E-posti autentimismeetodid - SPF, DKIM, DMARC ja BIMI põhitõed.

E-posti autentimine - mis see on?

E-posti autentimine on süsteem, mis on loodud teie maine kaitsmiseks, kontrollides e-kirjakampaania saatmisel, et te olete see, kes te väidate end olevat. Need neli mõistet on piisavalt lihtsad, kuid iga meetodi seadistamine võib olla keeruline. Kombineerituna on pakutav kaitse siiski nii hea, kui meie praeguste süsteemide raames on võimalik kehtestada.

Millised on võimalikud meetodid?

Neli tüüpilist e-posti autentimise meetodit on tänapäeval järgmised:

1. SPF - saatjapoliitika raamistik
   See standard teostab esialgse kontrolli, et veenduda, et iga e-kiri pärineb usaldusväärselt IP-aadressilt.
2. DKIM - domeenivõtmete tuvastatud post
   Veel üks identiteedi kontroll, kuid seekord kasutatakse krüpteerimisvõtit digitaalallkirjana.
3. DMARC - domeenisõnumite autentimisest teatamine ja vastavusnõuded
   DMARC tagab, et e-kirjad vastavad nii SPF- kui ka DKIM-koodile enne nende edastamist.
4. BIMI - sõnumi identifitseerimiseks kasutatavad kaubamärgiindikaatorid (Brand Indicators for Message Identification)
   BIMI teostab veel ühe viimase kontrolli, keskendudes saatja usaldusväärsusele ja kuvades saatja brändi kuvandit vastuvõtja postkastis (kui see on praegu toetatud).

Kõiki neid vaatleme põhjalikumalt veidi hiljem, kuid kõigepealt selgitame, miks nad on nii olulised ja kuidas nad töötavad.

Kuidas toimib e-posti autentimine?

Iga autentimismeetod (SPF DKIM DMARC BIMI) rakendab teie e-kirjadele turvakihti, kasutades teie e-posti domeeni, et kontrollida, kas olete see, kes te väidate end olevat.

1. Saatja määrab poliitika/reeglid, kuidas tema domeeni autentimine toimub.
2. Seejärel konfigureerivad nad domeeni DNS- ja e-posti servereid nende reeglite rakendamiseks.
3. Vastuvõtja serverid kontrollivad sissetulevat e-posti, kontrollides seda domeeni DNS-i fikseeritud reeglite alusel.
4. Autentimise korral töötleb vastuvõtja server e-kirja turvaliselt; kui autentimine ebaõnnestub, blokeeritakse sõnum või paigutatakse see karantiini või hallatakse vastavalt autentimisotsusele.

Millised on eelised?

Nagu näete, kui te ei ole seadistanud oma e-posti autentimist, siis on oht, et teie kirjad lükatakse tagasi, rämpsposti osakaal on suurem ja kättetoimetamise määr väiksem.

Teie hoolikalt läbimõeldud, kaunilt kujundatud ja loodud sõnumitel on palju vähem võimalusi sattuda postkastidesse, millele need on mõeldud.

Veelgi hullem on see, et ilma e-posti autentimismeetoditeta on teie kaubamärki palju lihtsam võltsida, jättes teid ja teie kliente avatuks e-posti rünnakutele, häkkimisele ja andmepüügile.

E-posti autentimise seadistamine

Selleks, et seadistada oma domeeni iga autentimismeetodi haldamiseks, on vaja juurdepääsu DNS-seadetele (Domeeninimi System) oma domeeni registreerimisteenuse kaudu.

Kui pääsete DNS-sätetele, lisate oma domeenile erinevaid TXT- ja CNAME-kirjeid.

Oma domeeni seadete väärtuste väljaselgitamiseks peate kontrollima oma e-posti hostidelt. Nad annavad teile oma SPF-kirjete seaded, genereerivad teie DKIM-valiku oma hostimisalas ja näitavad teile, kuidas rakendada teie DMARC-poliitikat, sest hostid on sageli erinevalt konfigureeritud.

Te lisate teise TXT kirje, et lisada BIMI kirje, sealhulgas tee oma kaubamärgini pildifail.

SPF - saatjapoliitika raamistik

SPF on e-posti arendamise algusaegadel loodud standardne autentimine. Kui kunagi sobis see varajaste e-kirjasüsteemide jaoks, siis tänapäevaste postimeetodite puhul on sellega mitmeid probleeme. Seetõttu on vaja kasutada kõiki nelja meetodit, et pakkuda täielikku katet.

SPF-kirjed on salvestatud tavalises tekstis domeeni DNS-i sees ja dikteerivad IP-aadressid, millel on luba saata domeenist.

Kui vastuvõtja e-posti server teeb SPF-kirje saamiseks DNS-otsingu, kasutab ta sõnumi tagasipöördumise tee väärtust.

SPF-autentimisega seotud probleemid

Süntaks - Vaatamata sellele, et tegemist on tekstikirjetega, on süntaks võib muutuda keeruliseks DNS kirjete sisestamisel. Kui need ei ole täpsed, siis autentimine ebaõnnestub, isegi kui sõnum ja saatja on ehtsad.

Heakskiidetud IP-aadresside tuvastamine - ühiselt kasutatavad süsteemid, näiteks pilveplatvormid, võivad võõrustada mitmeid teenuseid, millel on dünaamiliselt määratud IP-aadressid. Kuigi IP-aadressi saab kindlaks määrata ja autoriseerida, võib see lubada ka kellelgi teisel kasutada sama jagatud IP-aadressi, kasutades oma SPF-kirjet.

SPF-i saab võltsida - SPF kasutab autentimiseks varjatud tagasipöördumistee välja, mitte "from"-välja, mida adressaadid saavad selgelt näha. Häkker, kes püüab teavet, võib esitada väljal "from" kehtiva domeeni ja e-posti aadressi, kuid tagasisidepolguna kasutada oma e-posti aadressi, kasutades oma autentimissüsteemi, et pääseda läbi serveri kontrollide.

SPF ei toeta e-posti edastamist - Vastuvõtja server ei suuda edastada edastatud sõnumit kinnitada, sest identifitseeriv domeen on edastava serveri, mitte algse domeeni domeen.

Nagu näete, on see, mis kunagi oli vastuvõetav meetod, nüüd oluliselt vigane. See annab alused, millele saab ehitada suurema kõikehõlmava turvalisuse saavutamiseks. Eraldi meetodina ei ole see aga tänapäevase tehnoloogia juures lihtsalt piisav.

DKIM - domeenivõtmete tuvastatud post

DKIM kasutab e-kirjade allkirjastamiseks avaliku/privaatvõtme krüpteerimist. See kinnitab, et e-kirjad on saadetud domeenilt ja et e-kirju ei ole transiidi käigus muudetud.

See on turvalisem autentimismeetod, kuna see tagab, et sõnumit ei ole edastamise ajal muudetud. Teine eelis on see, et DKIM-autentimine säilib ka e-posti edastamisel.

Domeeni omanik loob krüptograafilised võtmed paarikaupa: avalik ja privaatne. Avalik võti paigutatakse TXT-kirjana domeeni DNS-i. Kui e-kiri saadetakse, genereeritakse "hash", mille aluseks on sõnumi sisu. See hash krüpteeritakse domeeni privaatvõtmega ja lisatakse e-kirja päisesse.

Vastuvõtja e-posti server loeb krüpteeritud teavet, kasutades DNS-is hoitavat avalikku võtit, ja kui kõik vastab, siis toimub autentimine.

DKIM-selektorid

Iga domeen võib kasutada mitut selektorit. Neid väärtusi kasutatakse unikaalsete omaduste, näiteks alamdomeenide, kasutajate, asukohtade ja teenuste tuvastamiseks. Iga selektor kasutab oma avalikku võtit, loobudes ühest ühisest võtmest kõigi võimaluste jaoks.

Probleemid DKIM-autentimisega

Ebaühtlased allkirjad - kehtiv DKIM-allkiri võib kasutada täiesti erinevat domeeni kui see, mis on näidatud väljal "from". See muudab andmepüügi teisest e-posti domeenist lihtsaks. protsess.

Võtmeturve - teise kasutaja domeeni kasutades sõnumeid allkirjastav häkker võib oma e-kirju suurepäraselt kinnitada, kasutades selle domeeni privaatvõtit.

Võtmete rakendamine ja haldamine - Pikad ja turvalisemad võtmed võivad olla problemaatilised, kui neid kohaldatakse domeeni DNS-i suhtes. Neid pikki andmeridu on lihtne valesti rakendada, isegi kopeerimisel ja kleepimisel.

Et DKIM saaks parimat tulemust, tuleb see ühendada DMARCiga, mis toob mängu domeeni, mida kasutatakse väljal "from". Nüüd näete, kuidas iga süsteem sõltub eelmisest meetodist, et luua terviklik ja tõhus autentimissüsteem.

DMARC - domeenisõnumite autentimisest teatamine ja vastavusnõuded

Nagu juba mainitud, sunnib DMARC kasutama domeeni, mis on määratud väljale from. vältida häkkerid ja ründajad ei saa kasutada alternatiivseid domeene turvakontrollist möödahiilimiseks.

See sisaldab ka aruandlusmehhanismi, mis võimaldab saatjal otsustada, mida teha autentimise tulemustega. DMARC-kirje kontrollib, kuhu ja kuidas vastuvõtja serverid aruandeid saadavad.

Tegelikult täidab DMARC SPF-i ja DKIM-i vahelised lüngad ja parandab e-kirjade kättetoimetatavust. Rämpsposti saatjad ei saa enam neid kaitstud domeene väärkasutada; seetõttu paraneb domeeni maine, mis parandab kogu aeg kättetoimetamismäärasid.

DMARC jõustamine

DMARC-kirje dikteerib, mida teha e-kirjadega, mille autoriseerimine ei õnnestu. Poliitikal on kolm tulemust: mitte midagi teha, karantiini panna või tagasi lükata. DMARC-aruanne teavitab domeeniomanikku sellest, kust sellised ebaõnnestunud sõnumid on tulnud, andes kriitilist teavet rikkumise kohta ja mida ta saab teha edasiste kaitsemeetmete võtmiseks.

BIMI - sõnumi identifitseerimiseks kasutatavad kaubamärgiindikaatorid (Brand Indicators for Message Identification)

Loodetakse, et BIMI e-posti autentimise lisamine annab umbes 10% tõuke kaasatuse suurendamiseks kättetoimetamise kaudu - see on number, mida ei saa kergekäeliselt võtta.

Arvestades, et see autentimismeetod on alles lapsekingades ja ootab veel paljude e-posti teenusepakkujate kasutuselevõtmist, saavad kasutajad astuda mitmeid samme, et olla valmis suureks kasutuselevõtuks, kui see lõpuks meie serveritesse jõuab.

Üks asi on kindel, arvestades, et Google kaasab BIMI integratsiooni G Suite'i, peaks olema vaid aja küsimus, millal ülejäänud maailm järele jõuab.

Kuidas valmistuda BIMIks?

BIMI e-posti autentimise aktiveerimiseks peate kõigepealt autentima oma e-kirjad SPF, DKIM ja DMARC abil, tagades ühtlustamise (domeen on kogu aeg sama). DMARC-poliitika peab olema jõustatud kas karantiini või tagasilükkamise juures ja domeeni DNS peab olema õige BIMI-kirje.

Samuti tuleb teil majutada sobiv logofail lingina, et saadud autentimine kuvataks teie vastuvõtjate postkastides. Teie logo peab olema õiges SVG-vormingus ja võimaluse korral VMC (Verified Mark Certificate), et faili autentida.

Täielik autentimine teie e-posti kampaaniate jaoks

Me oleme õppinud, et igaüks neist meetoditest eraldi ei paku mingisugust ühekordset lahendust, mis muudaks elu lihtsaks. Kui aga teha veidi tööd, et tuua kõik süsteemid üheks tervikuks kokku, saate palju turvalisemalt oma e-kampaaniad ja sõnumid kui te võiksite kunagi ilma nendeta.

See on seda aega ja vaeva väärt, kui see tagab teie teenuse kaitse, teie tellijad ning suurendab teie turunduse ühenduvust ja tulu.