Metoder för autentisering av e-post - grunderna bakom SPF, DKIM, DMARC och BIMI

2 april 2021
7

E-postsäkerhet är mycket mer än vad man först kan tro. Vi är alla väl medvetna om att e-post är ett av de områden som är mest utsatta för nätfiske efter personuppgifter och känslig information.

Hackare har blivit mycket bättre på att skapa autentiska meddelanden som lurar många att klicka på en uppmaning till handling och ge bedragarna den information de är ute efter - ofta inloggningsuppgifter och ekonomisk tillgång.

E-postautentisering - vad är det?

Autentisering av e-post är ett system som är utformat för att skydda ditt rykte genom att kontrollera att du är den du utger dig för att vara när du skickar en e-postkampanj. De fyra begreppen är enkla nog, men det kan vara svårt att ställa in varje metod. Det skydd som erbjuds när de kombineras är dock så bra som du kan införa med våra nuvarande system.

Vilka är de möjliga metoderna?

De fyra vanligaste metoderna för autentisering av e-postmeddelanden är följande:

  1. SPF - Ramverk för sändarpolicy
    Denna standard utför den ursprungliga kontrollen för att se till att varje e-postmeddelande kommer från en betrodd IP-adress.
  2. DKIM - DomainKeys Identified Mail (identifierad e-post för domännamn)
    Ännu en identitetskontroll, men den här gången med en krypteringsnyckel som digital signatur.
  3. DMARC - Rapportering och överensstämmelse för autentisering av meddelanden inom domänen (Domain Message Authentication Reporting and Conformance)
    DMARC säkerställer att e-postmeddelandet uppfyller både SPF- och DKIM-kraven innan det levereras.
  4. BIMI - märkesindikatorer för identifiering av meddelanden
    BIMI gör en sista kontroll med fokus på avsändarens trovärdighet och visar avsändarens varumärkesbild i mottagarens inkorg (där det för närvarande finns stöd).

Vi kommer att titta närmare på var och en av dem lite längre fram, men först ska vi förklara varför de är så viktiga och hur de fungerar.

Hur fungerar e-postautentisering?

Var och en av autentiseringsmetoderna (SPF DKIM DMARC BIMI) tillämpar ett säkerhetslager på din e-post och använder din e-postdomän för att verifiera att du är den du påstår dig vara.

  1. Avsändaren definierar policyn/reglerna för hur deras domän ska autentiseras.
  2. De konfigurerar sedan domänens DNS och e-postservrar för att genomföra dessa regler.
  3. Mottagarservrar kontrollerar inkommande e-post genom att kontrollera den mot de regler som fastställts i domänens DNS.
  4. Om autentiseringen misslyckas blockeras meddelandet, sätts i karantän eller hanteras i enlighet med autentiseringsbeslutet.

Vilka är fördelarna?

Som du kan se riskerar du att få avvisade e-postmeddelanden, högre andel skräppost och lägre leveransfrekvens om du inte konfigurerar din e-postautentisering.

Dina noggrant genomtänkta, vackert utformade och skapade meddelanden har mycket mindre chans att landa i inkorgen som de är avsedda för.

Ännu värre är det att om du inte har en metod för autentisering av e-post är ditt varumärke mycket lättare att förfalskas, vilket gör att du och dina kunder är helt öppna för e-postattacker, hackningar och nätfiske.

Konfigurera autentisering av e-post

För att konfigurera domänen så att den kan hantera varje autentiseringsmetod behöver du tillgång till DNS-inställningarna (Domännamn System) via din domänregistreringstjänst.

När du har öppnat DNS-inställningarna lägger du till olika TXT- och CNAME-poster till din domän.

För att ta reda på vilka värden dina domäninställningar har, måste du kontrollera med ditt e-postvärd. De kan ge dig inställningarna för dina SPF-poster, generera din DKIM-selektor från deras webbhotell och visa dig hur du implementerar din DMARC-policy, eftersom värdarna ofta skiljer sig åt i hur de är konfigurerade.

Du lägger till ytterligare en TXT-post för att inkludera en BIMI-post, inklusive sökvägen till ditt varumärke. bildfil.

SPF - Ramverk för sändarpolicy

SPF är en standardautentisering som skapades i början av utvecklingen av e-post. Den var lämplig för tidiga e-postsystem, men har flera problem för moderna e-postmetoder. Därför är det nödvändigt att använda alla fyra metoderna för att leverera en form av fullständig täckning.

SPF-poster lagras i klartext i domän-DNS och anger den IP-adresser med tillstånd att skicka från domänen.

När mottagarens e-postserver gör en DNS-sökning för att hämta SPF-posten använder den värdet i meddelandets retursökväg.

Problem med SPF-autentisering

Syntax - Trots att de är textposter är syntaxen kan bli knepig när du anger DNS-poster.. Om de inte är exakta kommer autentiseringen att misslyckas, även om meddelandet och avsändaren är äkta.

Identifiera godkända IP-adresser - Delade system, t.ex. molnplattformar, kan vara värd för flera tjänster med dynamiskt tilldelade IP-adresser. Även om IP:n kan fastställas och godkännas kan det också vara möjligt för vem som helst att använda samma delade IP genom att använda din SPF-post.

SPF kan förfalskas - SPF använder det dolda fältet för retursökväg för autentisering, inte fältet för "från" som mottagarna tydligt kan se. En hackare som försöker nätfiska efter information kan presentera en giltig domän och e-postadress i fältet "från", men ha sin egen e-postadress som returväg och använda sitt eget autentiseringssystem för att komma igenom serverkontrollerna.

SPF stöder inte vidarebefordran av e-post - En mottagarserver kommer att misslyckas med att validera ett vidarebefordrat meddelande eftersom den identifierande domänen verkar vara den som tillhör den vidarebefordrande servern och inte den ursprungliga domänen.

Som ni ser är det som en gång var en godtagbar metod nu mycket bristfälligt. Det ger en grund att bygga vidare på för att uppnå en större säkerhet i alla avseenden. Som fristående metod räcker den dock inte till i dagens teknik.

DKIM - DomainKeys Identified Mail (identifierad e-post för domännamn)

DKIM använder offentlig/privat nyckelkryptering för att signera e-postmeddelanden. Det verifierar att e-postmeddelanden skickades från domänen och att e-postmeddelandet inte har ändrats under transporten.

Det är en säkrare autentiseringsmetod, eftersom den garanterar att meddelandet inte har ändrats under leveransen. En annan fördel är att DKIM-autentisering överlever vid vidarebefordran av e-postmeddelanden.

Domänägaren skapar kryptografiska nycklar i par: offentliga och privata. Den offentliga nyckeln placeras som en TXT-post i domänens DNS. När ett e-postmeddelande skickas genereras en "hash" utifrån den Meddelandets innehåll.. Denna hash krypteras med domänens privata nyckel och bifogas i e-postmeddelandets rubrik.

Mottagarens e-postserver läser den krypterade informationen med hjälp av den offentliga nyckeln som finns i DNS, och om allt stämmer överens beviljas autentisering.

DKIM-selektorer

Varje domän kan använda flera selektorer. Dessa värden används för att identifiera unika egenskaper, till exempel underdomäner, användare, platser och tjänster. Varje väljare använder sin egen offentliga nyckel och avstår därmed från en enda delad nyckel för alla eventualiteter.

Problem med DKIM-autentisering

Felaktiga signaturer - En giltig DKIM-signatur kan använda en helt annan domän än den som visas i fältet "from". Det gör det enkelt att nätfiska från en annan e-postdomän. process.

Nyckelsäkerhet - En hackare som signerar meddelanden med en annan användares domän kan få sina e-postmeddelanden validerade på ett perfekt sätt med den domänens privata nyckel.

Implementering och hantering av nycklar - Långa, säkrare nycklar kan vara problematiska när de tillämpas på domän-DNS. Dessa långa datasträngar kan lätt användas på fel sätt, även när man kopierar och klistrar in dem.

För att få ut det bästa av DKIM måste DKIM kombineras med DMARC, vilket innebär att domänen som används i fältet "from" kommer in i bilden. Du kan nu se hur varje system är beroende av sin tidigare metod för att skapa ett komplett och effektivt autentiseringssystem.

DMARC - Rapportering och överensstämmelse för autentisering av meddelanden inom domänen (Domain Message Authentication Reporting and Conformance)

Som redan nämnts tvingar DMARC fram användningen av den domän som anges i fältet from till förhindra hackare och angripare från att använda alternativa domäner för att kringgå säkerhetskontroller.

Den innehåller också en rapporteringsmekanism som gör det möjligt för avsändaren att bestämma vad han eller hon ska göra med autentiseringsresultaten. DMARC-posten styr var och hur mottagarservrar skickar rapporter.

DMARC täpper till luckorna mellan SPF och DKIM och förbättrar leveransbarheten för e-post. Spammare kan inte längre missbruka dessa skyddade domäner, och därför byggs domänens rykte upp, vilket hela tiden förbättrar leveransgraden.

Verkställighet av DMARC

DMARC-posten anger vad som ska göras med e-postmeddelanden som inte godkänns. Policyn har tre utfall: gör ingenting, sätt i karantän eller avvisa. En DMARC-rapport varnar domäninnehavaren för varifrån sådana misslyckade meddelanden har kommit och ger viktig information om överträdelsen och vad de kan göra för att vidta ytterligare skyddsåtgärder.

BIMI - märkesindikatorer för identifiering av meddelanden

Förhoppningen är att BIMI:s e-postautentisering kommer att öka engagemanget med 10% genom leveransförmåga - det är inte en siffra att ta lätt på.

Med tanke på att denna autentiseringsmetod är i sin linda och fortfarande väntar på att införas av många e-postleverantörer finns det flera steg som användare kan ta för att se till att de är redo för en stor lansering när den äntligen når våra servrar.

En sak är säker, med tanke på att Google inkluderar BIMI-integration i G Suite är det bara en tidsfråga innan resten av världen hinner ikapp.

Hur förbereder man sig för BIMI?

För att aktivera BIMI-autentisering av e-post måste du först autentisera din e-post med SPF, DKIM och DMARC och se till att den är anpassad (domänen är densamma överallt). DMARC-policyn måste tillämpas på antingen karantän eller avvisning, och domänens DNS måste ha rätt BIMI-post.

Du måste också lägga upp en lämplig logotypfil som en länk för att den resulterande autentiseringen ska visas i mottagarnas inboxar. Logotypen måste vara i rätt SVG-format och eventuellt ha ett VMC-certifikat (Verified Mark Certificate) för att autentisera filen.

Fullständig autentisering för dina e-postkampanjer

Vi har lärt oss att var och en av dessa metoder i sig inte ger någon lösning som gör livet enkelt. Men med lite arbete för att sammanföra varje system till ett enda, kommer du att vara mycket säkrare i leveransen av dina e-postkampanjer och meddelanden än vad du skulle kunna någonsin vara utan dem.

Det är värt den tid och ansträngning det tar om det garanterar skyddet av din tjänst, din prenumeranter och ökar anslutningen och avkastningen på din marknadsföring.

Linje och prickar

Mest populära på vår blogg

Blogginlägg Utkastare

Hur man verifierar om en e-postadress är riktig eller falsk: En guide

Izabela Harbarczyk
Läs mer
Blogginlägg Utkastare

Hur man kontrollerar om en e-postadress är giltig: Den ultimata guiden

Izabela Harbarczyk
Läs mer
Blogginlägg Utkastare

Ett e-postkonto: Den enda guide för nybörjare som du behöver

Izabela Harbarczyk
Läs mer
Blogginlägg Utkastare

Vad är sändningsgränser för Gmail? Alla frågor besvarade

Izabela Harbarczyk
Läs mer