Zabezpečenie e-mailov je oveľa zložitejšie, než sa na prvý pohľad zdá. Všetci dobre vieme, že e-mail je jednou z najťažšie napadnuteľných oblastí pre phishing osobných údajov a citlivých informácií.

Hackeri sú čoraz lepší vo vytváraní autenticky vyzerajúcich správ, ktoré mnohých oklamú tak, že kliknú na výzvu k akcii a poskytnú podvodníkom informácie, ktoré hľadajú - často prihlasovacie údaje a finančný prístup.

Overovanie e-mailov - čo to je?

Overovanie e-mailov je systém určený na ochranu vašej povesti tým, že pri odosielaní e-mailovej kampane kontroluje, či ste ten, za koho sa vydávate. Tieto štyri koncepty sú pomerne jednoduché, avšak nastavenie jednotlivých metód môže byť zložité. Ponúkaná ochrana v kombinácii je však taká dobrá, akú môžete zaviesť v rámci našich súčasných systémov.

Aké sú možné metódy?

V súčasnosti sa používajú tieto štyri typické metódy overovania e-mailu:

  1. SPF - Rámec politiky odosielateľa
    Tento štandard vykonáva pôvodnú kontrolu, či každý e-mail pochádza z dôveryhodnej IP adresy.
  2. DKIM - DomainKeys Identified Mail
    Ďalšia kontrola identity, ale tentoraz s použitím šifrovacieho kľúča ako digitálneho podpisu.
  3. DMARC - správa o overovaní správ domény a zhode
    DMARC zabezpečuje, aby e-maily pred doručením spĺňali požiadavky SPF aj DKIM.
  4. BIMI - Indikátory značky na identifikáciu správy
    BIMI poskytuje poslednú kontrolu so zameraním na dôveryhodnosť odosielateľa a zobrazenie imidžu značky odosielateľa u príjemcu schránka (ak je v súčasnosti podporovaný).

Na každý z nich sa pozrieme hlbšie o niečo neskôr, ale najprv si vysvetlíme, prečo sú také dôležité, a povieme si niečo o tom, ako fungujú.

Ako funguje overovanie e-mailu?

Každá z metód overovania (SPF DKIM DMARC BIMI) uplatňuje na vaše e-maily úroveň zabezpečenia pomocou vašej e-mailovej domény, aby sa overilo, že ste ten, za koho sa vydávate.

  1. Odosielateľ definuje zásady/pravidlá overovania svojej domény.
  2. Potom nakonfigurujú doménové servery DNS a e-mailové servery na implementáciu týchto pravidiel.
  3. Servery príjemcov overujú prichádzajúce e-maily tak, že ich porovnávajú s pravidlami pevne stanovenými v doméne DNS.
  4. Ak je overenie autentifikované, server príjemcu bezpečne spracuje e-mailovú správu; ak overenie zlyhá, správa sa zablokuje, umiestni do karantény alebo sa spravuje v súlade s rozhodnutím o overení.

Aké sú výhody?

Ako vidíte, ak nenastavíte overovanie e-mailov, riskujete odmietnuté e-maily, vyššiu mieru nevyžiadanej pošty a nižšiu mieru doručenia.

Vaše starostlivo premyslené, krásne navrhnuté a vytvorené správy majú oveľa menšiu šancu, že sa dostanú do schránok, pre ktoré sú určené.

Ešte horšie je, že bez zavedených metód overovania e-mailov je vaša značka oveľa ľahšie podvrhnuteľná, čo vás a vašich klientov necháva otvorenými voči e-mailovým útokom, hackerským útokom a phishingu.

Nastavenie overovania e-mailu

Ak chcete nastaviť svoju doménu tak, aby spravovala jednotlivé metódy overovania, potrebujete prístup k nastaveniam DNS (Domain Name System) prostredníctvom služby registrácie domény.

Po prístupe k nastaveniam DNS pridáte do domény rôzne záznamy TXT a CNAME.

Ak chcete zistiť hodnoty nastavení svojej domény, musíte sa obrátiť na hostiteľov e-mailu. Poskytnú vám nastavenia záznamov SPF, vygenerujú selektor DKIM v rámci svojej oblasti hostingu a ukážu vám, ako implementovať zásady DMARC, pretože hostitelia sa často líšia v spôsobe konfigurácie.

Pridáte ďalší záznam TXT, ktorý bude obsahovať záznam BIMI vrátane cesty k súboru s obrázkom značky.

ČÍTAŤ VIAC
OTÁZKY A ODPOVEDE: Zoznam e-mailov

SPF - Rámec politiky odosielateľa

SPF je štandardné overovanie vytvorené v začiatkoch vývoja elektronickej pošty. Kedysi bol vhodný pre prvé e-mailové systémy, v prípade moderných poštových metód však predstavuje niekoľko problémov. Preto je potrebné využiť všetky štyri metódy, aby sa dosiahla forma úplného krytia.

Záznamy SPF sú uložené v obyčajnom texte v rámci domény DNS a určujú adresy IP s povolením na odosielanie z domény.

Keď e-mailový server príjemcu vykoná vyhľadávanie DNS na získanie záznamu SPF, použije hodnotu v návratovej ceste správy.

Problémy s overovaním SPF

Syntax - Napriek tomu, že ide o textové záznamy, syntax môže byť pri zadávaní záznamov DNS zložitá. Ak nie sú presné, overenie zlyhá, aj keď sú správa a odosielateľ pravé.

Identifikácia schválených adries IP - Zdieľané systémy, ako napríklad cloudové platformy, môžu byť hostiteľmi viacerých služieb s dynamicky prideľovanými adresami IP. Aj keď je možné určiť a schváliť IP, môže to tiež umožniť komukoľvek inému používať rovnakú zdieľanú IP pomocou vášho záznamu SPF.

SPF sa dá podvrhnúť - SPF používa na overenie skryté pole návratovej cesty - nie pole "od", ktoré príjemcovia môžu jasne vidieť. Hacker, ktorý sa snaží získať informácie, môže predložiť platný hľadá doménu a e-mailovú adresu v poli "od", ale ako spiatočnú cestu používa svoj vlastný e-mail a používa svoj vlastný systém overovania, aby prešiel kontrolou servera.

SPF nepodporuje preposielanie e-mailov - server príjemcu neoverí preposlanú správu, pretože sa zdá, že identifikačná doména je doména preposielajúceho servera, a nie pôvodná doména.

Ako vidíte, to, čo bolo kedysi prijateľnou metódou, je teraz výrazne chybné. Poskytuje základy, na ktorých sa dá stavať pri zvyšovaní celkovej bezpečnosti. Ako samostatná metóda však v dnešnej technológii jednoducho nestačí.

 

DKIM - DomainKeys Identified Mail

DKIM používa na podpisovanie e-mailových správ šifrovanie verejným/súkromným kľúčom. Overuje, že e-maily boli odoslané z domény a že e-mail nebol počas prenosu upravený.

Je to bezpečnejšia metóda overovania, pretože zaručuje, že správa nebola počas doručovania zmenená. Ďalšou výhodou je, že overenie DKIM prežije aj preposielanie e-mailov.

Vlastník domény vytvára kryptografické kľúče v pároch: verejný a súkromný. Verejný kľúč je umiestnený ako záznam TXT v DNS domény. Pri odosielaní e-mailu sa na základe obsahu správy vygeneruje "hash". Tento hash sa zašifruje súkromným kľúčom domény a pripojí sa k hlavičke e-mailu.

E-mailový server príjemcu prečíta zašifrované informácie pomocou verejného kľúča umiestneného v systéme DNS, a ak sa všetko zhoduje, overenie je povolené.

Selektory DKIM

Každá doména môže používať niekoľko selektorov. Tieto hodnoty sa používajú na identifikáciu jedinečných vlastností, napríklad subdomén, používateľov, lokalít a služieb. Každý selektor pracuje s vlastným verejným kľúčom, čím sa vzdáva jediného zdieľaného kľúča pre všetky prípady.

Problémy s overovaním DKIM

Nesúlad podpisov - platný podpis DKIM môže používať úplne inú doménu, ako je doména uvedená v poli "from". Vďaka tomu je phishing z inej e-mailovej domény jednoduchý proces.

Zabezpečenie kľúčov - hacker, ktorý podpisuje správy pomocou domény iného používateľa, môže svoje e-maily dokonale overiť pomocou súkromného kľúča tejto domény.

Implementácia a správa kľúčov - Dlhé a bezpečnejšie kľúče môžu byť pri použití v doméne DNS problematické. Tieto dlhé reťazce údajov sa dajú ľahko nesprávne použiť, a to aj pri kopírovaní a vkladaní.

Ak chcete z DKIM vyťažiť maximum, je potrebné ho prepojiť s DMARC, čím sa do hry zapojí doména použitá v poli "from". Teraz vidíte, ako každý systém závisí od predchádzajúcej metódy, aby sa vytvoril úplný a účinný systém overovania.

DMARC - správa o overovaní správ domény a zhode

Ako už bolo spomenuté, DMARC presadzuje používanie domény nastavenej v poli from, aby sa zabránilo hackerom a útočníkom používať alternatívne domény na obchádzanie bezpečnostných kontrol.

Zahŕňa aj mechanizmus hlásenia, ktorý umožňuje odosielateľovi rozhodnúť, ako naložiť s výsledkami overovania. Záznam DMARC riadi, kam a ako servery príjemcov posielajú hlásenia.

DMARC v podstate zapĺňa medzery medzi SPF a DKIM a zvyšuje doručiteľnosť e-mailov. Spameri už nemôžu zneužívať tieto chránené domény, preto sa reputácia domény buduje, čím sa neustále zvyšuje miera doručiteľnosti.

Vykonávanie DMARC

Záznam DMARC určuje, čo sa má robiť s e-mailami, ktoré sa nepodarí autorizovať. Zásada má tri výsledky: nerobiť nič, umiestniť do karantény alebo odmietnuť. Správa DMARC upozorňuje držiteľa domény na to, odkiaľ takéto neúspešné správy prišli, a poskytuje mu dôležité informácie o porušení a o tom, čo môže urobiť, aby podnikol ďalšie ochranné kroky.

BIMI - Značkové indikátory na identifikáciu správ

Očakáva sa, že zahrnutie overovania e-mailov BIMI prinesie približne 10% zvýšenie angažovanosti prostredníctvom doručiteľnosti - to nie je číslo, ktoré by sa malo brať na ľahkú váhu.

Vzhľadom na to, že táto metóda overovania je ešte len v plienkach a mnohí poskytovatelia e-mailových služieb ju ešte stále nezaviedli, používatelia môžu podniknúť niekoľko krokov, aby sa uistili, že sú pripravení na jej veľké zavedenie, keď sa konečne dostane na naše servery.

Vzhľadom na to, že spoločnosť Google integruje BIMI do balíka G Suite, je isté, že je len otázkou času, kedy sa k nej pridá aj zvyšok sveta.

Ako sa pripraviť na BIMI?

Ak chcete aktivovať overovanie e-mailov BIMI, musíte najprv overiť e-maily pomocou SPF, DKIM a DMARC a zabezpečiť zosúladenie (doména je v celom texte rovnaká). Zásady DMARC musia byť vynútené buď na úrovni karantény, alebo odmietnutia a doména DNS musí mať správny záznam BIMI.

Budete tiež musieť hosťovať príslušný súbor s logom ako odkaz, aby sa výsledné overenie zobrazilo v schránkach príjemcov. Vaše logo bude musieť byť v správnom formáte SVG a prípadne s certifikátom VMC (Verified Mark Certificate) na overenie súboru.

Úplné overenie pre vaše e-mailové kampane

Zistili sme, že každá z týchto metód sama o sebe neposkytuje žiadne komplexné riešenie, ktoré by zjednodušilo život. S trochou práce na spojení každého z týchto systémov do jedného celku však budete mať oveľa väčšiu istotu pri doručovaní svojich e-mailových kampaní a správ, než by ste mohli niekedy byť bez nich.

Stojí to za čas a námahu, ak to zabezpečí ochranu vašich služieb, vašich odberateľov a zvýši prepojenie a návratnosť vášho marketingu.

Čistenie zoznamu podľa Bouncer