Czym są rekordy SPF, DKIM i DMARC? I dlaczego ich potrzebujesz?

SPF, DKIM, DMARC to więcej niż tylko techniczne konfiguracje poczty e-mail. Mają szkodliwy wpływ na dostarczanie wiadomości e-mail. Pracują razem, aby zapewnić lepsze dostarczanie wiadomości e-mail.

Krótko mówiąc, wszystkie trzy podejścia są wykorzystywane przez dostawców usług internetowych (ISP) do weryfikacji autentyczności wiadomości e-mail. Czy nadawca naprawdę jest tym, za kogo się podaje?

Aby przejść przez filtry ISP, musisz wykazać, że jesteś prawidłowym nadawcą. Jak możesz pokazać, że nie wysyłasz w czyimś imieniu i że Twoja tożsamość nie została skradziona? Korzystając z SPF DKIM DMARC.

Rekordy tekstowe, które wyraźnie potwierdzają i chronią autentyczność nadawcy, są znane jako rekordy SPF DKIM DMARC.

Możesz ustawić wszystkie te rekordy na CyberPanel za pomocą: Osiągnij 10/10 wyniku e-mail z CyberPanel!

SPF

Sender Policy Framework, w skrócie SPF, to protokół sprawdzania poprawności wiadomości e-mail do wykrywania i blokowania fałszowania wiadomości e-mail. Umożliwia pośrednikom pocztowym sprawdzenie, czy poczta przychodząca z określonej domeny pochodzi z adresu IP dozwolonego przez administrację domeny. Rekord SPF to rekord TXT w systemie DNS (Domain Name System), który wskazuje, które adresy IP i/lub serwery mogą wysyłać pocztę „z” tej domeny. Jest to podobne do posiadania godnego zaufania i identyfikowalnego adresu zwrotnego na pocztówce: większość osób znacznie częściej otwiera list, jeśli adres zwrotny jest wiarygodny i rozpoznawalny.

Dostawcy usług internetowych sprawdzają domenę Return-Path wiadomości po jej przesłaniu. Adres IP, który wysłał wiadomość e-mail, jest następnie porównywany z adresem IP podanym w rekordzie SPF domeny Return-Path w celu sprawdzenia, czy są zgodne. Jeśli tak, dostawcy usług internetowych weryfikują weryfikację SPF i wysyłają wiadomość.

Przykład rekordu SPF:

v=spf1 ip4:168.119.13.219 include:mailgun.org include:zoho.com include:mxlogin.com ~all

Dlaczego to jest ważne?

SPF to „proponowany standard”, który pomaga w ochronie użytkowników poczty e-mail przed spamerami. Fałszywe adresy i domeny „od” są często wykorzystywane w spamie e-mail i phishingu. W rezultacie większość ludzi uważa publikowanie i sprawdzanie rekordów SPF za jedną z najskuteczniejszych i najprostszych strategii antyspamowych. Jeśli masz dobry obraz do wysyłania, spamer może próbować wysłać wiadomość e-mail z Twojej domeny, aby skorzystać z dobrej reputacji nadawcy Twojego dostawcy usług internetowych. Jednak prawidłowo skonfigurowane uwierzytelnianie SPF informuje odbiorcę ISP, że chociaż domena może być Twoja, serwer nadawczy nie może wysyłać poczty w Twoim imieniu.

Nawet jeśli subdomena nie ma własnego rekordu SPF, rekord SPF w domenie nadrzędnej automatycznie ją uwierzytelni.

Zalety

Gdy spamerzy przejmą kontrolę nad Twoją domeną, będą próbowali wysyłać niechciane wiadomości e-mail. To obniży twoją wiarygodność, a także zdolność do dostarczania. Jeśli Twoja domena nie została jeszcze uwierzytelniona, nadaj jej priorytet. SPF zapewnia wysoką dostarczalność w następujący sposób:

• Powiadamia odbiorców o ofertach osób trzecich.
Jeśli spamerzy wykorzystują przekaźnik, rekord SPF zapewnia powiadomienie użytkownika końcowego.

• Szybki dostęp do skrzynek odbiorczych
Dzięki wdrożeniu SPF odbiorcy e-maili zyskają zaufanie do Twojej marki, a Twoje przyszłe e-maile będą miały bezpieczny dostęp do swoich skrzynek odbiorczych.

• Wymagane dla niektórych odbiorców
Niektórzy odbiorcy e-maili chcą tylko rekordu SPF i będą oznaczać e-maile jako spam, jeśli go nie mają. W przeciwnym razie możliwe jest, że Twój e-mail zostanie odrzucony.

• Poprawia wynik nadawcy
Sender Score każdego serwera poczty wychodzącej jest obliczany przy użyciu tradycyjnych wskaźników poczty e-mail, takich jak rezygnacje z subskrypcji i pliki spamu. SPF poprawia Twój wynik nadawcy, co poprawia dostarczanie wiadomości e-mail.

Niedogodności

System SPF ma kilka ograniczeń. Poniżej znajdują się szczegóły:

• Nie działa na e-mailach, które zostały przekazane
Ponieważ przekazywane wiadomości e-mail nie zawierają oryginalnego identyfikatora nadawcy i wyglądają na wiadomości będące spamem, często nie przechodzą testu struktury zasad nadawcy.

• Nie jest regularnie aktualizowany
Wielu menedżerów domen może nie być w stanie regularnie aktualizować swoich rekordów SPF.

• Pomimo tego, że serwer się zmienił, musisz zaktualizować.
W przypadku korzystania z zewnętrznego dostawcy poczty e-mail domena musi aktualizować rekord SPF za każdym razem, gdy zmieniają się serwery usługodawcy, co zwiększa obciążenie.

Jak to działa?

Serwery odbierające sprawdzają SPF, wyszukując wartość Return-Path domeny w nagłówkach wiadomości e-mail. Ta ścieżka zwrotna jest używana przez serwer odbiorcy do wyszukiwania rekordu TXT na serwerze DNS nadawcy. Jeśli SPF jest włączony, wyświetli listę wszystkich zatwierdzonych serwerów, z których można wysyłać pocztę. Sprawdzanie SPF zakończy się niepowodzeniem, jeśli adresu IP nie ma na liście.

Rekordy SPF podzielone są na dwie sekcje: kwalifikatory i mechanizmy.

• Za pomocą mechanizmów można określić, kto może dostarczać pocztę w imieniu domeny. Jeden z czterech kwalifikatorów może być użyty, jeśli te warunki są spełnione.
• Gdy mechanizm jest dopasowany, kwalifikatory to podejmowane działania. Domyślny + jest używany, jeśli nie określono kwalifikatora. Poniżej wymieniono cztery typy kwalifikatorów, których można użyć do skonfigurowania zasad dotyczących poczty e-mail SPF.

DKIM

DKIM (DomainKeys Identified Mail) pozwala organizacji (lub osobie zajmującej się obsługą wiadomości) ponosić odpowiedzialność za wiadomość podczas jej przesyłania. DKIM dodaje do wiadomości nowy identyfikator domeny i wykorzystuje techniki kryptograficzne do weryfikacji jej autoryzacji. Wszelkie inne identyfikatory w wiadomości, takie jak pole Od: autora, nie mają wpływu na identyfikację. DKIM, sygnatura rekordu TXT, również pomaga w budowaniu zaufania między nadawcą a odbiorcą.

Dlaczego to jest ważne?

Chociaż DKIM nie jest niezbędny, sprawia, że ​​Twoje e-maile są bardziej autentyczne dla odbiorców i zmniejsza prawdopodobieństwo, że trafią one do folderów Spam lub Spam. Fałszowanie wiadomości e-mail z zaufanych domen to powszechna taktyka w niebezpiecznych kampaniach spamowych, a DKIM utrudnia fałszowanie wiadomości e-mail z domen obsługujących DKIM.

DKIM jest zgodny z obecną architekturą poczty e-mail i działa w połączeniu z SPF i DMARC, aby zapewnić dodatkowe warstwy zabezpieczeń dla nadawców wiadomości e-mail. Nawet jeśli ich serwery pocztowe nie obsługują podpisów DKIM, nadal mogą odbierać podpisane wiadomości. Jest to opcjonalny mechanizm bezpieczeństwa, a DKIM nie jest powszechnie używanym standardem.

Zalety

Podpisywanie i weryfikacja to dwie niezależne czynności wykonywane przez DKIM. Każdy z nich może być obsługiwany przez moduł agenta przesyłania poczty (MTA). Klucze prywatne i publiczne DKIM są tworzone parami.

DKIM używa „kryptografii asymetrycznej”, znanej również jako „kryptografia z kluczem publicznym”. DKIM wykorzystuje „klucz prywatny” do ustanowienia podpisu po odebraniu wiadomości, a przed jej przesłaniem do zamierzonego odbiorcy. Wiadomość ma dołączony ten podpis. Gdy wiadomość jest wysyłana do zamierzonego odbiorcy, serwer docelowy żąda klucza publicznego nadawcy w celu zweryfikowania podpisu. Serwer docelowy może założyć, że nadawca jest tym, za kogo się podaje, jeśli klucz publiczny pozwala mu odszyfrować dany podpis do tej samej wartości, którą oblicza jako podpis.

Niedogodności

• Typ rekordu SPF — rekord SPF można opublikować tylko w formacie TXT. Rekord typu „SPF” nie jest już obsługiwany i należy go unikać.
• Kilka rekordów — dodawanie wielu rekordów SPF do domeny. Dodatkowe rekordy należy usunąć lub połączyć z bieżącym.
• Użycie techniki dołączania do odwoływania się do nieistniejącego rekordu jest określane jako uwzględnianie nieistniejącego rekordu. Uwzględnione elementy, które są nieprawidłowe, muszą zostać wyeliminowane.
• W razie wątpliwości użyj -all. Korzystanie z niego bez pełnego uwzględnienia wszystkich możliwych źródeł zwiększa ryzyko odrzucenia prawdziwych wiadomości e-mail.
• Zbyt wiele rekordów — uwzględnienie zbyt wielu rekordów, szczególnie w strefach _spf.google.com i spf.protection.outlook.com, może spowodować nadmierną liczbę wyszukiwań. Te zapisy muszą zostać zoptymalizowane.

Jak to działa?

DKIM generuje parę kluczy publicznych i prywatnych za pomocą szyfrowania asymetrycznego. W systemie DNS domeny nadawcy klucz publiczny jest publikowany jako określony rekord TXT. Klucz prywatny jest używany do nadania unikalnego podpisu każdej wiadomości e-mail.

Algorytm prywatności przypisał losowy podpis jako część nagłówków wiadomości e-mail przy użyciu klucza prywatnego i treści wiadomości e-mail.

Gdy serwer poczty wychodzącej wysyła wiadomość, generuje i dołącza do niej unikalny nagłówek podpisu DKIM. W nagłówku tym zawarte są dwa skróty kryptograficzne, jeden ze zdefiniowanych nagłówków i jeden z przynajmniej części treści wiadomości. Nagłówek DKIM zawiera również szczegóły dotyczące sposobu tworzenia podpisu.

Gdy serwer SMTP otrzymuje wiadomość e-mail z takim podpisem w nagłówku, wysyła zapytanie do DNS o rekord TXT klucza publicznego dla domeny wysyłającej. Serwer odbierający będzie mógł zweryfikować, czy wiadomość e-mail została wysłana z tej domeny i czy nie została naruszona podczas przesyłania za pomocą klucza publicznego.

Dostawca usług poczty e-mail odbiorcy może sklasyfikować wiadomość e-mail jako spam lub całkowicie zablokować adres IP nadawcy, jeśli sprawdzenie się nie powiedzie lub podpis nie istnieje. Utrudnia to oszustom podszywanie się pod adres Twojej domeny w wiadomościach e-mail.

DMARC

Raportowanie i zgodność wiadomości oparte na domenie ( DMARC ) to bezpłatna i otwarta specyfikacja techniczna. W implementacji DMARC rdzeń jest rekordem DMARC, który definiuje zestawy reguł. Jeśli domena obsługuje DMARC, ten rekord informuje odbiorców poczty e-mail. Oznacza to, że właściciel domeny może określić, której zasady chce użyć w rekordzie DMARC domeny. Rekordy DNS (Domain Name Service) są w istocie rekordami DMARC. Rekord DNS DMARC można zaimplementować do korzystania z DMARC. Użytkownicy odbiorników e-mail, które przyjęły DMARC, będą mogli korzystać z tego rekordu. W rezultacie Twoja polityka DMARC pozwoli Ci śledzić każdą wiadomość wysłaną do Twojej domeny.

W związku z tym organizacja, która publikuje rekord DMARC, będzie mogła określić sposób postępowania z niezgodnością. Możliwe jest monitorowanie (i dostarczanie) wiadomości, przenoszenie ich do folderów-śmieci lub odrzucanie.

Dlaczego to jest ważne?

Każdy e-mail, który nie pasuje, jest uważany za fałszywy i zostanie zignorowany. Phishing to zwodnicze działanie polegające na wysyłaniu złośliwych wiadomości e-mail podszywających się pod kogoś innego w celu uzyskania karty kredytowej lub innych danych osobowych użytkownika. W rezultacie, używając DMARC, zabezpieczasz siebie.

Pomyślna instalacja DMARC stopniowo przyspieszyła z różnych poziomów kwarantanny do pełnego odrzucenia. Dobra praktyka wymaga również regularnego monitorowania przez nadawcę raportów DMARC. Raporty te ostrzegają o wszelkich próbach wyłudzenia informacji na Twojej domenie, a także o odrzuceniu Twojej własnej poczty e-mail z powodu awarii DKIM lub SPF.

Zalety

Jeśli korzystasz z poczty e-mail, dobrym pomysłem jest wdrożenie DMARC.

Po wdrożeniu skutecznych zabezpieczeń przed oszukańczymi wiadomościami e-mail dostarczanie jest uproszczone, poprawia się niezawodność marki, a właściciele domen zyskują wgląd w to, w jaki sposób ich domeny są używane w Internecie.

• Bezpieczeństwo: aby chronić klientów przed spamem, oszustwami i phishingiem, nie zezwalaj na nielegalne korzystanie z domeny poczty e-mail.
• Widoczność: Uzyskaj wgląd w to, kto i co wysyła wiadomości e-mail z Twojej domeny w Internecie.
• Dostawa: użyj tej samej najnowocześniejszej technologii, której używają wielkie korporacje do dystrybucji poczty e-mail.
• Tożsamość: spraw, aby Twój e-mail był łatwy do zidentyfikowania w rozległym i rosnącym ekosystemie odbiorców obsługującym DMARC.

Niedogodności

DMARC jest w stanie w większości przypadków. Phishing stał się znacznie trudniejszy w wyniku postępu technologicznego. Jednak chociaż takie podejście rozwiązuje jeden problem, tworzy inny: fałszywe alarmy. W dwóch typach sytuacji legalne wiadomości mogą być blokowane lub oznaczane jako spam:

• Wiadomości, które zostały przekazane Niezależnie od tego, czy wiadomości są przesyłane z wielu skrzynek pocztowych, czy przekazywane przez pośredniczące węzły pocztowe, niektóre systemy pocztowe nie zawierają podpisów SPF i DKIM w wiadomościach przekazywanych dalej (przekaźniki).
• Ustawienie jest nieprawidłowe. Podczas konfigurowania DKIM i SPF administratorzy serwerów poczty często popełniają błędy.

Jak to działa?

Ponieważ DMARC opiera się na wynikach SPF i/lub DKIM, co najmniej jeden z nich musi istnieć w domenie poczty e-mail. Aby używać DMARC, musisz opublikować wpis DMARC w DNS.

Po zweryfikowaniu statusu SPF i DKIM rekord DMARC to element tekstowy w rekordzie DNS, który informuje świat o zasadach dotyczących Twojej domeny poczty e-mail. Jeśli SPF, DKIM lub oba zakończą się pomyślnie, DMARC uwierzytelnia. Jest to znane jako wyrównanie identyfikatora lub wyrównanie DMARC. Możliwe, że SPF i DKIM przejdą, ale DMARC zawodzi, na podstawie wyrównania identyfikatora.

Rekord DMARC nakazuje również serwerom poczty e-mail przesyłanie raportów XML na adres e-mail raportowania rekordu DMARC. Raporty te pokazują, w jaki sposób Twoja poczta e-mail podróżuje po ekosystemie i pozwalają zobaczyć, kto jeszcze korzysta z Twojej domeny e-mail.

Zrozumienie raportów napisanych w XML może być trudne, zwłaszcza gdy jest ich dużo. Platforma DMARCIAN może otrzymywać te dane i wizualizować, w jaki sposób wykorzystywane są Twoje domeny e-mail, umożliwiając podjęcie działań i zmianę polityki DMARC na p=odrzucenie.

Różnica między SPF a DKIM

DKIM to zbiór kluczy, które informują adresy IP, że jesteś oryginalnym nadawcą i że Twoja poczta e-mail nie została naruszona. SPF to biała lista zawierająca wszystkich, którym udzielono pozwolenia na wysyłanie wiadomości w Twoim imieniu. Jeśli chcesz zobaczyć, jak to wszystko działa, spójrz na nagłówki e-maili, aby sprawdzić, czy e-mail jest poprawnie podpisany za pomocą DKIM lub czy przechodzi SPF.

Dlaczego potrzebujesz SPF DKIM DMARC?

Włączenie weryfikacji poczty e-mail to nie tylko dobry pomysł na dostarczanie e-maili; jest to również kluczowe narzędzie do ochrony reputacji Twojej firmy poprzez zmniejszenie prawdopodobieństwa, że ​​nieautoryzowany nadawca będzie mógł użyć Twojej domeny bez Twojej zgody lub wiedzy.

Wykorzystanie SPF DKIM DMARC razem?

Ze względu na ewolucję protokołów poczty elektronicznej w Internecie będziemy potrzebować trzech.

Nagłówki wiadomości (takie jak adresy Do:, Od: i UDW:) zostały celowo odizolowane od rzeczywistej treści wiadomości. Była to korzyść, ale spowodowała nowe światy cierpienia dla współczesnych menedżerów IT.

Jeśli poprawnie zaimplementujesz wszystkie trzy protokoły w swojej infrastrukturze pocztowej, możesz mieć pewność, że wiadomości nie będą łatwo sfałszowane i nigdy nie dotrą do skrzynek odbiorczych użytkowników.

Wniosek

W dzisiejszym świecie sprawdzanie poprawności wiadomości e-mail ma kluczowe znaczenie dla dostarczania wiadomości e-mail. Ze względu na wielokrotne podszywanie się pod e-maile i próby naruszeń, przepisy staną się w przyszłości zaostrzone. Upewnij się tylko, że jeśli wysyłasz wiadomości e-mail przez określoną domenę usługodawcy internetowego, sprawdź ich zasady weryfikacji, aby zobaczyć, jak najlepiej wykorzystać dostarczanie wiadomości e-mail.