El. pašto autentiškumo patvirtinimo metodai - SPF, DKIM, DMARC ir BIMI pagrindai

2021 m. balandis 2
7

El. pašto saugumas yra daug daugiau nei atrodo iš pirmo žvilgsnio. Visi gerai žinome, kad el. paštas yra viena sunkiausiai pažeidžiamų sričių, kai apgaulės būdu išviliojami asmeniniai duomenys ir slapta informacija.

Įsilaužėliai vis geriau kuria autentiškai atrodančius pranešimus, kurie daugelį suklaidina ir priverčia spustelėti raginimą atlikti veiksmą bei pateikti apgavikams jų ieškomą informaciją - dažnai prisijungimo duomenis ir finansinę prieigą.

El. pašto autentiškumo patvirtinimas - kas tai?

El. pašto autentiškumo patvirtinimas yra sistema, skirta jūsų reputacijai apsaugoti, nes siunčiant el. pašto kampaniją tikrinama, ar esate tas, kas sakote, kad esate. Šios keturios sąvokos yra pakankamai paprastos, tačiau nustatyti kiekvieną iš metodų gali būti sudėtinga. Tačiau kartu siūloma apsauga yra tokia gera, kokią galite įdiegti pagal dabartines mūsų sistemas.

Kokie galimi metodai?

Šiuo metu taikomi šie keturi tipiniai el. pašto autentifikavimo metodai:

  1. SPF - Siuntėjo politikos sistema
    Pagal šį standartą atliekamas pirminis patikrinimas, ar kiekvienas el. laiškas siunčiamas iš patikimo IP adreso.
  2. DKIM - DomainKeys Identified Mail
    Dar vienas tapatybės patikrinimas, tačiau šį kartą kaip skaitmeninis parašas naudojamas šifravimo raktas.
  3. DMARC - pranešimų apie domeno pranešimų autentiškumo nustatymą ir atitiktį
    DMARC užtikrina, kad prieš pristatant el. laiškus jie atitiktų SPF ir DKIM reikalavimus.
  4. BIMI - prekės ženklo indikatoriai pranešimams identifikuoti
    BIMI atlieka paskutinį patikrinimą, daugiausia dėmesio skirdamas siuntėjo patikimumui ir siuntėjo prekės ženklo įvaizdžio rodymui gavėjo gautųjų laiškų dėžutėje (jei šiuo metu palaikoma).

Kiekvieną iš jų išsamiau apžvelgsime šiek tiek toliau, tačiau pirmiausia paaiškinsime, kodėl jos tokios svarbios, ir šiek tiek papasakosime, kaip jos veikia.

Kaip veikia el. pašto autentifikavimas?

Kiekvienas iš autentiškumo patvirtinimo metodų (SPF DKIM DMARC BIMI) jūsų el. laiškams taiko tam tikrą saugumo lygį, naudodamas jūsų el. pašto domeną, kad patikrintų, ar esate tas, už kurį dedatės.

  1. Siuntėjas nustato savo domeno autentiškumo nustatymo politiką ir (arba) taisykles.
  2. Tada jie sukonfigūruoja domeno DNS ir el. pašto serverius šioms taisyklėms įgyvendinti.
  3. Gavėjų serveriai tikrina gautą el. laišką, tikrindami jį pagal domeno DNS nustatytas taisykles.
  4. Kai autentiškumas patvirtinamas, gavėjo serveris saugiai apdoroja el. laišką; jei autentiškumo patvirtinimas nepavyksta, laiškas blokuojamas, siunčiamas į karantiną arba tvarkomas pagal autentiškumo patvirtinimo sprendimą.

Kokia nauda?

Kaip matote, jei nenustatysite el. pašto autentiškumo patvirtinimo, rizikuojate, kad el. laiškai bus atmesti, padidės nepageidaujamų laiškų kiekis ir sumažės pristatymo rodikliai.

Jūsų kruopščiai apgalvoti, gražiai suprojektuoti ir sukurti pranešimai turi daug mažiau galimybių patekti į jiems skirtas pašto dėžutes.

Dar blogiau, jei nesiimate el. pašto autentifikavimo metodų, jūsų prekės ženklą daug lengviau suklastoti, todėl jūs ir jūsų klientai gali tapti atviri el. pašto atakoms, įsilaužimams ir sukčiavimui.

El. pašto autentifikavimo nustatymas

Norėdami nustatyti, kad jūsų domenas valdytų kiekvieną autentifikavimo metodą, turite turėti prieigą prie DNS nustatymų (Domeno vardas sistema) per savo domeno registracijos paslaugą.

Kai pasieksite DNS nustatymus, prie savo domeno pridėsite įvairius TXT ir CNAME įrašus.

Norėdami sužinoti savo domeno nustatymų reikšmes, turite kreiptis į el. pašto paslaugų teikėjus. Jie pateiks jums SPF įrašų nustatymus, sukurs DKIM selektorių iš savo prieglobos srities ir parodys, kaip įgyvendinti DMARC politiką, nes prieglobos paslaugų teikėjų konfigūracijos dažnai skiriasi.

Pridėsite kitą TXT įrašą, į kurį bus įtrauktas BIMI įrašas, įskaitant kelią į jūsų prekės ženklą. vaizdo failas.

SPF - Siuntėjo politikos sistema

SPF - tai standartinis autentiškumo patvirtinimas, sukurtas ankstyvuoju el. pašto kūrimo laikotarpiu. Kadaise jis buvo tinkamas ankstyvosioms el. pašto sistemoms, o dabar jis kelia nemažai problemų šiuolaikiniams el. pašto metodams. Štai kodėl būtina naudoti visus keturis metodus, kad būtų galima užtikrinti visišką apsaugą.

SPF įrašai saugomi paprastu tekstu domeno DNS ir nurodo IP adresai, turintys leidimą siųsti iš domeno.

Kai gavėjo el. pašto serveris atlieka DNS paiešką, norėdamas gauti SPF įrašą, jis naudoja reikšmę, nurodytą žinutės grįžimo kelyje.

SPF autentiškumo patvirtinimo problemos

Sintaksė - Nors tai yra teksto įrašai, įvedant DNS įrašus sintaksė gali būti sudėtinga. Jei jie netikslūs, autentiškumo nustatymas bus nesėkmingas, net jei pranešimas ir siuntėjas yra tikri.

Patvirtintų IP adresų nustatymas - Bendrai naudojamose sistemose, pavyzdžiui, debesų platformose, gali būti teikiamos kelios paslaugos su dinamiškai priskiriamais IP adresais. Nors IP gali būti nustatytas ir patvirtintas, taip pat gali būti leista bet kam kitam naudoti tą patį bendrai naudojamą IP, naudojant jūsų SPF įrašą.

SPF gali būti suklastotas - SPF autentiškumui patvirtinti naudoja paslėptą grįžimo kelio lauką, o ne lauką "iš", kurį gavėjai gali aiškiai matyti. Įsilaužėlis, norėdamas gauti informacijos, gali pateikti teisingą domeną ir el. pašto adresą lauke "nuo", tačiau kaip grįžimo kelią nurodyti savo el. pašto adresą, naudodamasis savo autentifikavimo sistema, kad išvengtų serverio patikrinimų.

SPF nepalaiko el. pašto persiuntimo - gavėjo serveris nepatvirtina persiųsto pranešimo, nes identifikuojantis domenas yra persiuntimo serverio, o ne pradinio domeno domenas.

Kaip matote, anksčiau buvęs priimtinas metodas dabar turi esminių trūkumų. Jame pateikiami pagrindai, kuriais galima remtis siekiant didesnio visuotinio saugumo. Tačiau kaip atskiras metodas jis tiesiog netinka šiuolaikinėms technologijoms.

DKIM - DomainKeys Identified Mail

DKIM el. pašto pranešimams pasirašyti naudojamas viešojo ir privataus rakto šifravimas. Jis patvirtina, kad el. laiškai buvo išsiųsti iš domeno ir kad laiškas nebuvo pakeistas jį siunčiant.

Tai saugesnis autentiškumo patvirtinimo metodas, nes užtikrinama, kad pranešimas nebuvo pakeistas pristatymo metu. Kitas privalumas - DKIM autentiškumo patvirtinimas išlieka ir po el. pašto persiuntimo.

Domenų savininkas sukuria kriptografinius raktus poromis: viešąjį ir privatųjį. Viešasis raktas domeno DNS pateikiamas kaip TXT įrašas. Kai siunčiamas el. laiškas, pagal šį kodą sukuriamas "hash". pranešimo turinys. Šis slaptažodis užšifruojamas domeno privačiu raktu ir pridedamas prie el. laiško antraštės.

Gavėjo el. pašto serveris perskaito užšifruotą informaciją, naudodamas viešąjį raktą, esantį DNS, ir jei viskas sutampa, autentiškumas patvirtinamas.

DKIM selektoriai

Kiekviename domene gali būti naudojami keli selektoriai. Šios reikšmės naudojamos unikalioms savybėms, pavyzdžiui, subdomenams, naudotojams, vietoms ir paslaugoms, identifikuoti. Kiekvienas selektorius veikia naudodamas savo viešąjį raktą, atsisakydamas vieno bendro rakto visiems atvejams.

DKIM autentiškumo patvirtinimo problemos

Nesutampantys parašai - galiojančiame DKIM paraše gali būti naudojamas visiškai kitas domenas, nei nurodytas lauke "from". Dėl to sukčiavimas iš kito el. pašto domeno yra paprastas procesas.

Rakto saugumas - įsilaužėlis, pasirašantis pranešimus naudodamas kito naudotojo domeną, gali puikiai patvirtinti savo el. laiškus naudodamas to domeno privatų raktą.

Ilgesni ir saugesni raktai gali būti problemiški, kai taikomi domeno DNS. Tokias ilgas duomenų eilutes lengva neteisingai pritaikyti net kopijuojant ir įterpiant.

Norint kuo geriau išnaudoti DKIM, jį reikia sujungti su DMARC, kad būtų galima naudoti domeną, naudojamą lauke "from". Dabar matote, kaip kiekviena sistema priklauso nuo ankstesnio metodo, kad būtų sukurta išbaigta ir veiksminga autentifikavimo sistema.

DMARC - pranešimų apie domeno pranešimų autentiškumo nustatymą ir atitiktį

Kaip jau buvo minėta, DMARC užtikrina, kad domenas, nustatytas lauke from, būtų naudojamas užkirsti kelią įsilaužėliams ir užpuolikams, kurie, norėdami apeiti saugos patikrinimus, gali naudoti alternatyvius domenus.

Jame taip pat yra ataskaitų teikimo mechanizmas, leidžiantis siuntėjui nuspręsti, ką daryti su autentiškumo nustatymo rezultatais. DMARC įrašas kontroliuoja, kur ir kaip gavėjo serveriai siunčia ataskaitas.

DMARC užpildo SPF ir DKIM spragas ir padidina el. pašto pristatymo galimybes. Spameriai nebegali piktnaudžiauti šiais apsaugotais domenais, todėl didėja domeno reputacija ir gerėja laiškų pristatymo rodikliai.

DMARC vykdymo užtikrinimas

DMARC įraše nurodoma, ką daryti su el. laiškais, kurių nepavyksta autorizuoti. Politikoje numatyti trys rezultatai: nieko nedaryti, patalpinti į karantiną arba atmesti. DMARC ataskaita įspėja domeno savininką apie tai, iš kur atėjo tokie nesėkmingi pranešimai, ir suteikia svarbios informacijos apie pažeidimą ir ką jis gali padaryti, kad imtųsi tolesnių apsaugos priemonių.

BIMI - prekės ženklo indikatoriai pranešimams identifikuoti

Tikimasi, kad įtraukus BIMI el. pašto autentiškumo patvirtinimą, įsitraukimas dėl pristatymo galimybių padidės maždaug 10% - tai nėra lengvas skaičius.

Atsižvelgiant į tai, kad šis autentiškumo patvirtinimo metodas dar tik pradedamas taikyti ir daugelis el. pašto paslaugų teikėjų dar tik laukia jo įdiegimo, naudotojai gali imtis keleto veiksmų, kad būtų pasiruošę, kai jis pagaliau bus pradėtas naudoti mūsų serveriuose.

Viena aišku, atsižvelgiant į tai, kad "Google" įtraukia BIMI integraciją į "G Suite", turėtų būti tik laiko klausimas, kada pasivys ir kitas pasaulis.

Kaip pasiruošti BIMI?

Norėdami įjungti BIMI el. pašto autentifikavimą, pirmiausia turite patvirtinti savo el. laiškų autentiškumą naudodami SPF, DKIM ir DMARC, užtikrindami suderinimą (domenas yra tas pats). DMARC politika turi būti vykdoma karantine arba atmesti, o domeno DNS turi būti teisingas BIMI įrašas.

Taip pat turėsite patalpinti atitinkamą logotipo failą kaip nuorodą, kad gautas autentiškumo patvirtinimas būtų rodomas gavėjų pašto dėžutėse. Jūsų logotipas turės būti tinkamo SVG formato ir, galbūt, VMC (Verified Mark Certificate), kad būtų galima patvirtinti failo autentiškumą.

Visiškas el. pašto kampanijų autentiškumo patvirtinimas

Sužinojome, kad kiekvienas iš šių metodų pats savaime nesuteiks jokio vienintelio sprendimo, kuris palengvintų gyvenimą. Tačiau šiek tiek padirbėję, kad kiekviena iš šių sistemų būtų sujungta į vieną, būsite kur kas saugesni pristatydami savo el. pašto kampanijų ir pranešimų, nei galėtumėte kada nors be jų.

Verta skirti tam laiko ir pastangų, jei tai užtikrins jūsų paslaugos apsaugą, jūsų abonentai ir didina jūsų rinkodaros ryšį bei grąžą.

Linija ir taškai

Populiariausi mūsų tinklaraštyje

Tinklaraščio įrašas Bouncer

Kaip patikrinti, ar el. pašto adresas yra tikras, ar suklastotas: Kaip išsiaiškinti, ar el. pašto adresas

Izabela Harbarczyk
Skaityti daugiau
Tinklaraščio įrašas Bouncer

Kaip patikrinti, ar el. pašto adresas yra galiojantis: Galutinis vadovas: kaip išsiaiškinti, ar el.

Izabela Harbarczyk
Skaityti daugiau
Tinklaraščio įrašas Bouncer

El. pašto paskyra: Vienintelis vadovas pradedantiesiems, kurio jums reikia

Izabela Harbarczyk
Skaityti daugiau
Tinklaraščio įrašas Bouncer

Kas yra "Gmail" siuntimo ribos? Atsakymai į visus klausimus

Izabela Harbarczyk
Skaityti daugiau