Securitatea e-mailurilor este mult mai complexă decât pare la prima vedere. Suntem cu toții conștienți de faptul că poșta electronică este una dintre zonele cele mai afectate de phishing pentru a obține date personale și informații sensibile.

Hackerii sunt din ce în ce mai pricepuți la crearea de mesaje cu aspect autentic, care îi determină pe mulți să facă clic pe un apel la acțiune și să le furnizeze falsificatorilor informațiile pe care le caută - adesea detalii de conectare și acces financiar.

Autentificarea e-mailurilor - ce este?

Autentificarea e-mailurilor este un sistem conceput pentru a vă proteja reputația prin verificarea, atunci când trimiteți o campanie de e-mail, că sunteți cine spuneți că sunteți. Cele patru concepte sunt destul de simple, însă setarea fiecăreia dintre metode poate fi dificilă. Cu toate acestea, protecția oferită atunci când este combinată este la fel de bună ca și cea pe care o puteți pune în aplicare în cadrul sistemelor noastre actuale.

Care sunt metodele posibile?

Cele patru metode tipice de autentificare a e-mailurilor sunt următoarele:

  1. SPF - Cadrul de politici de expeditor
    Acest standard efectuează verificarea inițială pentru a se asigura că fiecare e-mail provine de la o adresă IP de încredere.
  2. DKIM - DomainKeys Identified Mail (corespondență identificată prin nume de domeniu)
    O altă verificare a identității, dar de data aceasta folosind o cheie de criptare ca semnătură digitală.
  3. DMARC - Domain Message Authentication Reporting and Conformance (DMARC - Raportare și conformitate pentru autentificarea mesajelor de domeniu)
    DMARC se asigură că mesajele de poștă electronică respectă atât SPF, cât și DKIM înainte de a fi livrate.
  4. BIMI - Indicatori de marcă pentru identificarea mesajului
    BIMI oferă o ultimă verificare, concentrându-se pe credibilitatea expeditorului și pe afișarea imaginii de marcă a expeditorului în destinatar. inbox (în cazul în care sunt acceptate în prezent).

Vom analiza mai în profunzime fiecare dintre acestea puțin mai departe, dar mai întâi vom explica de ce sunt atât de importante și vom explica puțin cum funcționează.

Cum funcționează autentificarea prin e-mail?

Fiecare dintre metodele de autentificare (SPF DKIM DMARC BIMI) aplică un nivel de securitate pentru e-mailurile dumneavoastră, folosind domeniul dumneavoastră de e-mail pentru a verifica dacă sunteți cine pretindeți a fi.

  1. Expeditorul definește politica/regulile privind modul în care este autentificat domeniul său.
  2. Aceștia configurează apoi DNS-ul domeniului și serverele de e-mail pentru a pune în aplicare aceste reguli.
  3. Serverele destinatarilor verifică e-mailurile primite, comparându-le cu regulile fixate în DNS-ul domeniului.
  4. Atunci când este autentificat, serverul destinatarului procesează e-mailul în condiții de siguranță; în cazul în care autentificarea eșuează, mesajul este blocat, pus în carantină sau gestionat în conformitate cu decizia de autentificare.

Care sunt beneficiile?

După cum puteți vedea, dacă nu vă configurați autentificarea e-mailurilor, riscați să aveți e-mailuri respinse, rate de spam mai mari și rate de livrare mai mici.

Mesajele dvs. atent analizate, frumos concepute și create au mult mai puține șanse de a ajunge în căsuțele de primire cărora le sunt destinate.

Mai rău, fără metodele de autentificare a e-mailurilor, marca dvs. este mult mai ușor de falsificat, lăsându-vă pe dvs. și pe clienții dvs. larg expus atacurilor prin e-mail, hackerilor și phishing-ului.

Configurarea autentificării prin e-mail

Pentru a configura domeniul dumneavoastră pentru a gestiona fiecare metodă de autentificare, aveți nevoie de acces la setările DNS (Domain Name System) prin intermediul serviciului de înregistrare a domeniului.

După ce accesați setările DNS, veți adăuga diverse înregistrări TXT și CNAME la domeniul dumneavoastră.

Pentru a afla valorile setărilor de domeniu, trebuie să verificați la gazdele de e-mail. Acestea vă vor furniza setările pentru înregistrările SPF, vor genera selectorul DKIM din zona de găzduire și vă vor arăta cum să vă implementați politica DMARC, deoarece gazdele diferă adesea în ceea ce privește modul în care sunt configurate.

Veți adăuga o altă înregistrare TXT pentru a include o înregistrare BIMI, inclusiv calea către fișierul cu imaginea de marcă.

CITEȘTE MAI MULT
Îmbunătățiți capacitatea de livrare cu un serviciu de validare a e-mailurilor

SPF - Cadrul de politici de expeditor

SPF este standardul de autentificare creat în primele zile de dezvoltare a e-mailurilor. Deși a fost cândva potrivit pentru primele sisteme de e-mail, acesta prezintă mai multe probleme pentru metodele de e-mail moderne. De aceea, este necesar să se utilizeze toate cele patru metode pentru a oferi o formă de acoperire completă.

Înregistrările SPF sunt stocate în text simplu în DNS-ul domeniului și indică adresele IP care au permisiunea de a trimite de la domeniul respectiv.

Atunci când serverul de e-mail al destinatarului efectuează o căutare DNS pentru a prelua înregistrarea SPF, acesta utilizează valoarea din calea de întoarcere a mesajului.

Probleme cu autentificarea SPF

Sintaxa - Deși sunt înregistrări text, sintaxa poate fi complicată atunci când se introduc înregistrările DNS. Dacă acestea nu sunt precise, atunci autentificarea va eșua, chiar dacă mesajul și expeditorul sunt autentice.

Identificarea adreselor IP aprobate - Sistemele partajate, cum ar fi platformele cloud, pot găzdui mai multe servicii cu adrese IP atribuite dinamic. Deși IP-ul poate fi determinat și autorizat, se poate permite, de asemenea, ca oricine altcineva să utilizeze același IP partajat prin utilizarea înregistrării dumneavoastră SPF.

SPF poate fi falsificat - SPF utilizează câmpul ascuns al căii de retur pentru autentificare - nu câmpul "from", pe care destinatarii îl pot vedea în mod clar. Un hacker, care încearcă să obțină informații prin phishing, poate prezenta un câmp valabil care caută domeniul și adresa de e-mail în câmpul "from", dar au propriul e-mail ca și cale de întoarcere, folosind propriul sistem de autentificare pentru a trece de verificările serverului.

SPF nu acceptă redirecționarea e-mailurilor - Un server destinatar nu va reuși să valideze un mesaj redirecționat deoarece domeniul de identificare pare a fi cel al serverului de redirecționare și nu cel original.

După cum vedeți, ceea ce a fost cândva o metodă acceptabilă este acum semnificativ defectuos. Oferă elementele de bază pe care să se bazeze pentru o mai mare securitate generală. Cu toate acestea, ca metodă de sine stătătoare, nu este suficientă în tehnologia actuală.

 

DKIM - DomainKeys Identified Mail (corespondență identificată prin nume de domeniu)

DKIM utilizează criptarea cu cheie publică/privată pentru a semna mesajele de e-mail. Acesta verifică dacă e-mailurile au fost trimise de la domeniul respectiv și dacă e-mailul nu a fost modificat în timpul tranzitului.

Este o metodă de autentificare mai sigură, deoarece asigură că mesajul nu a fost modificat în timpul livrării. Un alt beneficiu este că autentificarea DKIM supraviețuiește transmiterii e-mailurilor.

Proprietarul domeniului creează chei criptografice în perechi: publică și privată. Cheia publică este plasată ca o înregistrare TXT în DNS-ul domeniului. Atunci când se trimite un e-mail, se generează un "hash" pe baza conținutului mesajului. Acest hash este criptat cu cheia privată a domeniului și atașat la antetul e-mailului.

Serverul de e-mail al destinatarului citește informațiile criptate folosind cheia publică găzduită în DNS și, dacă totul se potrivește, se acordă autentificarea.

Selectori DKIM

Fiecare domeniu poate utiliza mai mulți selectori. Aceste valori sunt utilizate pentru a identifica proprietăți unice, de exemplu, subdomenii, utilizatori, locații și servicii. Fiecare selector funcționează cu ajutorul propriei sale chei publice, renunțând la o singură cheie partajată pentru toate eventualitățile.

Probleme cu autentificarea DKIM

Semnături necorespunzătoare - O semnătură DKIM validă poate utiliza un domeniu complet diferit de cel indicat în câmpul "from". Acest lucru face ca phishing-ul dintr-un alt domeniu de e-mail să fie un proces simplu.

Securitatea cheilor - Un hacker care semnează mesaje folosind domeniul unui alt utilizator ar putea să își valideze perfect e-mailurile folosind cheia privată a domeniului respectiv.

Implementarea și gestionarea cheilor - Cheile mai lungi și mai sigure pot fi problematice atunci când se aplică la domeniul DNS. Aceste șiruri lungi de date sunt ușor de aplicat greșit, chiar și atunci când se copiază și se lipește.

Pentru a obține cele mai bune rezultate de la DKIM, acesta trebuie să fie asociat cu DMARC, punând în joc domeniul utilizat în câmpul "from". Puteți vedea acum cum fiecare sistem depinde de metoda sa anterioară pentru a crea un sistem de autentificare complet și eficient.

DMARC - Domain Message Authentication Reporting and Conformance (DMARC - Raportare și conformitate pentru autentificarea mesajelor de domeniu)

După cum s-a menționat deja, DMARC impune utilizarea domeniului stabilit în câmpul from pentru a împiedica hackerii și atacatorii să folosească domenii alternative pentru a ocoli verificările de siguranță.

Acesta include, de asemenea, un mecanism de raportare care permite expeditorului să decidă ce să facă cu rezultatele autentificării. Înregistrarea DMARC controlează unde și cum serverele destinatarilor trimit rapoartele.

De fapt, DMARC acoperă golurile dintre SPF și DKIM și stimulează livrabilitatea e-mailurilor. Spammerii nu mai pot utiliza în mod abuziv aceste domenii protejate; prin urmare, reputația domeniului se consolidează, îmbunătățind în permanență ratele de livrabilitate.

Aplicarea DMARC

Înregistrarea DMARC dictează ce trebuie făcut în cazul în care e-mailurile nu sunt autorizate. Politica are trei rezultate: nu face nimic, pune în carantină sau respinge. Un raport DMARC avertizează deținătorul domeniului de unde provin aceste mesaje nereușite, furnizând informații esențiale despre încălcare și despre ce poate face pentru a lua măsuri de protecție suplimentare.

BIMI - Indicatori de marcă pentru identificarea mesajelor

Se speră că includerea autentificării e-mailurilor BIMI va oferi un impuls de aproximativ 10% în ceea ce privește implicarea prin intermediul capacității de livrare - nu este o cifră care să fie luată în considerare cu ușurință.

Având în vedere că această metodă de autentificare este la început și încă așteaptă să fie introdusă de mulți furnizori de e-mail, există mai mulți pași pe care utilizatorii îi pot face pentru a se asigura că sunt pregătiți pentru o lansare grandioasă atunci când va ajunge în sfârșit pe serverele noastre.

Un lucru este sigur, având în vedere că Google include integrarea BIMI în G Suite, ar trebui să fie doar o chestiune de timp până când restul lumii va ajunge din urmă.

Cum să vă pregătiți pentru BIMI?

Pentru a activa autentificarea e-mailurilor BIMI, trebuie mai întâi să vă autentificați e-mailurile cu SPF, DKIM și DMARC, asigurând alinierea (domeniul este același peste tot). Politica DMARC trebuie să fie impusă fie la carantină, fie la respingere, iar DNS-ul domeniului trebuie să aibă înregistrarea BIMI corectă.

De asemenea, va trebui să găzduiți un fișier de logo corespunzător ca link pentru ca autentificarea rezultată să apară în căsuța de primire a destinatarilor. Logo-ul dvs. va trebui să fie în formatul SVG corect și, eventual, un certificat VMC (Verified Mark Certificate) pentru a autentifica fișierul.

Autentificare completă pentru campaniile dvs. de e-mail

Am învățat că fiecare dintre aceste metode în parte nu va oferi o soluție unică pentru a simplifica viața. Cu toate acestea, cu puțină muncă pentru a aduce fiecare dintre sisteme împreună ca unul singur, veți fi mult mai sigur în livrarea campaniilor și mesajelor de e-mail decât ați putea vreodată fi fără ele.

Merită timpul și efortul depus pentru a asigura protecția serviciului dumneavoastră și a abonaților dumneavoastră și pentru a crește conectivitatea și randamentul marketingului dumneavoastră.

Curățarea listei de către Bouncer