Az e-mail biztonság sokkal több, mint ami elsőre látszik. Mindannyian jól tudjuk, hogy az e-mail az egyik legnehezebben elérhető terület a személyes adatok és érzékeny információk adathalászata szempontjából.

A hackerek egyre jobbak abban, hogy hitelesnek tűnő üzeneteket hozzanak létre, amelyek sokakat megtévesztenek, hogy rákattintsanak a cselekvésre való felhívásra, és megadják a hamisítóknak a keresett információkat - gyakran bejelentkezési adatokat és pénzügyi hozzáférést.

Email hitelesítés - mi az?

Az e-mail hitelesítés az a rendszer, amely az Ön hírnevének védelmét szolgálja azáltal, hogy e-mail kampány küldésekor ellenőrzi, hogy Ön az-e, akinek mondja magát. A négy fogalom elég egyszerű, mégis az egyes módszerek beállítása trükkös lehet. A kombinált védelem azonban olyan jó, mint amilyet a jelenlegi rendszereinkben be lehet állítani.

Melyek a lehetséges módszerek?

A négy tipikus e-mail hitelesítési módszer ma a következő:

  1. SPF - Feladói házirend-keretrendszer
    Ez a szabvány elvégzi az eredeti ellenőrzést, hogy megbizonyosodjon arról, hogy minden e-mail megbízható IP-címről érkezik.
  2. DKIM - DomainKeys Identified Mail
    Egy újabb személyazonosság-ellenőrzés, de ezúttal egy titkosítási kulcsot használ digitális aláírásként.
  3. DMARC - Domain Message Authentication Reporting and Conformance (Tartományi üzenethitelesítési jelentés és megfelelőség)
    A DMARC biztosítja, hogy az e-mail az SPF és a DKIM szabványnak is megfeleljen, mielőtt kézbesítik.
  4. BIMI - Márkajelzők az üzenet azonosításához
    A BIMI egy utolsó ellenőrzést végez, amely a feladó hitelességére és a feladó márkaképének a címzettben való megjelenítésére összpontosít. postaláda (ahol jelenleg támogatott).

Kicsit később mindegyiket alaposabban megnézzük, de előbb elmagyarázzuk, miért olyan fontosak, és egy kicsit elmagyarázzuk, hogyan működnek.

Hogyan működik az e-mail hitelesítés?

A hitelesítési módszerek mindegyike (SPF DKIM DMARC BIMI) egy biztonsági réteget alkalmaz az e-mailekre, amely az e-mail tartományát használja annak igazolására, hogy Ön az, akinek vallja magát.

  1. A feladó határozza meg a házirendjét/szabályait annak, hogy hogyan hitelesíti a tartományát.
  2. Ezután konfigurálják a tartomány DNS- és e-mail-kiszolgálókat a szabályok végrehajtásához.
  3. A címzett szerverek a bejövő e-maileket a tartomány DNS-éhez rögzített szabályok alapján ellenőrzik.
  4. Hitelesítés esetén a címzett szerver biztonságosan feldolgozza az e-mailt; ha a hitelesítés sikertelen, az üzenetet blokkolja, karanténba helyezi vagy a hitelesítési szabályoknak megfelelően kezeli.

Milyen előnyökkel jár?

Amint láthatja, ha nem állítja be az e-mail hitelesítést, akkor az elutasított e-mailek, a magasabb spamek és az alacsonyabb kézbesítési arányok kockázatát vállalja.

Az Ön aprólékosan átgondolt, szépen megtervezett és létrehozott üzenetei sokkal kisebb eséllyel landolnak a címzettek postaládájában.

Ami még rosszabb, hogy az e-mail hitelesítési módszerek nélkül az Ön márkája sokkal könnyebben hamisítható, így Ön és ügyfelei széles körben ki vannak téve az e-mailes támadásoknak, hackereknek és adathalászatnak.

E-mail hitelesítés beállítása

Ahhoz, hogy beállíthassa a domainjét az egyes hitelesítési módszerek kezelésére, a domain regisztrációs szolgáltatásán keresztül hozzáférésre van szüksége a DNS-beállításokhoz (Domain Name System).

A DNS-beállításokhoz való hozzáférés után különböző TXT és CNAME rekordokat adhat hozzá a domainjéhez.

A domainbeállítások értékeinek megismeréséhez az e-mail tárhelyszolgáltatóknál kell érdeklődnie. Ők megadják Önnek az SPF rekordok beállításait, a DKIM szelektorát a tárhelyükön belül generálják, és megmutatják, hogyan kell végrehajtani a DMARC házirendet, mivel a tárhelyek gyakran eltérőek a beállítások tekintetében.

Hozzáad egy másik TXT rekordot, amely tartalmaz egy BIMI rekordot, beleértve a márka képfájljának elérési útvonalát.

SPF - Feladói házirend-keretrendszer

Az SPF az e-mail fejlesztés kezdeti időszakában létrehozott szabványos hitelesítés. Míg a korai e-mail rendszerek számára alkalmas volt, a modern levelezési módszerek számára számos problémát rejt magában. Ezért van szükség mind a négy módszer felhasználására, hogy egyfajta teljes fedezetet nyújtson.

Az SPF rekordok egyszerű szövegben tárolódnak a tartomány DNS-ében, és meghatározzák a tartományból való küldésre jogosult IP-címeket.

Amikor a címzett e-mail kiszolgálója DNS-keresést végez az SPF-rekord lekérdezéséhez, az üzenet visszatérési útvonalában szereplő értéket használja.

Problémák az SPF-hitelesítéssel

Szintaxis - Annak ellenére, hogy szöveges rekordokról van szó, a DNS-rekordok bevitele során a szintaxis bonyolult lehet. Ha nem pontosak, akkor a hitelesítés sikertelen lesz, még akkor is, ha az üzenet és a feladó valódi.

Engedélyezett IP-címek azonosítása - A megosztott rendszerek, például a felhőplatformok, több szolgáltatást is fogadhatnak dinamikusan kiosztott IP-címekkel. Bár az IP meghatározható és engedélyezhető, az SPF-rekord használatával bárki más is használhatja ugyanazt a megosztott IP-t.

Az SPF hamisítható - az SPF a rejtett visszatérési útvonal mezőt használja a hitelesítéshez, nem pedig a "from" mezőt, amelyet a címzettek egyértelműen láthatnak. Egy hacker, aki adathalászatot folytat, bemutathat egy érvényes kereső domain és e-mail cím a "from" mezőben, de a saját e-mail címük a visszatérési útvonal, és saját hitelesítési rendszerüket használják a szerverellenőrzésen való átjutáshoz.

Az SPF nem támogatja az e-mail-továbbítást - A címzett kiszolgáló nem fogja érvényesíteni a továbbított üzenetet, mivel az azonosító tartomány a továbbító kiszolgálóé, nem pedig az eredeti tartományé.

Amint látja, ami egykor elfogadható módszer volt. most jelentősen hibás. Ez biztosítja az alapokat, amelyekre a nagyobb, átfogó biztonság érdekében építhetünk. Önálló módszerként azonban a mai technológiában egyszerűen nem elégséges.

 

DKIM - DomainKeys Identified Mail

A DKIM nyilvános/magánkulcsos titkosítást használ az e-mail üzenetek aláírására. Igazolja, hogy az e-maileket a domainről küldték, és hogy az e-mailt nem módosították az átvitel során.

Ez egy biztonságosabb hitelesítési módszer, mivel biztosítja, hogy az üzenetet nem változtatták meg a kézbesítés során. További előnye, hogy a DKIM-hitelesítés túléli az e-mail továbbítását.

A tartomány tulajdonosa kriptográfiai kulcsokat hoz létre párban: nyilvános és privát kulcsokat. A nyilvános kulcsot TXT rekordként helyezi el a domain DNS-ében. Amikor egy e-mailt elküldenek, az üzenet tartalma alapján egy "hash" generálódik. Ezt a hash-t a tartomány privát kulcsával titkosítják, és az e-mail fejlécéhez csatolják.

A címzett e-mail szervere a DNS-ben tárolt nyilvános kulcs segítségével olvassa el a titkosított információt, és ha minden egyezik, a hitelesítés megtörténik.

DKIM-szelektorok

Minden tartomány több szelektort is használhat. Ezek az értékek egyedi tulajdonságok, például aldomainek, felhasználók, helyszínek és szolgáltatások azonosítására szolgálnak. Minden szelektor a saját nyilvános kulcsával működik, lemondva egyetlen, közös kulcsról minden eshetőségre.

Problémák a DKIM hitelesítéssel

Eltérő aláírások - Egy érvényes DKIM aláírás teljesen más tartományt használhat, mint ami a "from" mezőben szerepel. Ez egyszerűvé teszi a más e-mail tartományból történő adathalászatot.

Kulcsbiztonság - Egy hacker, aki egy másik felhasználó domainjét használva írja alá az üzeneteket, az adott domain privát kulcsával tökéletesen hitelesítheti az e-mailjeit.

Kulcsok bevezetése és kezelése - A hosszabb, biztonságosabb kulcsok problémásak lehetnek a tartományi DNS-re való alkalmazáskor. Ezek a hosszú adatsorok könnyen tévesen alkalmazhatók, még másolás és beillesztés esetén is.

Ahhoz, hogy a DKIM a lehető legtöbbet hozza ki belőle, a DMARC-vel kell együttműködnie, így a "from" mezőben használt tartományt is be kell vonni a játékba. Most már láthatja, hogy az egyes rendszerek hogyan függenek az előző módszertől egy teljes és hatékony hitelesítési rendszer létrehozásához.

DMARC - Domain Message Authentication Reporting and Conformance (Tartományi üzenethitelesítési jelentés és megfelelőség)

Mint már említettük, a DMARC kikényszeríti a from mezőben megadott tartomány használatát, hogy megakadályozza, hogy a hackerek és támadók alternatív tartományokat használjanak a biztonsági ellenőrzések megkerülésére.

Tartalmaz egy jelentéstételi mechanizmust is, amely lehetővé teszi a küldő számára, hogy eldöntse, mit kezdjen a hitelesítési eredményekkel. A DMARC rekord szabályozza, hogy a címzett kiszolgálók hova és hogyan küldjenek jelentéseket.

A DMARC tulajdonképpen betömi az SPF és a DKIM közötti réseket, és növeli a e-mail kézbesíthetőség. A spamküldők nem tudnak többé visszaélni ezekkel a védett domainekkel; ezért a domain hírneve növekszik, és ezzel folyamatosan javul a kézbesíthetőségi arány.

DMARC végrehajtás

A DMARC rekord határozza meg, hogy mi a teendő az e-mailekkel, amelyeknek nem sikerült az engedélyezése. A házirendnek három kimenetele van: nem tesz semmit, karanténba helyezi vagy elutasítja. A DMARC-jelentés figyelmezteti a tartománytulajdonost, hogy honnan érkeztek az ilyen sikertelen üzenetek, és kritikus információkat nyújt a jogsértésről, valamint arról, hogy mit tehet a további védelmi lépések megtétele érdekében.

BIMI - Márkajelzők az üzenetazonosításhoz

A remények szerint a BIMI e-mail hitelesítéssel együtt körülbelül 10%-rel növelhető az elkötelezettség a kézbesíthetőségen keresztül - ez nem egy olyan szám, amit félvállról kell venni.

Mivel ez a hitelesítési módszer még gyerekcipőben jár, és sok e-mail szolgáltató még mindig vár a bevezetésére, a felhasználók számos lépést tehetnek annak érdekében, hogy felkészüljenek a nagyszabású bevezetésre, amikor végre eléri a szervereket.

Egy dolog biztos: mivel a Google a BIMI integrációját a G Suite-ba is beépíti, csak idő kérdése, hogy a világ többi része is felzárkózzon.

Hogyan készüljünk fel a BIMI-re?

A BIMI e-mail hitelesítés aktiválásához először hitelesítenie kell az e-maileket SPF, DKIM és DMARC segítségével, biztosítva az összehangolást (a tartomány mindenhol ugyanaz). A DMARC-házirendnek karanténban vagy elutasításban kell érvényesülnie, és a tartomány DNS-ének rendelkeznie kell a megfelelő BIMI-rekorddal.

Egy megfelelő logófájlt is kell elhelyeznie linkként, hogy a kapott hitelesítés megjelenhessen a címzettek postaládájában. A logónak a megfelelő SVG formátumban kell lennie, és esetleg egy VMC (Verified Mark Certificate) tanúsítványt kell tartalmaznia a fájl hitelesítéséhez.

Teljes körű hitelesítés az Ön e-mail kampányaihoz

Megtanultuk, hogy e módszerek mindegyike önmagában nem nyújt semmiféle egyablakos megoldást az élet egyszerűbbé tételére. Azonban egy kis munkával, hogy az egyes rendszereket egésszé egyesítsük, sokkal biztonságosabbá válik az e-mail kampányok és üzenetek kézbesítése, mint ahogyan az eddigiekben lehetséges volt. ever nélkülük.

Megéri a ráfordított időt és energiát, ha ez biztosítja a szolgáltatás és az előfizetők védelmét, valamint növeli a kapcsolódási lehetőségeket és a marketingtevékenység megtérülését.

Listatisztítás Bouncer által