Η ασφάλεια του ηλεκτρονικού ταχυδρομείου είναι πολύ πιο σημαντική από ό,τι φαίνεται με το μάτι. Όλοι γνωρίζουμε πολύ καλά ότι το ηλεκτρονικό ταχυδρομείο είναι ένας από τους τομείς που πλήττονται περισσότερο από το phishing για προσωπικά δεδομένα και ευαίσθητες πληροφορίες.

Οι χάκερς γίνονται πολύ καλύτεροι στη δημιουργία αυθεντικών μηνυμάτων που ξεγελούν πολλούς ώστε να κάνουν κλικ σε μια κλήση προς δράση και να παρέχουν στους παραπλανητές τις πληροφορίες που ψάχνουν -συχνά στοιχεία σύνδεσης και οικονομική πρόσβαση.

Email Authentication - τι είναι;

Ο έλεγχος ταυτότητας ηλεκτρονικού ταχυδρομείου είναι το σύστημα που έχει σχεδιαστεί για να προστατεύει τη φήμη σας, ελέγχοντας όταν στέλνετε μια εκστρατεία ηλεκτρονικού ταχυδρομείου ότι είστε αυτός που λέτε ότι είστε. Οι τέσσερις έννοιες είναι αρκετά απλές, ωστόσο η ρύθμιση καθεμιάς από τις μεθόδους μπορεί να είναι δύσκολη. Ωστόσο, η προστασία που προσφέρεται όταν συνδυάζεται είναι τόσο καλή όσο μπορείτε να θέσετε σε εφαρμογή με τα τρέχοντα συστήματά μας.

Ποιες είναι οι πιθανές μέθοδοι;

Οι τέσσερις τυπικές μέθοδοι ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου σήμερα είναι οι εξής:

  1. SPF - Πλαίσιο πολιτικής αποστολέα
    Αυτό το πρότυπο εκτελεί τον αρχικό έλεγχο για να βεβαιωθείτε ότι κάθε μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από μια αξιόπιστη διεύθυνση IP.
  2. DKIM - DomainKeys Identified Mail
    Άλλος ένας έλεγχος ταυτότητας, αλλά αυτή τη φορά με χρήση ενός κλειδιού κρυπτογράφησης ως ψηφιακή υπογραφή.
  3. DMARC - Αναφορά και συμμόρφωση πιστοποίησης ταυτότητας μηνυμάτων τομέα
    Το DMARC διασφαλίζει ότι το ηλεκτρονικό ταχυδρομείο πληροί τόσο το SPF όσο και το DKIM πριν παραδοθεί.
  4. BIMI - Δείκτες μάρκας για την αναγνώριση μηνυμάτων
    Το BIMI παρέχει έναν τελευταίο έλεγχο, εστιάζοντας στην αξιοπιστία του αποστολέα και εμφανίζοντας την εικόνα του εμπορικού σήματος του αποστολέα στα εισερχόμενα του παραλήπτη (όπου υποστηρίζεται επί του παρόντος).

Θα ρίξουμε μια βαθύτερη ματιά σε καθένα από αυτά λίγο πιο κάτω, αλλά πρώτα θα εξηγήσουμε γιατί είναι τόσο σημαντικά και θα εξηγήσουμε λίγο τον τρόπο λειτουργίας τους.

Πώς λειτουργεί ο έλεγχος ταυτότητας ηλεκτρονικού ταχυδρομείου;

Κάθε μία από τις μεθόδους ελέγχου ταυτότητας (SPF DKIM DMARC BIMI) εφαρμόζει ένα επίπεδο ασφάλειας στα μηνύματα ηλεκτρονικού ταχυδρομείου σας χρησιμοποιώντας τον τομέα ηλεκτρονικού ταχυδρομείου σας για να επαληθεύσει ότι είστε αυτός που ισχυρίζεστε ότι είστε.

  1. Ο αποστολέας ορίζει την πολιτική/τους κανόνες για τον τρόπο πιστοποίησης του τομέα του.
  2. Στη συνέχεια, ρυθμίζουν τις παραμέτρους του DNS και των διακομιστών ηλεκτρονικού ταχυδρομείου του τομέα για την εφαρμογή αυτών των κανόνων.
  3. Οι διακομιστές παραληπτών επαληθεύουν τα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου ελέγχοντάς τα με βάση τους κανόνες που έχουν οριστεί στο DNS του τομέα.
  4. Σε περίπτωση αποτυχίας του ελέγχου ταυτότητας, το μήνυμα μπλοκάρεται ή μπαίνει σε καραντίνα ή διαχειρίζεται σύμφωνα με την απόφαση ελέγχου ταυτότητας.

Ποια είναι τα οφέλη;

Όπως μπορείτε να δείτε, αν δεν ρυθμίσετε τον έλεγχο ταυτότητας του ηλεκτρονικού ταχυδρομείου σας, κινδυνεύετε να απορρίψετε τα μηνύματα ηλεκτρονικού ταχυδρομείου, να αυξήσετε τα ποσοστά ανεπιθύμητης αλληλογραφίας και να μειώσετε τα ποσοστά παράδοσης.

Τα μηνύματά σας που έχουν μελετηθεί, σχεδιαστεί και δημιουργηθεί με πολύ κόπο, έχουν πολύ λιγότερες πιθανότητες να καταλήξουν στα εισερχόμενα μηνύματα για τα οποία προορίζονται.

Ακόμα χειρότερα, χωρίς τις μεθόδους ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου σας, η επωνυμία σας είναι πολύ πιο εύκολο να πλαστογραφηθεί, αφήνοντας εσάς και τους πελάτες σας εκτεθειμένους σε επιθέσεις ηλεκτρονικού ταχυδρομείου, hacks και phishing.

Ρύθμιση ελέγχου ταυτότητας email

Για να ρυθμίσετε τον τομέα σας ώστε να διαχειρίζεται κάθε μέθοδο ελέγχου ταυτότητας, χρειάζεστε πρόσβαση στις ρυθμίσεις DNS (Domain Name System) μέσω της υπηρεσίας καταχώρισης του τομέα σας.

Μόλις αποκτήσετε πρόσβαση στις ρυθμίσεις DNS, θα προσθέσετε διάφορες εγγραφές TXT και CNAME στο domain σας.

Για να μάθετε τις τιμές των ρυθμίσεων του τομέα σας, θα πρέπει να επικοινωνήσετε με τους οικοδεσπότες ηλεκτρονικού ταχυδρομείου σας. Αυτοί θα σας παρέχουν τις ρυθμίσεις για τις εγγραφές SPF, θα δημιουργήσουν τον επιλογέα DKIM από την περιοχή φιλοξενίας τους και θα σας δείξουν πώς να εφαρμόσετε την πολιτική DMARC, καθώς οι κεντρικοί υπολογιστές συχνά διαφέρουν ως προς τον τρόπο ρύθμισής τους.

Θα προσθέσετε μια άλλη εγγραφή TXT για να συμπεριλάβετε μια εγγραφή BIMI, συμπεριλαμβανομένης της διαδρομής προς το αρχείο εικόνας της μάρκας σας.

ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΑ
Ανταπόκριση του Bouncer στο COVID-19

SPF - Πλαίσιο πολιτικής αποστολέα

Ο SPF είναι ο τυπικός έλεγχος ταυτότητας που δημιουργήθηκε τις πρώτες ημέρες της ανάπτυξης του ηλεκτρονικού ταχυδρομείου. Ενώ κάποτε ήταν κατάλληλο για τα πρώτα συστήματα ηλεκτρονικού ταχυδρομείου, παρουσιάζει αρκετά προβλήματα για τις σύγχρονες μεθόδους ηλεκτρονικού ταχυδρομείου. Αυτός είναι ο λόγος για τον οποίο είναι απαραίτητη η χρήση και των τεσσάρων μεθόδων για την παροχή μιας μορφής πλήρους κάλυψης.

Οι εγγραφές SPF αποθηκεύονται σε απλό κείμενο μέσα στον τομέα DNS και υπαγορεύουν τις διευθύνσεις IP με άδεια αποστολής από τον τομέα.

Όταν ο διακομιστής ηλεκτρονικού ταχυδρομείου του παραλήπτη εκτελεί μια αναζήτηση DNS για να ανακτήσει την εγγραφή SPF, χρησιμοποιεί την τιμή στη διαδρομή επιστροφής του μηνύματος.

Προβλήματα με τον έλεγχο ταυτότητας SPF

Σύνταξη - Παρά το γεγονός ότι πρόκειται για εγγραφές κειμένου, η σύνταξη μπορεί να γίνει δύσκολη κατά την εισαγωγή των εγγραφών DNS. Αν δεν είναι ακριβείς, τότε ο έλεγχος ταυτότητας θα αποτύχει, ακόμη και αν το μήνυμα και ο αποστολέας είναι γνήσιοι.

Προσδιορισμός εγκεκριμένων διευθύνσεων IP - Τα κοινόχρηστα συστήματα, όπως οι πλατφόρμες cloud, μπορούν να φιλοξενούν πολλαπλές υπηρεσίες με δυναμικά εκχωρημένες διευθύνσεις IP. Παρόλο που η IP μπορεί να προσδιοριστεί και να εγκριθεί, μπορεί επίσης να επιτραπεί σε οποιονδήποτε άλλον να χρησιμοποιήσει την ίδια κοινόχρηστη IP με τη χρήση της εγγραφής SPF.

Το SPF μπορεί να παραποιηθεί - Το SPF χρησιμοποιεί το κρυφό πεδίο διαδρομής επιστροφής για τον έλεγχο ταυτότητας και όχι το πεδίο "από", το οποίο οι παραλήπτες μπορούν σαφώς να δουν. Ένας χάκερ, που αλιεύει πληροφορίες, μπορεί να παρουσιάσει ένα έγκυρο που αναζητούν domain και διεύθυνση ηλεκτρονικού ταχυδρομείου στο πεδίο "από", αλλά έχουν το δικό τους email ως διαδρομή επιστροφής, χρησιμοποιώντας το δικό τους σύστημα ελέγχου ταυτότητας για να περάσουν τους ελέγχους του διακομιστή.

Το SPF δεν υποστηρίζει την προώθηση email - Ένας διακομιστής παραλήπτη θα αποτύχει να επικυρώσει ένα προωθημένο μήνυμα επειδή ο αναγνωριστικός τομέας φαίνεται να είναι αυτός του διακομιστή προώθησης και όχι ο αρχικός τομέας.

Όπως βλέπετε, αυτό που κάποτε ήταν μια αποδεκτή μέθοδος είναι τώρα σημαντικά ελαττωματικό. Παρέχει τα βασικά στοιχεία για να βασιστείτε σε αυτά για μεγαλύτερη συνολική ασφάλεια. Ως αυτόνομη μέθοδος, ωστόσο, δεν αρκεί στη σημερινή τεχνολογία.

 

DKIM - DomainKeys Identified Mail

Το DKIM χρησιμοποιεί κρυπτογράφηση δημόσιου/ιδιωτικού κλειδιού για την υπογραφή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Επαληθεύει ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν από τον τομέα και ότι το μήνυμα ηλεκτρονικού ταχυδρομείου δεν έχει τροποποιηθεί κατά τη μεταφορά.

Είναι μια πιο ασφαλής μέθοδος ελέγχου ταυτότητας, καθώς διασφαλίζει ότι το μήνυμα δεν έχει αλλοιωθεί κατά την παράδοση. Ένα άλλο πλεονέκτημα είναι ότι ο έλεγχος ταυτότητας DKIM επιβιώνει από την προώθηση μηνυμάτων ηλεκτρονικού ταχυδρομείου.

Ο ιδιοκτήτης του τομέα δημιουργεί κρυπτογραφικά κλειδιά σε ζεύγη: δημόσια και ιδιωτικά. Το δημόσιο κλειδί τοποθετείται ως εγγραφή TXT στο DNS του τομέα. Όταν αποστέλλεται ένα μήνυμα ηλεκτρονικού ταχυδρομείου, δημιουργείται ένα "hash" με βάση το περιεχόμενο του μηνύματος. Αυτός ο κατακερματισμός κρυπτογραφείται με το ιδιωτικό κλειδί του τομέα και επισυνάπτεται στην επικεφαλίδα του μηνύματος ηλεκτρονικού ταχυδρομείου.

Ο διακομιστής ηλεκτρονικού ταχυδρομείου του παραλήπτη διαβάζει τις κρυπτογραφημένες πληροφορίες χρησιμοποιώντας το δημόσιο κλειδί που φιλοξενείται στο DNS και, αν όλα ταιριάζουν, χορηγείται πιστοποίηση ταυτότητας.

Επιλογείς DKIM

Κάθε τομέας μπορεί να χρησιμοποιεί διάφορους επιλογείς. Αυτές οι τιμές χρησιμοποιούνται για τον προσδιορισμό μοναδικών ιδιοτήτων, για παράδειγμα, υποτομέων, χρηστών, τοποθεσιών και υπηρεσιών. Κάθε επιλογέας λειτουργεί χρησιμοποιώντας το δικό του δημόσιο κλειδί, παραιτούμενος από ένα ενιαίο, κοινόχρηστο κλειδί για όλα τα ενδεχόμενα.

Προβλήματα με τον έλεγχο ταυτότητας DKIM

Αντικανονικές υπογραφές - Μια έγκυρη υπογραφή DKIM μπορεί να χρησιμοποιεί έναν εντελώς διαφορετικό τομέα από αυτόν που εμφανίζεται στο πεδίο "from". Αυτό καθιστά το phishing από άλλο τομέα ηλεκτρονικού ταχυδρομείου μια απλή διαδικασία.

Ασφάλεια κλειδιών - Ένας χάκερ που υπογράφει μηνύματα χρησιμοποιώντας τον τομέα ενός άλλου χρήστη θα μπορούσε να επικυρώσει τέλεια τα μηνύματά του χρησιμοποιώντας το ιδιωτικό κλειδί αυτού του τομέα.

Εφαρμογή και διαχείριση κλειδιών - Τα μακρόστενα, πιο ασφαλή κλειδιά μπορεί να είναι προβληματικά κατά την εφαρμογή στον τομέα DNS. Αυτές οι μεγάλες σειρές δεδομένων εφαρμόζονται εύκολα λανθασμένα, ακόμη και κατά την αντιγραφή και επικόλληση.

Για να αξιοποιήσετε στο έπακρο το DKIM, πρέπει να συνεργαστεί με το DMARC, φέρνοντας στο παιχνίδι τον τομέα που χρησιμοποιείται στο πεδίο "from". Μπορείτε να δείτε τώρα πώς κάθε σύστημα εξαρτάται από την προηγούμενη μέθοδο για τη δημιουργία ενός πλήρους και αποτελεσματικού συστήματος ελέγχου ταυτότητας.

DMARC - Αναφορά και συμμόρφωση πιστοποίησης ταυτότητας μηνυμάτων τομέα

Όπως έχει ήδη αναφερθεί, το DMARC επιβάλλει τη χρήση του τομέα που έχει οριστεί στο πεδίο from για να αποτρέψει τους χάκερ και τους επιτιθέμενους από τη χρήση εναλλακτικών τομέων για την παράκαμψη των ελέγχων ασφαλείας.

Περιλαμβάνει επίσης έναν μηχανισμό αναφοράς που επιτρέπει στον αποστολέα να αποφασίσει τι θα κάνει με τα αποτελέσματα του ελέγχου ταυτότητας. Η εγγραφή DMARC ελέγχει πού και πώς οι διακομιστές παραλήπτη αποστέλλουν αναφορές.

Στην πραγματικότητα, το DMARC καλύπτει τα κενά μεταξύ SPF και DKIM και ενισχύει παραδοσιμότητα email. Οι spammers δεν μπορούν πλέον να κάνουν κατάχρηση αυτών των προστατευμένων τομέων- επομένως, η φήμη του τομέα αυξάνεται, βελτιώνοντας συνεχώς τα ποσοστά παραδοσιμότητας.

Επιβολή DMARC

Το αρχείο DMARC υπαγορεύει τι πρέπει να γίνει με τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποτυγχάνουν να εξουσιοδοτηθούν. Η πολιτική έχει τρία αποτελέσματα: μην κάνετε τίποτα, καραντίνα ή απόρριψη. Μια αναφορά DMARC ειδοποιεί τον κάτοχο του τομέα για το από πού προήλθαν τέτοια αποτυχημένα μηνύματα, παρέχοντας κρίσιμες πληροφορίες σχετικά με την παραβίαση και τι μπορεί να κάνει για να λάβει περαιτέρω μέτρα προστασίας.

BIMI - Δείκτες μάρκας για την αναγνώριση μηνυμάτων

Ελπίζουμε ότι η συμπερίληψη του ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου BIMI θα προσφέρει περίπου 10% ώθηση στη δέσμευση μέσω της παραδοσιμότητας - αυτός ο αριθμός δεν πρέπει να λαμβάνεται ελαφρά τη καρδία.

Δεδομένου ότι αυτή η μέθοδος ελέγχου ταυτότητας βρίσκεται στα σπάργανα και περιμένει ακόμη την εισαγωγή της από πολλούς παρόχους ηλεκτρονικού ταχυδρομείου, υπάρχουν διάφορα βήματα που μπορούν να κάνουν οι χρήστες για να βεβαιωθούν ότι είναι έτοιμοι για τη μεγάλη εξάπλωση όταν τελικά φτάσει στους διακομιστές μας.

Το σίγουρο είναι ότι, δεδομένου ότι η Google περιλαμβάνει την ενσωμάτωση του BIMI στο G Suite, είναι θέμα χρόνου να το ακολουθήσει και ο υπόλοιπος κόσμος.

Πώς να προετοιμαστείτε για το BIMI;

Για να ενεργοποιήσετε τον έλεγχο ταυτότητας ηλεκτρονικού ταχυδρομείου BIMI, πρέπει πρώτα να πιστοποιήσετε τα μηνύματά σας με SPF, DKIM και DMARC, εξασφαλίζοντας ευθυγράμμιση (ο τομέας είναι ο ίδιος σε όλη τη διαδρομή). Η πολιτική DMARC πρέπει να επιβάλλεται είτε σε καραντίνα είτε σε απόρριψη και ο DNS του τομέα πρέπει να έχει τη σωστή εγγραφή BIMI.

Θα πρέπει επίσης να φιλοξενήσετε ένα κατάλληλο αρχείο λογότυπου ως σύνδεσμο για την αυθεντικοποίηση που θα προκύψει και θα εμφανίζεται στα εισερχόμενα μηνύματα των παραληπτών σας. Το λογότυπό σας θα πρέπει να είναι στη σωστή μορφή SVG και ενδεχομένως ένα VMC (Verified Mark Certificate) για την πιστοποίηση της αυθεντικότητας του αρχείου.

Πλήρης αυθεντικοποίηση για τις καμπάνιες email σας

Μάθαμε ότι κάθε μία από αυτές τις μεθόδους από μόνη της δεν θα προσφέρει κάποια λύση μιας στάσης για να κάνει τη ζωή μας απλή. Ωστόσο, με λίγη δουλειά για να συνδυάσετε κάθε ένα από τα συστήματα ως ένα, θα είστε πολύ πιο ασφαλείς στην παράδοση των εκστρατειών και των μηνυμάτων ηλεκτρονικού ταχυδρομείου σας από ό,τι θα μπορούσατε ποτέ χωρίς αυτά.

Αξίζει τον χρόνο και την προσπάθεια που απαιτείται, αν διασφαλίζει την προστασία της υπηρεσίας σας, των συνδρομητών σας και ενισχύει τη συνδεσιμότητα και τις αποδόσεις του μάρκετινγκ σας.

Καθαρισμός λίστας από Bouncer