Az e-mail biztonság sokkal több, mint ami elsőre látszik. Mindannyian jól tudjuk, hogy az e-mail az egyik legnehezebben elérhető terület a személyes adatok és érzékeny információk adathalászata szempontjából.
A hackerek egyre jobbak abban, hogy hitelesnek tűnő üzeneteket hozzanak létre, amelyek sokakat megtévesztenek, hogy rákattintsanak a cselekvésre való felhívásra, és megadják a hamisítóknak a keresett információkat – gyakran bejelentkezési adatokat és pénzügyi hozzáférést.
Email hitelesítés – mi az?
Email hitelesítés is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Melyek a lehetséges módszerek?
A négy tipikus e-mail hitelesítési módszer ma a következő:
- SPF – Feladói házirend-keretrendszer
Ez a szabvány elvégzi az eredeti ellenőrzést, hogy megbizonyosodjon arról, hogy minden e-mail megbízható IP-címről érkezik. - DKIM – DomainKeys Identified Mail
Egy újabb személyazonosság-ellenőrzés, de ezúttal egy titkosítási kulcsot használ digitális aláírásként. - DMARC – Domain Message Authentication Reporting and Conformance (Tartományi üzenethitelesítési jelentés és megfelelőség)
A DMARC biztosítja, hogy az e-mail az SPF és a DKIM szabványnak is megfeleljen, mielőtt kézbesítik. - BIMI – Márkajelzők az üzenetazonosításhoz
A BIMI egy utolsó ellenőrzést végez, amely a feladó hitelességére összpontosít, és a feladó márkaképét jeleníti meg a címzett postaládájában (ahol jelenleg támogatott).
Kicsit később mindegyiket alaposabban megnézzük, de előbb elmagyarázzuk, miért olyan fontosak, és egy kicsit elmagyarázzuk, hogyan működnek.
Hogyan működik az e-mail hitelesítés?
A hitelesítési módszerek mindegyike (SPF DKIM DMARC BIMI) egy biztonsági réteget alkalmaz az e-mailekre, amely az e-mail tartományát használja annak igazolására, hogy Ön az, akinek vallja magát.
- A feladó határozza meg a házirendjét/szabályait annak, hogy hogyan hitelesíti a tartományát.
- Ezután konfigurálják a tartomány DNS- és e-mail-kiszolgálókat a szabályok végrehajtásához.
- A címzett szerverek a bejövő e-maileket a tartomány DNS-éhez rögzített szabályok alapján ellenőrzik.
- Hitelesítés esetén a címzett szerver biztonságosan feldolgozza az e-mailt; ha a hitelesítés sikertelen, az üzenetet blokkolja, karanténba helyezi vagy a hitelesítési szabályoknak megfelelően kezeli.
Milyen előnyökkel jár?
Amint láthatja, ha nem állítja be az e-mail hitelesítést, akkor az elutasított e-mailek, a magasabb spamek és az alacsonyabb kézbesítési arányok kockázatát vállalja.
Az Ön aprólékosan átgondolt, szépen megtervezett és létrehozott üzenetei sokkal kisebb eséllyel landolnak a címzettek postaládájában.
Ami még rosszabb, hogy az e-mail hitelesítési módszerek nélkül az Ön márkája sokkal könnyebben hamisítható, így Ön és ügyfelei széles körben ki vannak téve az e-mailes támadásoknak, hackereknek és adathalászatnak.
E-mail hitelesítés beállítása
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
A DNS-beállításokhoz való hozzáférés után különböző TXT és CNAME rekordokat adhat hozzá a domainjéhez.
A domainbeállítások értékeinek megismeréséhez az e-mail tárhelyszolgáltatóknál kell érdeklődnie. Ők megadják Önnek az SPF rekordok beállításait, a DKIM szelektorát a tárhelyükön belül generálják, és megmutatják, hogyan kell végrehajtani a DMARC házirendet, mivel a tárhelyek gyakran eltérőek a beállítások tekintetében.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Feladói házirend-keretrendszer
Az SPF az e-mail fejlesztés kezdeti időszakában létrehozott szabványos hitelesítés. Míg a korai e-mail rendszerek számára alkalmas volt, a modern levelezési módszerek számára számos problémát rejt magában. Ezért van szükség mind a négy módszer felhasználására, hogy egyfajta teljes fedezetet nyújtson.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Amikor a címzett e-mail kiszolgálója DNS-keresést végez az SPF-rekord lekérdezéséhez, az üzenet visszatérési útvonalában szereplő értéket használja.
Problémák az SPF-hitelesítéssel
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Engedélyezett IP-címek azonosítása – A megosztott rendszerek, például a felhőplatformok, több szolgáltatást is fogadhatnak dinamikusan kiosztott IP-címekkel. Bár az IP meghatározható és engedélyezhető, az SPF-rekord használatával bárki más is használhatja ugyanazt a megosztott IP-t.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
Az SPF nem támogatja az e-mail-továbbítást – A címzett kiszolgáló nem fogja érvényesíteni a továbbított üzenetet, mivel az azonosító tartomány a továbbító kiszolgálóé, nem pedig az eredeti tartományé.
Amint látja, ami egykor elfogadható módszer volt, ma már jelentősen hibás. Ez biztosítja az alapokat, amelyekre a nagyobb, átfogó biztonság érdekében építhetünk. Önálló módszerként azonban a mai technológiában egyszerűen nem elégséges.
DKIM – DomainKeys Identified Mail
A DKIM nyilvános/magánkulcsos titkosítást használ az e-mail üzenetek aláírására. Igazolja, hogy az e-maileket a domainről küldték, és hogy az e-mailt nem módosították az átvitel során.
Ez egy biztonságosabb hitelesítési módszer, mivel biztosítja, hogy az üzenetet nem változtatták meg a kézbesítés során. További előnye, hogy a DKIM-hitelesítés túléli az e-mail továbbítását.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
A címzett e-mail szervere a DNS-ben tárolt nyilvános kulcs segítségével olvassa el a titkosított információt, és ha minden egyezik, a hitelesítés megtörténik.
DKIM-szelektorok
Minden tartomány több szelektort is használhat. Ezek az értékek egyedi tulajdonságok, például aldomainek, felhasználók, helyszínek és szolgáltatások azonosítására szolgálnak. Minden szelektor a saját nyilvános kulcsával működik, lemondva egyetlen, közös kulcsról minden eshetőségre.
Problémák a DKIM hitelesítéssel
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple folyamat .
Kulcsbiztonság – Egy hacker, aki egy másik felhasználó domainjét használva írja alá az üzeneteket, az adott domain privát kulcsával tökéletesen hitelesítheti az e-mailjeit.
Kulcsok bevezetése és kezelése – A hosszabb, biztonságosabb kulcsok problémásak lehetnek a tartományi DNS-re való alkalmazáskor. Ezek a hosszú adatsorok könnyen tévesen alkalmazhatók, még másolás és beillesztés esetén is.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – Domain Message Authentication Reporting and Conformance (Tartományi üzenethitelesítési jelentés és megfelelőség)
As already mentioned, DMARC enforces the use of the domain set in the from field to megakadályozza a hackers and attackers from using alternate domains to bypass safety checks.
Tartalmaz egy jelentéstételi mechanizmust is, amely lehetővé teszi a küldő számára, hogy eldöntse, mit kezdjen a hitelesítési eredményekkel. A DMARC rekord szabályozza, hogy a címzett kiszolgálók hova és hogyan küldjenek jelentéseket.
A DMARC tulajdonképpen betömi az SPF és a DKIM közötti réseket, és növeli az e-mail kézbesíthetőségét. A spamküldők nem tudnak többé visszaélni ezekkel a védett domainekkel, ezért a domain hírneve növekszik, és ezzel folyamatosan javul a kézbesíthetőségi arány.
DMARC végrehajtás
A DMARC rekord határozza meg, hogy mi a teendő az e-mailekkel, amelyeknek nem sikerült az engedélyezése. A házirendnek három kimenetele van: nem tesz semmit, karanténba helyezi vagy elutasítja. A DMARC-jelentés figyelmezteti a tartománytulajdonost, hogy honnan érkeztek az ilyen sikertelen üzenetek, és kritikus információkat nyújt a jogsértésről, valamint arról, hogy mit tehet a további védelmi lépések megtétele érdekében.
BIMI – Márkajelzők az üzenetazonosításhoz
A remények szerint a BIMI e-mail hitelesítéssel együtt körülbelül 10%-rel növelhető az elkötelezettség a kézbesíthetőségen keresztül – ez nem egy olyan szám, amit félvállról kell venni.
Mivel ez a hitelesítési módszer még gyerekcipőben jár, és sok e-mail szolgáltató még mindig vár a bevezetésére, a felhasználók számos lépést tehetnek annak érdekében, hogy felkészüljenek a nagyszabású bevezetésre, amikor végre eléri a szervereket.
Egy dolog biztos: mivel a Google a BIMI integrációját a G Suite-ba is beépíti, csak idő kérdése, hogy a világ többi része is felzárkózzon.
Hogyan készüljünk fel a BIMI-re?
A BIMI e-mail hitelesítés aktiválásához először hitelesítenie kell az e-maileket SPF, DKIM és DMARC segítségével, biztosítva az összehangolást (a tartomány mindenhol ugyanaz). A DMARC-házirendnek karanténban vagy elutasításban kell érvényesülnie, és a tartomány DNS-ének rendelkeznie kell a megfelelő BIMI-rekorddal.
Egy megfelelő logófájlt is kell elhelyeznie linkként, hogy a kapott hitelesítés megjelenhessen a címzettek postaládájában. A logónak a megfelelő SVG formátumban kell lennie, és esetleg egy VMC (Verified Mark Certificate) tanúsítványt kell tartalmaznia a fájl hitelesítéséhez.
Teljes körű hitelesítés az Ön e-mail kampányaihoz
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Előfizetők and boosts the connectivity and returns on your marketing.