В безопасности электронной почты гораздо больше, чем кажется на первый взгляд. Мы все прекрасно понимаем, что электронная почта — это одна из самых сложных областей для фишинга личных данных и конфиденциальной информации.
Хакеры становятся гораздо лучше в создании аутентичных сообщений, которые обманывают многих, нажимая на звонок и предоставляя поддельщикам информацию, которую они ищут, часто входя в систему и получая доступ к финансам.
Аутентификация электронной почты — что это?
Электронная аутентификация is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Каковы возможные методы?
Четыре типичных метода аутентификации по электронной почте на сегодняшний день следующие:
- SPF — Основы политики в отношении отправителей
Этот стандарт выполняет оригинальную проверку, чтобы убедиться, что каждое письмо приходит с доверенного IP-адреса. - DKIM — DomainKeys Identified Mail (Доменные ключи идентифицированной почты)
Еще одна проверка личности, но на этот раз с использованием ключа шифрования в качестве цифровой подписи. - DMARC — Отчет об аутентификации доменных сообщений и его соответствие стандартам
DMARC гарантирует, что электронная почта встретится с SPF и DKIM до того, как они будут доставлены. - BIMI — Брендовые индикаторы для идентификации сообщений
BIMI предоставляет последнюю проверку, фокусируясь на достоверности отправителя и отображая бренд отправителя в папке «Входящие» получателя (где в настоящее время поддерживается).
Мы рассмотрим каждый из них немного глубже, но сначала объясним, почему они так важны, и немного объясним, как они работают.
Как работает электронная аутентификация?
Каждый из методов аутентификации (SPF DKIM DMARC BIMI) применяет уровень безопасности к вашей электронной почте, используя ваш почтовый домен для проверки того, что вы тот, за кого себя выдаете.
- Отправитель определяет политику/правила того, как его домен аутентифицируется.
- Затем они настраивают DNS и почтовые серверы домена для реализации этих правил.
- Серверы-получатели проверяют входящую электронную почту, проверяя ее на соответствие правилам, зафиксированным в DNS домена.
- При аутентификации сервер получателя безопасно обрабатывает электронную почту; при неудачной аутентификации сообщение блокируется, помещается в карантин или управляется в соответствии с решением об аутентификации.
Какие преимущества?
Как видите, если вы не настроите аутентификацию по электронной почте, вы рискуете получить письмо с отклонением, повысить уровень спама и снизить стоимость доставки.
Ваши кропотливо продуманные, красиво оформленные и созданные сообщения имеют гораздо меньше шансов попасть в почтовые ящики, для которых они предназначены.
Хуже того, без ваших методов аутентификации электронной почты, ваш бренд гораздо легче подделать, оставляя вас и ваших клиентов широко открытыми для почтовых атак, взломов и фишинга.
Настройка почтовой аутентификации
Чтобы настроить ваш домен на управление каждым методом аутентификации, вам необходим доступ к настройкам DNS ( Доменное имя System) через вашу службу регистрации доменов.
Как только вы получите доступ к настройкам DNS, вы добавите различные записи TXT и CNAME в свой домен.
Чтобы узнать значения параметров вашего домена, вам необходимо проверить их у хостов электронной почты. Они предоставят вам настройки для ваших SPF записей, сгенерируют ваш DKIM селектор из их хостинговой области, и покажут вам, как внедрить вашу политику DMARC, так как хосты часто отличаются друг от друга в том, как они настроены.
Вы добавите еще одну запись TXT, чтобы включить запись BIMI, включая путь к вашему бренду файл изображения .
SPF — Основы политики в отношении отправителей
SPF является стандартной аутентификацией, созданной в первые дни развития электронной почты. Там, где когда-то она была пригодна для ранних почтовых систем, она содержит несколько проблем для современных почтовых методов. Вот почему необходимо использовать все четыре метода, чтобы получить форму полного покрытия.
Записи SPF хранятся в виде обычного текста в DNS домена и диктуют IP-адреса с разрешением на отправку из домена .
Когда почтовый сервер получателя выполняет DNS поиск для получения SPF записи, он использует значение в пути возврата сообщения.
Проблемы с SPF-аутентификацией
Синтаксис — Несмотря на то, что они являются текстовыми записями. Синтаксис может стать сложным при вводе записей DNS . Если они не точны, то аутентификация будет неудачной, даже если сообщение и отправитель подлинные.
Выявление утвержденных IP-адресов — Общие системы, такие как облачные платформы, могут размещать несколько сервисов с динамически присваиваемыми IP-адресами. Несмотря на то, что IP-адрес может быть определен и авторизован, он также может позволить кому-либо использовать тот же самый общий IP-адрес, используя вашу запись SPF.
SPF можно подделать — SPF использует скрытое поле обратного пути для аутентификации, а не поле «от», которое получатели могут видеть. Хакер, занимающийся фишингом информации, может представить в поле «от» действующий домен и адрес электронной почты, а в качестве обратного пути указать свою собственную электронную почту, используя собственную систему аутентификации для прохождения проверки сервера.
SPF не поддерживает переадресацию электронной почты — сервер получателя не сможет подтвердить переадресованное сообщение, потому что идентифицирующий домен, кажется, является доменом сервера переадресации, а не оригинальным доменом.
Как вы видите, то, что раньше было приемлемым методом, теперь имеет существенные недостатки. Он дает основы, на которых можно построить более высокий уровень безопасности. Однако как самостоятельный метод он просто не подходит для современных технологий.
DKIM — DomainKeys Identified Mail (Доменные ключи идентифицированной почты)
DKIM использует шифрование с открытым/закрытым ключом для подписывания сообщений электронной почты. Он проверяет, что сообщения были отправлены с домена и что электронная почта не была изменена при транспортировке.
Это более безопасный метод аутентификации, так как он гарантирует, что сообщение не было изменено во время доставки. Еще одним преимуществом является то, что DKIM-аутентификация выживает при пересылке почты.
Владелец домена создает криптографические ключи в парах: открытый и закрытый. Открытый ключ размещается в виде TXT-записи в DNS домена. Когда отправляется электронное письмо, генерируется «хэш» на основе содержание сообщения . Этот хэш шифруется с помощью закрытого ключа домена и прикрепляется к заголовку письма.
Почтовый сервер получателя считывает зашифрованную информацию, используя открытый ключ, размещенный в DNS, и если все совпадает, аутентификация предоставляется.
селекторы DKIM
Каждый домен может использовать несколько селекторов. Эти значения используются для идентификации уникальных свойств, например, субдоменов, пользователей, местоположений и служб. Каждый селектор работает, используя свой собственный открытый ключ, отказываясь от одного общего ключа для всех возможных вариантов.
Проблемы с DKIM-аутентификацией
Несоответствие подписей — действительная подпись DKIM может использовать совершенно другой домен, чем тот, который указан в поле «от». Это делает фишинг с другого почтового домена простым делом. процесс .
Безопасность ключа — Хакер, подписывающий сообщения, используя чужой домен, может отлично проверить свою электронную почту, используя закрытый ключ этого домена.
Реализация и управление ключами — Более длинные и безопасные ключи могут быть проблематичными при применении к DNS домена. Эти длинные строки данных легко могут быть неправильно применены, даже при копировании и вставке.
Чтобы получить максимальную отдачу от DKIM, его необходимо объединить с DMARC, что позволит использовать домен, используемый в поле «от». Теперь вы видите, как каждая система зависит от предыдущего метода для создания полной и эффективной системы аутентификации.
DMARC — Отчет об аутентификации доменных сообщений и его соответствие стандартам
Как уже упоминалось, DMARC принуждает использовать домен, заданный в поле from для предотвратить хакеры и злоумышленники могут использовать альтернативные домены для обхода проверок безопасности.
Она также включает в себя механизм отчетов, который позволяет отправителю решать, что делать с результатами аутентификации. Запись DMARC контролирует, куда и как серверы-получатели посылают отчеты.
По сути, DMARC заполняет пробелы между SPF и DKIM и повышает доставляемость электронной почты. Спамеры больше не могут использовать эти защищенные домены не по назначению, поэтому репутация домена растет, все время улучшая показатели доставляемости.
Внедрение DMARC
Запись DMARC диктует, что делать с электронными письмами, не имеющими разрешения. Политика имеет три результата: ничего не делать, карантин или отказ. Отчет DMARC предупреждает владельца домена о том, откуда пришли такие неудачные сообщения, предоставляя критическую информацию о нарушении и о том, что он может сделать, чтобы предпринять дальнейшие защитные шаги.
BIMI — Брендовые индикаторы для идентификации сообщений
Есть надежда, что включение аутентификации по электронной почте BIMI обеспечит примерно 10% стимул к взаимодействию через доставку — это не такая уж и легкая цифра, к которой следует отнестись.
Учитывая, что этот метод аутентификации находится в зачаточном состоянии и все еще ждет внедрения многими почтовыми провайдерами, есть несколько шагов, которые пользователи могут предпринять, чтобы убедиться, что они готовы к грандиозному внедрению, когда он, наконец, попадет на наши серверы.
Одно можно сказать наверняка, учитывая, что Google включает интеграцию BIMI с G Suite, это должен быть только вопрос времени, пока весь остальной мир не наверстает упущенное.
Как подготовиться к BIMI?
Чтобы активировать аутентификацию BIMI почты, вы должны сначала аутентифицировать вашу почту с помощью SPF, DKIM и DMARC, гарантируя выравнивание (домен одинаковый на всем протяжении). Политика DMARC должна быть применена либо в карантине, либо в отказе, и DNS домена должна иметь правильную BIMI-запись.
Вам также нужно будет разместить соответствующий файл логотипа в качестве ссылки на результирующую аутентификацию, чтобы показать ее в почтовых ящиках получателя. Ваш логотип должен быть в правильном формате SVG и, возможно, VMC (Verified Mark Certificate) для аутентификации файла.
Полная аутентификация для ваших кампаний по электронной почте
Мы поняли, что каждый из этих методов сам по себе не является универсальным решением, упрощающим жизнь. Однако если немного поработать над тем, чтобы объединить каждую из этих систем в единое целое, вы будете гораздо более надежны в доставке ваших кампаний и сообщений по электронной почте, чем вы могли бы без них.
Это стоит потраченного времени и усилий, если это гарантирует защиту вашей службы, вашего Абоненты и повышает связь и отдачу от вашего маркетинга.