Securitatea e-mailurilor este mult mai complexă decât pare la prima vedere. Suntem cu toții conștienți de faptul că poșta electronică este una dintre zonele cele mai afectate de phishing pentru a obține date personale și informații sensibile.
Hackerii sunt din ce în ce mai pricepuți la crearea de mesaje cu aspect autentic, care îi determină pe mulți să facă clic pe un apel la acțiune și să le furnizeze falsificatorilor informațiile pe care le caută – adesea detalii de conectare și acces financiar.
Autentificarea e-mailurilor – ce este?
Autentificare e-mail is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Care sunt metodele posibile?
Cele patru metode tipice de autentificare a e-mailurilor sunt următoarele:
- SPF – Cadrul de politici de expeditor
Acest standard efectuează verificarea inițială pentru a se asigura că fiecare e-mail provine de la o adresă IP de încredere. - DKIM – DomainKeys Identified Mail (corespondență identificată prin nume de domeniu)
O altă verificare a identității, dar de data aceasta folosind o cheie de criptare ca semnătură digitală. - DMARC – Domain Message Authentication Reporting and Conformance (DMARC – Raportare și conformitate pentru autentificarea mesajelor de domeniu)
DMARC se asigură că mesajele de poștă electronică respectă atât SPF, cât și DKIM înainte de a fi livrate. - BIMI – Indicatori de marcă pentru identificarea mesajelor
BIMI efectuează o ultimă verificare, concentrându-se pe credibilitatea expeditorului și afișând imaginea de marcă a expeditorului în căsuța de primire a destinatarului (acolo unde este acceptat în prezent).
Vom analiza mai în profunzime fiecare dintre acestea puțin mai departe, dar mai întâi vom explica de ce sunt atât de importante și vom explica puțin cum funcționează.
Cum funcționează autentificarea prin e-mail?
Fiecare dintre metodele de autentificare (SPF DKIM DMARC BIMI) aplică un nivel de securitate pentru e-mailurile dumneavoastră, folosind domeniul dumneavoastră de e-mail pentru a verifica dacă sunteți cine pretindeți a fi.
- Expeditorul definește politica/regulile privind modul în care este autentificat domeniul său.
- Aceștia configurează apoi DNS-ul domeniului și serverele de e-mail pentru a pune în aplicare aceste reguli.
- Serverele destinatarilor verifică e-mailurile primite, comparându-le cu regulile fixate în DNS-ul domeniului.
- Atunci când este autentificat, serverul destinatarului procesează e-mailul în condiții de siguranță; în cazul în care autentificarea eșuează, mesajul este blocat, pus în carantină sau gestionat în conformitate cu decizia de autentificare.
Care sunt beneficiile?
După cum puteți vedea, dacă nu vă configurați autentificarea e-mailurilor, riscați să aveți e-mailuri respinse, rate de spam mai mari și rate de livrare mai mici.
Mesajele dvs. atent analizate, frumos concepute și create au mult mai puține șanse de a ajunge în căsuțele de primire cărora le sunt destinate.
Mai rău, fără metodele de autentificare a e-mailurilor, marca dvs. este mult mai ușor de falsificat, lăsându-vă pe dvs. și pe clienții dvs. larg expus atacurilor prin e-mail, hackerilor și phishing-ului.
Configurarea autentificării prin e-mail
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
După ce accesați setările DNS, veți adăuga diverse înregistrări TXT și CNAME la domeniul dumneavoastră.
Pentru a afla valorile setărilor de domeniu, trebuie să verificați la gazdele de e-mail. Acestea vă vor furniza setările pentru înregistrările SPF, vor genera selectorul DKIM din zona de găzduire și vă vor arăta cum să vă implementați politica DMARC, deoarece gazdele diferă adesea în ceea ce privește modul în care sunt configurate.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Cadrul de politici de expeditor
SPF este standardul de autentificare creat în primele zile de dezvoltare a e-mailurilor. Deși a fost cândva potrivit pentru primele sisteme de e-mail, acesta prezintă mai multe probleme pentru metodele de e-mail moderne. De aceea, este necesar să se utilizeze toate cele patru metode pentru a oferi o formă de acoperire completă.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Atunci când serverul de e-mail al destinatarului efectuează o căutare DNS pentru a prelua înregistrarea SPF, acesta utilizează valoarea din calea de întoarcere a mesajului.
Probleme cu autentificarea SPF
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Identificarea adreselor IP aprobate – Sistemele partajate, cum ar fi platformele cloud, pot găzdui mai multe servicii cu adrese IP atribuite dinamic. Deși IP-ul poate fi determinat și autorizat, se poate permite, de asemenea, ca oricine altcineva să utilizeze același IP partajat prin utilizarea înregistrării dumneavoastră SPF.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
SPF nu acceptă redirecționarea e-mailurilor – Un server destinatar nu va reuși să valideze un mesaj redirecționat deoarece domeniul de identificare pare a fi cel al serverului de redirecționare și nu cel original.
După cum vedeți, ceea ce a fost cândva o metodă acceptabilă este acum foarte defectuoasă. Acesta oferă elementele de bază pe care să se bazeze pentru o mai bună securitate generală. Cu toate acestea, ca metodă de sine stătătoare, nu este suficientă în tehnologia de astăzi.
DKIM – DomainKeys Identified Mail (corespondență identificată prin nume de domeniu)
DKIM utilizează criptarea cu cheie publică/privată pentru a semna mesajele de e-mail. Acesta verifică dacă e-mailurile au fost trimise de la domeniul respectiv și dacă e-mailul nu a fost modificat în timpul tranzitului.
Este o metodă de autentificare mai sigură, deoarece asigură că mesajul nu a fost modificat în timpul livrării. Un alt beneficiu este că autentificarea DKIM supraviețuiește transmiterii e-mailurilor.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
Serverul de e-mail al destinatarului citește informațiile criptate folosind cheia publică găzduită în DNS și, dacă totul se potrivește, se acordă autentificarea.
Selectori DKIM
Fiecare domeniu poate utiliza mai mulți selectori. Aceste valori sunt utilizate pentru a identifica proprietăți unice, de exemplu, subdomenii, utilizatori, locații și servicii. Fiecare selector funcționează cu ajutorul propriei sale chei publice, renunțând la o singură cheie partajată pentru toate eventualitățile.
Probleme cu autentificarea DKIM
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple proces .
Securitatea cheilor – Un hacker care semnează mesaje folosind domeniul unui alt utilizator ar putea să își valideze perfect e-mailurile folosind cheia privată a domeniului respectiv.
Implementarea și gestionarea cheilor – Cheile mai lungi și mai sigure pot fi problematice atunci când se aplică la domeniul DNS. Aceste șiruri lungi de date sunt ușor de aplicat greșit, chiar și atunci când se copiază și se lipește.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – Domain Message Authentication Reporting and Conformance (DMARC – Raportare și conformitate pentru autentificarea mesajelor de domeniu)
As already mentioned, DMARC enforces the use of the domain set in the from field to preveni hackers and attackers from using alternate domains to bypass safety checks.
Acesta include, de asemenea, un mecanism de raportare care permite expeditorului să decidă ce să facă cu rezultatele autentificării. Înregistrarea DMARC controlează unde și cum serverele destinatarilor trimit rapoartele.
De fapt, DMARC acoperă lacunele dintre SPF și DKIM și îmbunătățește capacitatea de livrare a e-mailurilor. Spammerii nu mai pot utiliza în mod abuziv aceste domenii protejate; prin urmare, reputația domeniului se consolidează, îmbunătățind în permanență ratele de livrare.
Aplicarea DMARC
Înregistrarea DMARC dictează ce trebuie făcut în cazul în care e-mailurile nu sunt autorizate. Politica are trei rezultate: nu face nimic, pune în carantină sau respinge. Un raport DMARC avertizează deținătorul domeniului de unde provin aceste mesaje nereușite, furnizând informații esențiale despre încălcare și despre ce poate face pentru a lua măsuri de protecție suplimentare.
BIMI – Indicatori de marcă pentru identificarea mesajelor
Se speră că includerea autentificării e-mailurilor BIMI va oferi un impuls de aproximativ 10% în ceea ce privește implicarea prin intermediul capacității de livrare – nu este o cifră care să fie luată în considerare cu ușurință.
Având în vedere că această metodă de autentificare este la început și încă așteaptă să fie introdusă de mulți furnizori de e-mail, există mai mulți pași pe care utilizatorii îi pot face pentru a se asigura că sunt pregătiți pentru o lansare grandioasă atunci când va ajunge în sfârșit pe serverele noastre.
Un lucru este sigur, având în vedere că Google include integrarea BIMI în G Suite, ar trebui să fie doar o chestiune de timp până când restul lumii va ajunge din urmă.
Cum să vă pregătiți pentru BIMI?
Pentru a activa autentificarea e-mailurilor BIMI, trebuie mai întâi să vă autentificați e-mailurile cu SPF, DKIM și DMARC, asigurând alinierea (domeniul este același peste tot). Politica DMARC trebuie să fie impusă fie la carantină, fie la respingere, iar DNS-ul domeniului trebuie să aibă înregistrarea BIMI corectă.
De asemenea, va trebui să găzduiți un fișier de logo corespunzător ca link pentru ca autentificarea rezultată să apară în căsuța de primire a destinatarilor. Logo-ul dvs. va trebui să fie în formatul SVG corect și, eventual, un certificat VMC (Verified Mark Certificate) pentru a autentifica fișierul.
Autentificare completă pentru campaniile dvs. de e-mail
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Abonați and boosts the connectivity and returns on your marketing.