Bezpieczeństwo poczty elektronicznej to o wiele więcej niż się wydaje. Wszyscy doskonale zdajemy sobie sprawę, że poczta elektroniczna jest jednym z najbardziej narażonych na wyłudzanie danych osobowych i poufnych informacji.
Hakerzy stają się o wiele lepsi w tworzeniu autentycznie wyglądających wiadomości, które nabierają tak wielu użytkowników, że klikają na wezwanie do działania i przekazują spooferom informacje, których szukają – często są to dane logowania i dostęp do danych finansowych.
Uwierzytelnianie poczty elektronicznej – co to jest?
Uwierzytelnianie poczty elektronicznej
Jakie są możliwe metody?
Cztery typowe metody uwierzytelniania poczty elektronicznej są obecnie następujące:
- SPF – Sender Policy Framework
Standard ten wykonuje oryginalne sprawdzenie, aby upewnić się, że każda wiadomość e-mail pochodzi z zaufanego adresu IP. - DKIM – DomainKeys Identified Mail
Kolejne sprawdzenie tożsamości, ale tym razem z użyciem klucza szyfrującego jako podpisu cyfrowego. - DMARC – Domain Message Authentication Reporting and Conformance (raportowanie i zgodność uwierzytelniania wiadomości w domenie)
DMARC zapewnia, że email spełnia zarówno SPF jak i DKIM zanim zostanie dostarczony. - BIMI – Wskaźniki Marki dla Identyfikacji Komunikatów
BIMI zapewnia ostatnią kontrolę, koncentrując się na wiarygodności nadawcy i wyświetlając wizerunek marki nadawcy w skrzynce odbiorczej odbiorcy (tam, gdzie jest to obecnie obsługiwane).
Zamierzamy przyjrzeć się bliżej każdemu z nich nieco dalej, ale najpierw wyjaśnimy, dlaczego są one tak ważne i wyjaśnimy trochę o tym, jak działają.
Jak działa uwierzytelnianie za pomocą poczty elektronicznej?
Każda z metod uwierzytelniania (SPF DKIM DMARC BIMI) stosuje warstwę zabezpieczeń do Twoich emaili używając Twojej domeny email w celu weryfikacji, czy jesteś tym za kogo się podajesz.
- Nadawca definiuje politykę/zasady uwierzytelniania swojej domeny.
- Następnie konfigurują DNS domeny i serwery poczty elektronicznej w celu wdrożenia tych reguł.
- Serwery odbiorcze weryfikują przychodzącą pocztę poprzez sprawdzenie jej zgodności z regułami ustalonymi w DNS domeny.
- W przypadku uwierzytelnienia serwer odbiorcy bezpiecznie przetwarza wiadomość e-mail; jeśli uwierzytelnienie nie powiedzie się, wiadomość jest blokowana, poddawana kwarantannie lub zarządzana zgodnie z postanowieniami dotyczącymi uwierzytelniania.
Jakie są korzyści?
Jak widać, jeśli nie skonfigurujesz uwierzytelniania wiadomości e-mail, ryzykujesz odrzuconymi wiadomościami, wyższym poziomem spamu i niższym poziomem dostarczalności.
Twoje skrupulatnie przemyślane, pięknie zaprojektowane i stworzone wiadomości mają znacznie mniejsze szanse na wylądowanie w skrzynkach odbiorczych, do których są przeznaczone.
Co gorsza, bez wdrożonych metod uwierzytelniania Twoja marka jest o wiele łatwiejsza do podrobienia, pozostawiając Ciebie i Twoich klientów szeroko otwartych na ataki e-mailowe, włamania i phishing.
Konfigurowanie uwierzytelniania poczty elektronicznej
Po uzyskaniu dostępu do ustawień DNS, będziesz dodawać różne rekordy TXT i CNAME do swojej domeny.
Aby dowiedzieć się o wartości ustawień domeny, musisz sprawdzić u swojego hosta poczty elektronicznej. Dostarczą Ci oni ustawienia dla Twoich rekordów SPF, wygenerują selektor DKIM z ich obszaru hostingowego i pokażą Ci jak wdrożyć politykę DMARC, ponieważ hosty często różnią się sposobem konfiguracji.
SPF – Sender Policy Framework
SPF jest standardem uwierzytelniania stworzonym we wczesnych dniach rozwoju poczty elektronicznej. O ile był on odpowiedni dla wczesnych systemów poczty elektronicznej, o tyle ma kilka problemów z nowoczesnymi metodami pocztowymi. Dlatego konieczne jest wykorzystanie wszystkich czterech metod, aby zapewnić pełną ochronę.
Kiedy serwer email odbiorcy wykonuje DNS lookup w celu pobrania rekordu SPF, używa tej wartości w ścieżce zwrotnej wiadomości.
Problemy z uwierzytelnianiem SPF
Identyfikacja zatwierdzonych adresów IP – Systemy współdzielone, takie jak platformy chmurowe, mogą hostować wiele usług z dynamicznie przydzielanymi adresami IP. Chociaż IP może być określony i autoryzowany, może również pozwolić każdemu innemu na korzystanie z tego samego współdzielonego IP poprzez użycie Twojego rekordu SPF.
SPF nie obsługuje przekazywania wiadomości – serwer odbiorcy nie będzie w stanie zweryfikować przekazanej wiadomości, ponieważ domena identyfikująca jest domeną serwera przekazującego, a nie domeną oryginalną.
Jak widać, to co kiedyś było akceptowalną metodą, teraz jest znacząco wadliwe. Zapewnia ona podstawy, na których można budować większe bezpieczeństwo. Jednak jako samodzielna metoda, po prostu nie spełnia swojej roli w dzisiejszej technologii.
DKIM – DomainKeys Identified Mail
DKIM używa szyfrowania kluczem publicznym/prywatnym do podpisywania wiadomości email. Weryfikuje on, czy wiadomości zostały wysłane z danej domeny i czy nie zostały zmodyfikowane w trakcie przesyłania.
Jest to bezpieczniejsza metoda uwierzytelniania, ponieważ daje pewność, że wiadomość nie została zmieniona podczas jej dostarczania. Kolejną zaletą jest to, że uwierzytelnianie DKIM jest odporne na przekazywanie wiadomości dalej.
Serwer pocztowy odbiorcy odczytuje zaszyfrowane informacje przy użyciu klucza publicznego przechowywanego w DNS i jeśli wszystko się zgadza, uwierzytelnienie zostaje przyznane.
Selektory DKIM
Każda domena może korzystać z kilku selektorów. Wartości te są używane do identyfikacji unikalnych właściwości, na przykład subdomen, użytkowników, lokalizacji i usług. Każdy selektor działa przy użyciu własnego klucza publicznego, rezygnując z jednego, wspólnego klucza dla wszystkich ewentualności.
Problemy z uwierzytelnianiem DKIM
Proces .
Bezpieczeństwo klucza – haker podpisujący wiadomości przy użyciu domeny innego użytkownika może mieć swoje e-maile zweryfikowane idealnie przy użyciu klucza prywatnego tej domeny.
Wdrażanie i zarządzanie kluczami – Dłuższe, bardziej bezpieczne klucze mogą być problematyczne przy zastosowaniu w domenie DNS. Te długie ciągi danych mogą być łatwo błędnie zastosowane, nawet podczas kopiowania i wklejania.
DMARC – Domain Message Authentication Reporting and Conformance (raportowanie i zgodność uwierzytelniania wiadomości w domenie)
Zawiera również mechanizm raportowania, który pozwala nadawcy zdecydować, co zrobić z wynikami uwierzytelniania. Rekord DMARC kontroluje gdzie i w jaki sposób serwery odbiorców wysyłają raporty.
W efekcie, DMARC wypełnia luki pomiędzy SPF i DKIM i zwiększa dostarczalność wiadomości e-mail. Spamerzy nie mogą już nadużywać tych chronionych domen; dlatego reputacja domeny rośnie, cały czas poprawiając wskaźniki dostarczalności.
Egzekwowanie DMARC
Zapis DMARC dyktuje, co zrobić z mailami, które nie przejdą autoryzacji. Polityka ta ma trzy rezultaty: nie robić nic, poddać kwarantannie lub odrzucić. Raport DMARC ostrzega właściciela domeny, skąd pochodzą takie nieudane wiadomości, dostarczając krytycznych informacji na temat naruszenia i tego, co może zrobić, aby podjąć dalsze kroki ochronne.
BIMI – Wskaźniki Marki dla Identyfikacji Komunikatów
Zakłada się, że włączenie uwierzytelniania poczty elektronicznej BIMI zapewni około 10% wzrost zaangażowania dzięki możliwości dostarczania – nie jest to liczba, którą należy traktować lekceważąco.
Biorąc pod uwagę, że ta metoda uwierzytelniania jest w powijakach i wciąż czeka na wprowadzenie przez wielu dostawców poczty elektronicznej, istnieje kilka kroków, które użytkownicy mogą podjąć, aby upewnić się, że są gotowi na wielkie wdrożenie, kiedy w końcu trafi na nasze serwery.
Jedno jest pewne, biorąc pod uwagę, że Google zawiera integrację BIMI z G Suite, powinno to być tylko kwestią czasu, zanim reszta świata nadrobi zaległości.
Jak przygotować się do BIMI?
Aby aktywować uwierzytelnianie BIMI, musisz najpierw uwierzytelnić swoje e-maile za pomocą SPF, DKIM, i DMARC, zapewniając wyrównanie (domena jest taka sama w całym zakresie). Polityka DMARC musi być egzekwowana na poziomie kwarantanny lub odrzucenia, a DNS domeny musi posiadać poprawny rekord BIMI.
Będziesz również potrzebować odpowiedniego pliku z logo jako linku do uwierzytelnienia, który będzie widoczny w skrzynkach odbiorczych Twoich odbiorców. Twoje logo będzie musiało być w odpowiednim formacie SVG i ewentualnie VMC (Verified Mark Certificate), aby uwierzytelnić plik.