Методи автентифікації електронної пошти - основи SPF, DKIM, DMARC та BIMI

Квітень 2, 2021
7

Безпека електронної пошти - це набагато більше, ніж може здатися на перший погляд. Ми всі добре знаємо, що електронна пошта є однією з найбільш вразливих сфер для фішингу з метою виманювання персональних даних та конфіденційної інформації.

Хакери стають набагато кращими у створенні автентичних повідомлень, які обманюють багатьох людей, змушуючи їх натискати на заклик до дії та надаючи шахраям інформацію, яку вони шукають - часто дані для входу в систему та доступ до фінансів.

Зміст

Автентифікація електронної пошти - що це таке?

Аутентифікація по електронній пошті це система, призначена для захисту вашої репутації, яка перевіряє, чи є ви тим, за кого себе видаєте під час відправлення розсилки. Ці чотири концепції досить прості, проте налаштування кожного з методів може бути складним. Однак, захист, що пропонується в поєднанні, є настільки хорошим, наскільки це можливо в рамках наших поточних систем.

Які можливі методи?

На сьогодні існують чотири типові методи автентифікації електронної пошти:

  1. SPF - Рамки політики відправника
    Цей стандарт виконує первинну перевірку, щоб переконатися, що кожна електронна пошта надходить з довіреної IP-адреси.
  2. DKIM - DomainKeys Identified Mail
    Ще одна перевірка особи, але вже з використанням ключа шифрування в якості цифрового підпису.
  3. DMARC - Звітність та відповідність автентифікації доменних повідомлень
    DMARC гарантує, що електронні листи відповідають вимогам SPF та DKIM перед їх доставкою.
  4. BIMI - Brand Indicators for Message Identification (Індикатори бренду для ідентифікації повідомлень)
    BIMI здійснює останню перевірку, зосереджуючись на довірі до відправника та відображаючи імідж бренду відправника у поштовій скриньці одержувача (там, де це наразі підтримується).

Ми розглянемо кожну з них трохи далі, але спочатку пояснимо, чому вони такі важливі, і трохи розповімо про те, як вони працюють.

Як працює автентифікація електронної пошти?

Кожен з методів автентифікації (SPF DKIM DMARC BIMI) застосовує рівень безпеки до ваших електронних листів з використанням вашого домену електронної пошти, щоб переконатися, що ви є тим, за кого себе видаєте.

  1. Відправник визначає політику/правила автентифікації свого домену.
  2. Потім вони налаштовують DNS домену та поштові сервери для реалізації цих правил.
  3. Сервери одержувачів перевіряють вхідну електронну пошту, звіряючи її з правилами, зафіксованими в DNS домену.
  4. Після автентифікації сервер одержувача безпечно обробляє електронну пошту; якщо автентифікація не вдається, повідомлення блокується або поміщається в карантин, або обробляється відповідно до рішення про автентифікацію.

Які переваги?

Як бачите, якщо ви не налаштуєте автентифікацію електронної пошти, ви ризикуєте отримати відхилені листи, підвищити рівень спаму та знизити швидкість доставки.

Ваші ретельно продумані, красиво оформлені та створені повідомлення мають набагато менше шансів потрапити до поштових скриньок, для яких вони призначені.

Що ще гірше, без методів автентифікації електронної пошти ваш бренд набагато легше підробити, залишаючи вас і ваших клієнтів відкритими для електронних атак, хакерських атак і фішингу.

Налаштування автентифікації електронної пошти

Щоб налаштувати домен для управління кожним методом аутентифікації, потрібен доступ до налаштувань DNS (Доменне ім'я System) через ваш сервіс реєстрації доменів.

Отримавши доступ до налаштувань DNS, ви додасте різні записи TXT та CNAME до свого домену.

Щоб дізнатися значення параметрів вашого домену, вам потрібно звернутися до хостинг-провайдерів вашої електронної пошти. Вони нададуть вам налаштування для ваших записів SPF, згенерують ваш селектор DKIM з їхньої зони хостингу та покажуть, як реалізувати вашу політику DMARC, оскільки хостинги часто відрізняються за способом налаштування.

Ви додасте ще один TXT-запис, щоб включити запис BIMI, включаючи шлях до вашого бренду файл зображення.

SPF - Рамки політики відправника

SPF - це стандарт автентифікації, створений на початку розвитку електронної пошти. Якщо колись він підходив для ранніх систем електронної пошти, то для сучасних методів електронної пошти він має ряд недоліків. Ось чому необхідно використовувати всі чотири методи для забезпечення повного захисту.

Записи SPF зберігаються у вигляді відкритого тексту в межах DNS домену і диктують IP-адреси з дозволом на відправку з домену.

Коли поштовий сервер одержувача виконує DNS-пошук для отримання запису SPF, він використовує значення в шляху повернення повідомлення.

Проблеми з аутентифікацією SPF

Синтаксис - незважаючи на те, що це текстові записи, вони синтаксис може заплутатися при введенні DNS-записів. Якщо вони не точні, то автентифікація не пройде, навіть якщо повідомлення і відправник є справжніми.

Ідентифікація затверджених IP-адрес - спільні системи, такі як хмарні платформи, можуть розміщувати декілька служб з динамічно призначеними IP-адресами. Хоча IP-адреса може бути визначена та авторизована, вона також може дозволити будь-кому іншому використовувати ту саму спільну IP-адресу за допомогою вашого запису SPF.

SPF може бути підроблений - SPF використовує приховане поле зворотного шляху для автентифікації, а не поле "від", яке одержувачі можуть чітко бачити. Хакер, який займається фішингом інформації, може представити дійсний домен та адресу електронної пошти в полі "від", але мати власну електронну пошту в якості зворотного шляху, використовуючи власну систему автентифікації для проходження перевірок сервера.

SPF не підтримує переадресацію електронної пошти - Сервер одержувача не зможе підтвердити переадресоване повідомлення, оскільки ідентифікаційний домен, здається, належить серверу переадресації, а не оригінальному домену.

Як бачите, те, що колись було прийнятним методом, зараз має суттєві недоліки. Він забезпечує основи, на які можна спиратися для посилення всебічної безпеки. Проте як самостійний метод він просто не відповідає сучасним технологіям.

DKIM - DomainKeys Identified Mail

DKIM використовує шифрування з відкритим/закритим ключем для підписання електронних повідомлень. Він перевіряє, що електронні листи були відправлені з домену і що електронні листи не були змінені в дорозі.

Це більш безпечний метод автентифікації, оскільки він гарантує, що повідомлення не було змінено під час доставки. Ще однією перевагою є те, що автентифікація DKIM витримує пересилання електронної пошти.

Власник домену створює криптографічні ключі попарно: відкритий і закритий. Відкритий ключ розміщується у вигляді TXT-запису в DNS домену. При відправленні електронного листа генерується "хеш" на основі зміст повідомлення. Цей хеш шифрується за допомогою закритого ключа домену та додається до заголовку листа.

Поштовий сервер одержувача зчитує зашифровану інформацію за допомогою відкритого ключа, розміщеного в DNS, і якщо все збігається, відбувається аутентифікація.

Селектори DKIM

Кожен домен може використовувати декілька селекторів. Ці значення використовуються для ідентифікації унікальних властивостей, наприклад, субдоменів, користувачів, місцезнаходження та послуг. Кожен селектор працює з використанням власного відкритого ключа, відмовляючись від єдиного спільного ключа на всі випадки життя.

Проблеми з аутентифікацією DKIM

Невідповідність підписів - дійсний DKIM-підпис може використовувати зовсім інший домен, ніж той, що вказаний у полі "від". Це робить фішинг з іншого поштового домену простим процес.

Безпека ключів - хакер, який підписує повідомлення з використанням домену іншого користувача, може ідеально перевірити свою електронну пошту, використовуючи приватний ключ цього домену.

Впровадження та управління ключами - Довгі, більш захищені ключі можуть бути проблематичними при застосуванні до домену DNS. Ці довгі рядки даних легко застосувати неправильно, навіть при копіюванні та вставці.

Щоб отримати максимальну віддачу від DKIM, його потрібно використовувати в партнерстві з DMARC, залучаючи домен, який використовується в полі "від". Тепер ви бачите, як кожна система залежить від попереднього методу для створення повної та ефективної системи автентифікації.

DMARC - Звітність та відповідність автентифікації доменних повідомлень

Як вже було сказано, DMARC примушує використовувати домен, встановлений в полі від до запобігати хакерів та зловмисників від використання альтернативних доменів для обходу перевірок безпеки.

Він також включає механізм звітності, який дозволяє відправнику вирішувати, що робити з результатами аутентифікації. Запис DMARC контролює, куди і як сервери одержувачів надсилають звіти.

По суті, DMARC заповнює прогалини між SPF і DKIM і підвищує ефективність доставки електронної пошти. Спамери більше не можуть зловживати цими захищеними доменами; отже, репутація домену зростає, постійно покращуючи показники доставлення.

Правозастосування в ДМАРК

Запис DMARC диктує, що робити з електронними листами, які не пройшли авторизацію. Політика має три варіанти дій: нічого не робити, помістити в карантин або відхилити. Звіт DMARC попереджає власника домену про те, звідки прийшли такі невдалі повідомлення, надаючи критично важливу інформацію про порушення і про те, що він може зробити для вжиття подальших захисних заходів.

BIMI - Brand Indicators for Message Identification (Індикатори бренду для ідентифікації повідомлень)

Сподіваємося, що включення автентифікації електронної пошти BIMI забезпечить приблизно на 10% збільшення взаємодії за рахунок результативності - це не та цифра, яку слід сприймати легковажно.

Оскільки цей метод автентифікації знаходиться на стадії становлення і все ще очікує на впровадження багатьма провайдерами електронної пошти, є кілька кроків, які користувачі можуть зробити, щоб переконатися, що вони готові до великого розгортання, коли він, нарешті, потрапить на наші сервери.

Одне можна сказати напевно, враховуючи, що Google включає інтеграцію BIMI в G Suite, це лише питання часу, коли решта світу підтягнеться до неї.

Як підготуватися до BIMI?

Щоб активувати автентифікацію електронної пошти BIMI, ви повинні спочатку автентифікувати свої електронні листи за допомогою SPF, DKIM та DMARC, забезпечивши вирівнювання (домен однаковий у всьому). Політика DMARC повинна застосовуватися в режимі карантину або відхилення, а DNS домену повинен мати правильний запис BIMI.

Вам також потрібно буде розмістити відповідний файл логотипу у вигляді посилання для відображення отриманої автентифікації у вхідних повідомленнях одержувачів. Логотип повинен бути у правильному форматі SVG і, можливо, мати сертифікат VMC (Verified Mark Certificate) для підтвердження автентичності файлу.

Повна автентифікація для ваших email-розсилок

Ми зрозуміли, що кожен з цих методів сам по собі не є універсальним рішенням для спрощення життя. Однак, доклавши трохи зусиль, щоб об'єднати кожну з систем в єдине ціле, ви будете набагато більш захищені в доставці ваших email-кампаній та повідомлень, ніж ви могли б ніколи не буде без них.

Це варте витраченого часу та зусиль, якщо це забезпечить захист Вашої служби, Вашого абоненти та підвищує зв'язність і прибутковість вашого маркетингу.

Лінії та крапки

Найпопулярніші в нашому блозі

Допис у блозі Вишибала

Як перевірити, чи справжня адреса електронної пошти чи фейкова: Інструкція

Ізабела Харбарчик
Читати далі
Допис у блозі Вишибала

Як перевірити, чи дійсна адреса електронної пошти: Повний посібник

Ізабела Харбарчик
Читати далі
Допис у блозі Вишибала

Поштова скринька: Єдиний посібник для початківців, який вам потрібен

Ізабела Харбарчик
Читати далі
Допис у блозі Вишибала

Що таке ліміти на імейли Gmail? Відповіді на всі запитання

Ізабела Харбарчик
Читати далі