E-pasta autentifikācijas metodes - SPF, DKIM, DMARC un BIMI pamati

Apr 2, 2021
7

E-pasta drošība ir daudz vairāk, nekā šķiet no pirmā acu uzmetiena. Mēs visi labi zinām, ka e-pasts ir viena no vissmagāk skartajām jomām, kurā notiek personas datu un sensitīvas informācijas pikšķerēšana.

Hakeri arvien labāk prot izveidot autentiski izskatošus ziņojumus, kas daudzus maldina, lai noklikšķinātu uz aicinājuma veikt darbību un sniegtu viltotājiem meklēto informāciju - bieži vien pieteikšanās datus un finanšu piekļuvi.

E-pasta autentificēšana - kas tā ir?

E-pasta autentificēšana ir sistēma, kas izstrādāta, lai aizsargātu jūsu reputāciju, nosūtot e-pasta kampaņu, pārbaudot, vai esat tas, par ko sakāt, ka esat. Šie četri jēdzieni ir pietiekami vienkārši, tomēr katras metodes iestatīšana var būt sarežģīta. Tomēr apvienojumā piedāvātā aizsardzība ir tik laba, cik jūs varat ieviest saskaņā ar mūsu pašreizējām sistēmām.

Kādas ir iespējamās metodes?

Šobrīd ir četras tipiskas e-pasta autentifikācijas metodes:

  1. SPF - Sūtītāja politikas sistēma
    Šis standarts veic sākotnējo pārbaudi, lai pārliecinātos, ka katrs e-pasts nāk no uzticamas IP adreses.
  2. DKIM - DomainKeys Identified Mail
    Vēl viena identitātes pārbaude, taču šoreiz kā digitālais paraksts tiek izmantota šifrēšanas atslēga.
  3. DMARC - domēna ziņojumu autentifikācijas ziņošana un atbilstība
    DMARC nodrošina, ka e-pasta vēstule pirms piegādes atbilst gan SPF, gan DKIM.
  4. BIMI - zīmola indikatori ziņojuma identificēšanai
    BIMI nodrošina pēdējo pārbaudi, koncentrējoties uz sūtītāja uzticamību un parādot sūtītāja zīmola tēlu saņēmēja iesūtnē (ja pašlaik tiek atbalstīta).

Katru no tiem mēs aplūkosim sīkāk nedaudz tālāk, bet vispirms paskaidrosim, kāpēc tie ir tik svarīgi, un nedaudz pastāstīsim, kā tie darbojas.

Kā darbojas e-pasta autentificēšana?

Katra no autentifikācijas metodēm (SPF DKIM DMARC BIMI) jūsu e-pasta ziņojumiem piemēro drošības līmeni, izmantojot jūsu e-pasta domēnu, lai pārliecinātos, ka esat tas, par ko sevi uzdodat.

  1. Sūtītājs nosaka politiku/noteikumus par to, kā tiek autentificēts tā domēns.
  2. Pēc tam viņi konfigurē domēna DNS un e-pasta serverus, lai īstenotu šos noteikumus.
  3. Saņēmēja serveri pārbauda ienākošo e-pastu, salīdzinot to ar domēna DNS fiksētajiem noteikumiem.
  4. Ja autentifikācija ir veikta, saņēmēja serveris droši apstrādā e-pastu; ja autentifikācija neizdodas, ziņojums tiek bloķēts vai nodots karantīnā, vai pārvaldīts saskaņā ar autentifikācijas lēmumu.

Kādi ir ieguvumi?

Kā redzat, ja e-pasta autentificēšana netiek iestatīta, pastāv risks, ka e-pasta vēstules tiks noraidītas, palielināsies surogātpasta sūtījumu skaits un samazināsies piegādes rādītāji.

Jūsu rūpīgi pārdomātajiem, skaisti izstrādātajiem un izveidotajiem ziņojumiem ir daudz mazāk izredžu nonākt tajās iesūtņu kastītēs, kurām tie ir paredzēti.

Vēl ļaunāk, ja e-pasta autentifikācijas metodes nav ieviestas, jūsu zīmolu ir daudz vieglāk viltot, tādējādi jūs un jūsu klienti ir plaši pakļauti e-pasta uzbrukumiem, uzlaušanai un pikšķerēšanai.

E-pasta autentificēšanas iestatīšana

Lai iestatītu savu domēnu katras autentifikācijas metodes pārvaldīšanai, jums ir nepieciešama piekļuve DNS iestatījumiem (Domēna vārds sistēma), izmantojot domēna reģistrācijas pakalpojumu.

Kad piekļūsiet DNS iestatījumiem, pievienosiet domēnam dažādus TXT un CNAME ierakstus.

Lai noskaidrotu sava domēna iestatījumu vērtības, sazinieties ar e-pasta resursdatoriem. Viņi sniegs jums SPF ierakstu iestatījumus, izveidos jūsu DKIM selektoru savā hostinga zonā un parādīs, kā īstenot DMARC politiku, jo hostinga pakalpojumu sniedzēju konfigurācijas bieži atšķiras.

Pievienosiet vēl vienu TXT ierakstu, lai iekļautu BIMI ierakstu, tostarp ceļu uz jūsu zīmolu. attēla fails.

SPF - Sūtītāja politikas sistēma

SPF ir standarta autentifikācija, kas tika radīta e-pasta izstrādes pirmsākumos. Ja savulaik tas bija piemērots agrīnajām e-pasta sistēmām, tad mūsdienu pasta metodēm tas rada vairākas problēmas. Tāpēc ir nepieciešams izmantot visas četras metodes, lai nodrošinātu pilnīgu seguma veidu.

SPF ieraksti tiek glabāti vienkāršā teksta veidā domēna DNS un nosaka. IP adreses ar atļauju sūtīt no domēna.

Kad saņēmēja e-pasta serveris veic DNS meklēšanu, lai iegūtu SPF ierakstu, tas izmanto ziņojuma atpakaļceļa vērtību.

Problēmas ar SPF autentificēšanu

Sintakse - Lai gan tie ir teksta ieraksti. sintakse var kļūt sarežģīta, ievadot DNS ierakstus.. Ja tie nav precīzi, autentifikācija neizdosies pat tad, ja ziņojums un sūtītājs ir īsti.

Apstiprināto IP adrešu identificēšana - koplietošanas sistēmās, piemēram, mākoņplatformās, var būt izvietoti vairāki pakalpojumi ar dinamiski piešķirtām IP adresēm. Lai gan IP var noteikt un apstiprināt, tas var arī ļaut jebkuram citam izmantot to pašu koplietošanas IP, izmantojot jūsu SPF ierakstu.

SPF var viltot - SPF autentificēšanai izmanto slēpto atgriešanās ceļa lauku, nevis lauku "no", kuru saņēmēji var skaidri redzēt. Informācijas viltotājs, kas veic informācijas pikšķerēšanu, var norādīt derīgu domēnu un e-pasta adresi laukā "no", bet kā atgriešanās ceļu norādīt savu e-pastu, izmantojot savu autentifikācijas sistēmu, lai izkļūtu cauri servera pārbaudēm.

SPF neatbalsta e-pasta pārsūtīšanu - Saņēmēja serveris nespēs apstiprināt pārsūtīto ziņojumu, jo identificējošais domēns ir pārsūtīšanas servera, nevis sākotnējā domēna domēns.

Kā redzat, kādreiz pieņemamā metode tagad ir būtiski kļūdaina. Tas nodrošina pamatus, uz kuriem balstīties, lai panāktu lielāku vispārējo drošību. Tomēr kā atsevišķa metode tā nav piemērota mūsdienu tehnoloģijām.

DKIM - DomainKeys Identified Mail

Lai parakstītu e-pasta ziņojumus, DKIM izmanto publiskās/privātās atslēgas šifrēšanu. Tas apliecina, ka e-pasta vēstules ir nosūtītas no domēna un ka tās nav pārveidotas pārraides laikā.

Tā ir drošāka autentifikācijas metode, jo tā nodrošina, ka ziņa nav mainīta piegādes laikā. Vēl viens ieguvums ir tas, ka DKIM autentifikācija saglabājas arī pēc e-pasta pārsūtīšanas.

Domēna īpašnieks izveido kriptogrāfiskās atslēgas pāros: publisko un privāto. Publisko atslēgu ievieto kā TXT ierakstu domēna DNS. Nosūtot e-pasta vēstuli, tiek ģenerēts "hash", pamatojoties uz kodu. ziņojuma saturs. Šis hash tiek šifrēts ar domēna privāto atslēgu un pievienots e-pasta galvenei.

Saņēmēja e-pasta serveris nolasa šifrēto informāciju, izmantojot DNS izvietoto publisko atslēgu, un, ja viss atbilst, tiek piešķirta autentifikācija.

DKIM selektori

Katrā domēnā var izmantot vairākus selektorus. Šīs vērtības tiek izmantotas, lai identificētu unikālas īpašības, piemēram, apakšdomēnus, lietotājus, atrašanās vietas un pakalpojumus. Katrs selektors darbojas, izmantojot savu publisko atslēgu, atsakoties no vienas kopīgas atslēgas visiem iespējamiem gadījumiem.

Problēmas ar DKIM autentificēšanu

Neatbilstoši paraksti - derīgā DKIM parakstā var būt izmantots pavisam cits domēns, nekā norādīts laukā "from". Tas padara pikšķerēšanu no cita e-pasta domēna vienkāršu. process.

Atslēgas drošība - hakeris, kas paraksta ziņojumus, izmantojot cita lietotāja domēnu, varētu pilnībā apstiprināt savus e-pasta ziņojumus, izmantojot šī domēna privāto atslēgu.

Atslēgu ieviešana un pārvaldība - garas un drošākas atslēgas var sagādāt problēmas, piemērojot tās domēna DNS. Šīs garās datu virknes ir viegli nepareizi piemērojamas, pat kopējot un ielīmējot.

Lai no DKIM gūtu vislabāko labumu, tas ir jāsadarbojas ar DMARC, tādējādi iesaistot "from" laukā izmantoto domēnu. Tagad redzat, ka katra sistēma ir atkarīga no iepriekšējās metodes, lai izveidotu pilnīgu un efektīvu autentifikācijas sistēmu.

DMARC - domēna ziņojumu autentifikācijas ziņošana un atbilstība

Kā jau minēts, DMARC nodrošina, ka domēna, kas norādīts laukā from, tiek izmantots, lai novērst . hakeriem un uzbrucējiem izmantot alternatīvus domēnus, lai apietu drošības pārbaudes.

Tas ietver arī ziņošanas mehānismu, kas ļauj sūtītājam izlemt, ko darīt ar autentifikācijas rezultātiem. DMARC ieraksts kontrolē, kur un kā saņēmēja serveri nosūta ziņojumus.

Faktiski DMARC aizpilda SPF un DKIM nepilnības un uzlabo e-pasta piegādes iespējas. Sūtītāji vairs nevar ļaunprātīgi izmantot šos aizsargātos domēnus, tāpēc domēna reputācija uzlabojas, tādējādi uzlabojot piegādes rādītājus.

DMARC ieviešana

DMARC ieraksts nosaka, kā rīkoties ar e-pasta ziņojumiem, kas nav autorizēti. Politikai ir trīs iznākumi: nedarīt neko, nodot karantīnā vai noraidīt. DMARC ziņojums brīdina domēna īpašnieku par to, no kurienes ir saņemtas šādas neveiksmīgas ziņas, sniedzot būtisku informāciju par pārkāpumu un to, ko viņš var darīt, lai veiktu turpmākus aizsardzības pasākumus.

BIMI - zīmola indikatori ziņojuma identificēšanai

Tiek cerēts, ka BIMI e-pasta autentifikācijas iekļaušana nodrošinās aptuveni 10% lielāku iesaistīšanos, pateicoties piegādes iespējamībai, - tas nav skaitlis, kas būtu jāuztver vieglprātīgi.

Ņemot vērā, ka šī autentifikācijas metode ir tikai sākumstadijā un daudzi e-pasta pakalpojumu sniedzēji vēl tikai gaida tās ieviešanu, lietotāji var veikt vairākus pasākumus, lai pārliecinātos, ka ir gatavi tās ieviešanai, kad tā beidzot nonāks mūsu serveros.

Viens ir skaidrs - ņemot vērā to, ka Google ir iekļāvusi BIMI integrāciju pakalpojumā G Suite, ir tikai laika jautājums, kad pārējā pasaule to pārspēs.

Kā sagatavoties BIMI?

Lai aktivizētu BIMI e-pasta autentificēšanu, vispirms e-pasta vēstules ir jāautentificē ar SPF, DKIM un DMARC, nodrošinot saskaņotību (domēns ir viens un tas pats). DMARC politikai jābūt ieviestai karantīnas vai noraidīšanas līmenī, un domēna DNS jābūt pareizam BIMI ierakstam.

Jums būs nepieciešams arī izvietot atbilstošu logotipa failu kā saiti, lai iegūtais autentifikācijas paziņojums tiktu parādīts saņēmēju iesūtnēs. Jūsu logotipam būs jābūt pareizajā SVG formātā un, iespējams, VMC (Verified Mark Certificate), lai autentificētu failu.

Pilnīga e-pasta kampaņu autentifikācija

Mēs esam sapratuši, ka katra no šīm metodēm pati par sevi nesniegs nekādu vienotu risinājumu, kas atvieglotu dzīvi. Tomēr, veicot nelielu darbu, lai apvienotu katru no šīm sistēmām vienā veselumā, jūs būsiet daudz drošāks, piegādājot savas e-pasta kampaņas un ziņojumus, nekā jūs varētu nekad bez tiem.

Ir vērts tam veltīt laiku un pūles, ja tas nodrošina jūsu pakalpojumu, jūsu pakalpojumu un jūsu abonenti un palielina jūsu mārketinga savienojamību un atdevi.

Līnija un punkti

Populārākais mūsu emuārā

Bloga ieraksts Bouncer

Kā pārbaudīt, vai e-pasta adrese ir īsta vai viltota: Ceļvedis, kā pārbaudīt, vai e-pasta adrese ir e-pasta adrese.

Izabela Harbarczyk
Lasīt vairāk
Bloga ieraksts Bouncer

Kā pārbaudīt, vai e-pasta adrese ir derīga: Galīgais ceļvedis: kā pārbaudīt, vai e-pasta adrese ir e-pasta adrese?

Izabela Harbarczyk
Lasīt vairāk
Bloga ieraksts Bouncer

E-pasta konts: Vienīgais ceļvedis iesācējiem, kas jums nepieciešams

Izabela Harbarczyk
Lasīt vairāk
Bloga ieraksts Bouncer

Kas ir Gmail sūtīšanas ierobežojumi? Atbildes uz visiem jautājumiem

Izabela Harbarczyk
Lasīt vairāk