  2. Derefter konfigurerer de domænets DNS- og e-mail-servere til at implementere disse regler.
  3. Modtagerservere verificerer indgående e-mail ved at kontrollere den i forhold til de regler, der er fastsat i domænets DNS.
  4. Når den er autentificeret, behandler modtagerserveren e-mailen sikkert; hvis autentificeringen mislykkes, blokeres eller sættes meddelelsen i karantæne eller håndteres i overensstemmelse med afgørelsen om autentificering.

Hvad er fordelene ved det?

Som du kan se, risikerer du at få afviste e-mails, højere spam-hastighed og lavere leveringshastighed, hvis du ikke konfigurerer din e-mail-godkendelse.

Dine omhyggeligt gennemtænkte, smukt designede og oprettede meddelelser har langt mindre chance for at lande i de indbakker, de er beregnet til.

Hvad værre er, hvis du ikke har dine metoder til autentificering af e-mail på plads, er dit brand meget lettere at forfalske, hvilket gør dig og dine kunder meget sårbare over for e-mailangreb, hacks og phishing.

Opsætning af e-mail-godkendelse

Hvis du vil konfigurere dit domæne til at administrere hver enkelt godkendelsesmetode, skal du have adgang til DNS-indstillingerne (Domænenavn System) via din domæneregistreringstjeneste.

Når du får adgang til DNS-indstillingerne, skal du tilføje forskellige TXT- og CNAME-poster til dit domæne.

Hvis du vil vide, hvilke værdier dine domæneindstillinger har, skal du kontakte din e-mail-vært for at finde ud af det. De vil give dig indstillingerne for dine SPF-poster, generere din DKIM-selektor fra deres hostingområde og vise dig, hvordan du implementerer din DMARC-politik, da værter ofte er forskellige i deres konfigurationer.

Du tilføjer endnu en TXT-post for at inkludere en BIMI-post, herunder stien til dit brand billedfil.

SPF - ramme for afsenderpolitik

SPF er den standardgodkendelse, der blev oprettet i de tidlige dage af udviklingen af e-mail. Hvor den engang var velegnet til de tidlige e-mail-systemer, har den flere problemer med moderne mailmetoder. Derfor er det nødvendigt at udnytte alle fire metoder for at levere en form for fuldstændig dækning.

SPF-poster gemmes i klar tekst i domænets DNS og dikterer den IP-adresser med tilladelse til at sende fra domænet.

Når modtagerens e-mail-server udfører et DNS-opslag for at hente SPF-posten, bruger den værdien i meddelelsens returvej.

Problemer med SPF-godkendelse

Syntaks - Selv om der er tale om tekstposter, er syntaksen kan blive vanskelig, når du indtaster DNS-poster. Hvis de ikke er præcise, vil godkendelsen mislykkes, selv om meddelelsen og afsenderen er ægte.

Identificering af godkendte IP-adresser - Delte systemer, f.eks. cloud-platforme, kan være vært for flere tjenester med dynamisk tildelte IP-adresser. Selv om IP'en kan bestemmes og godkendes, kan det også tillade alle andre at bruge den samme delte IP ved hjælp af din SPF-post.

SPF kan forfalskes - SPF bruger det skjulte returvejsfelt til autentificering - ikke "from"-feltet, som modtagerne tydeligt kan se. En hacker, der phishing efter oplysninger, kan præsentere et gyldigt domæne og en e-mailadresse i "from"-feltet, men have sin egen e-mail som returvej og bruge sit eget autentificeringssystem til at komme igennem serverkontrollen.

SPF understøtter ikke videresendelse af e-mail - En modtagerserver kan ikke validere en videresendt meddelelse, fordi det identificerende domæne ser ud til at være videresendelsesserverens domæne og ikke det oprindelige domæne.

Som du kan se, er det, der engang var en acceptabel metode, nu behæftet med betydelige fejl. Den giver et grundlag, som man kan bygge videre på for at opnå større sikkerhed på alle områder. Som en selvstændig metode er den imidlertid ikke tilstrækkelig i den nuværende teknologi.

DKIM - DomainKeys Identified Mail

DKIM bruger kryptering med offentlig/privat nøgle til at signere e-mailmeddelelser. Det bekræfter, at e-mails er sendt fra domænet, og at e-mailen ikke er blevet ændret undervejs.

Det er en mere sikker godkendelsesmetode, da den sikrer, at meddelelsen ikke er blevet ændret under leveringen. En anden fordel er, at DKIM-godkendelse overlever e-mailvideresendelse.

Domæneejeren opretter kryptografiske nøgler i par: offentlige og private. Den offentlige nøgle placeres som en TXT-post på domænets DNS. Når en e-mail sendes, genereres der en "hash" på grundlag af den indholdet af meddelelsen. Denne hash krypteres med domænets private nøgle og vedhæftes e-mailens header.

Modtagerens e-mail-server læser de krypterede oplysninger ved hjælp af den offentlige nøgle, der er hostet i DNS'en, og hvis alt stemmer overens, godkendes godkendelsen.

DKIM-selektorer

Hvert domæne kan bruge flere selektorer. Disse værdier bruges til at identificere unikke egenskaber, f.eks. underdomæner, brugere, steder og tjenester. Hver selector anvender sin egen offentlige nøgle, så der ikke længere er en enkelt, fælles nøgle til alle tilfælde.

Problemer med DKIM-godkendelse

Uoverensstemmende signaturer - En gyldig DKIM-signatur kan bruge et helt andet domæne end det, der er vist i feltet "from". Det gør phishing fra et andet e-mail-domæne til en simpel proces.

Nøglesikkerhed - En hacker, der signerer meddelelser ved hjælp af en anden brugers domæne, kan få sine e-mails valideret perfekt ved hjælp af dette domænes private nøgle.

Implementering og forvaltning af nøgler - Lange, mere sikre nøgler kan være problematiske, når de anvendes på domænet DNS. Disse lange datastrømme kan let anvendes forkert, selv ved kopiering og indsættelse.

For at få det bedste ud af DKIM skal det kombineres med DMARC, så det domæne, der anvendes i "from"-feltet, kommer i spil. Du kan nu se, hvordan hvert system afhænger af den foregående metode for at skabe et komplet og effektivt autentifikationssystem.

DMARC - indberetning og overensstemmelse af domænemeddelelser om autentificering af meddelelser (Domain Message Authentication Reporting and Conformance)

Som allerede nævnt håndhæver DMARC brugen af det domæne, der er angivet i feltet from, til at forhindre hackere og angribere fra at bruge alternative domæner til at omgå sikkerhedskontroller.

Den indeholder også en rapporteringsmekanisme, der giver afsenderen mulighed for at beslutte, hvad der skal ske med godkendelsesresultaterne. DMARC-posten styrer, hvor og hvordan modtagerservere sender rapporter.

DMARC udfylder hullerne mellem SPF og DKIM og forbedrer leveringsmulighederne for e-mail. Spammere kan ikke længere misbruge disse beskyttede domæner, og domænets omdømme øges derfor, hvilket hele tiden forbedrer leveringsgraden.

Håndhævelse af DMARC

DMARC-registreringen dikterer, hvad der skal ske med e-mails, der ikke godkendes. Politikken har tre udfald: Gør ingenting, sæt den i karantæne eller afvis den. En DMARC-rapport advarer domæneindehaveren om, hvor sådanne mislykkede meddelelser kommer fra, og giver vigtige oplysninger om overtrædelsen, og hvad de kan gøre for at træffe yderligere beskyttelsesforanstaltninger.

BIMI - mærkeindikatorer til identifikation af meddelelser

Det er håbet, at inddragelse af BIMI-e-mailgodkendelse vil give et løft på omkring 10% i engagement gennem leveringsmuligheder - det er ikke et tal, der skal tages let på.

Da denne godkendelsesmetode er i sin vorden og stadig venter på at blive introduceret af mange e-mail-udbydere, er der flere skridt, som brugerne kan tage for at sikre, at de er klar til en stor udrulning, når den endelig rammer vores servere.

Én ting er sikkert: Eftersom Google har inkluderet BIMI-integration i G Suite, er det kun et spørgsmål om tid, før resten af verden følger trop.

Hvordan bliver man klar til BIMI?

Hvis du vil aktivere BIMI-e-mailgodkendelse, skal du først godkende dine e-mails med SPF, DKIM og DMARC og sikre, at der er overensstemmelse (domænet er det samme hele vejen igennem). DMARC-politikken skal håndhæves ved enten karantæne eller afvisning, og domænets DNS skal have den korrekte BIMI-record.

Du skal også hoste en passende logofil som et link, så den resulterende autentificering kan vises i modtagernes indbakker. Dit logo skal være i det korrekte SVG-format og eventuelt have et VMC-certifikat (Verified Mark Certificate) for at bekræfte filen.

Komplet autentificering af dine e-mail-kampagner

Vi har erfaret, at hver af disse metoder i sig selv ikke giver en løsning, der gør livet enkelt. Men med lidt arbejde for at få hvert af systemerne til at gå op i en højere enhed, vil du være langt mere sikker i leveringen af dine e-mail-kampagner og -beskeder, end du kunne nogensinde være uden dem.

Det er tiden og indsatsen værd, hvis det sikrer beskyttelsen af din tjeneste, din abonnenter og øger forbindelsen og udbyttet af din markedsføring.

Linje og prikker

Mest populære på vores blog

Blogindlæg Udsmider

Sådan verificerer du, om en e-mailadresse er ægte eller falsk: En guide

Izabela Harbarczyk
Læs mere
Blogindlæg Udsmider

Sådan tjekker du, om en e-mailadresse er gyldig: Den ultimative guide

Izabela Harbarczyk
Læs mere
Blogindlæg Udsmider

En e-mail-konto: Den eneste guide for begyndere, du har brug for

Izabela Harbarczyk
Læs mere
Blogindlæg Udsmider

Hvad er Gmail Send Limits? Alle spørgsmål besvaret

Izabela Harbarczyk
Læs mere