Ce sunt înregistrările SPF, DKIM și DMARC? Și de ce ai nevoie de ei?

SPF, DKIM, DMARC sunt mai mult decât configurații tehnice de e-mail. Au un impact negativ asupra livrării e-mailurilor. Ei lucrează împreună pentru a asigura o livrare mai bună a e-mailurilor.

Pe scurt, toate cele trei abordări sunt folosite de furnizorii de servicii de internet (ISP) pentru a verifica autenticitatea e-mailului. Este expeditorul cu adevărat cine pretind că este?

Trebuie să demonstrați că sunteți un expeditor valid pentru a trece prin filtrele ISP. Cum poți să arăți că nu trimiți în numele altcuiva și că identitatea ta nu a fost furată? Prin utilizarea SPF DKIM DMARC.

Înregistrările text care dovedesc și protejează în mod expres autenticitatea unui expeditor sunt cunoscute ca înregistrări SPF DKIM DMARC.

Puteți configura toate aceste înregistrări pe CyberPanel folosind: Obțineți un scor de e-mail de 10/10 cu CyberPanel!

SPF

Sender Policy Framework, sau pe scurt SPF, este un protocol de validare a e-mailului pentru detectarea și blocarea contrafacerii e-mailurilor. Permite intermediarilor de corespondență să verifice dacă e-mailurile primite de la un anumit domeniu provin de la o adresă IP care a fost permisă de administrația domeniului. O înregistrare SPF este o înregistrare TXT în DNS (Domain Name System) care indică adresele IP și/sau serverele cărora li se permite să trimită e-mail „din” acel domeniu. Este similar cu a avea o adresă de retur de încredere și identificabilă pe o carte poștală: majoritatea persoanelor sunt mult mai probabil să deschidă o scrisoare dacă adresa de retur este de încredere și recunoscută.

ISP-urile examinează domeniul Return-Path al mesajului după ce acesta a fost transmis. Adresa IP care a trimis e-mailul este apoi comparată cu adresa IP menționată în înregistrarea SPF a domeniului Return-Path pentru a verifica dacă se potrivesc. Dacă da, ISP-ii verifică verificarea SPF și trimit mesajul.

Exemplu de înregistrare SPF:

v=spf1 ip4:168.119.13.219 include:mailgun.org include:zoho.com include:mxlogin.com ~all

De ce este important?

SPF este un „standard propus” care ajută la protejarea utilizatorilor de e-mail de spammeri. Adresele și domeniile falsificate „de la” sunt utilizate frecvent în spam-ul prin e-mail și phishing. Drept urmare, majoritatea oamenilor consideră că publicarea și verificarea înregistrărilor SPF este una dintre cele mai eficiente și mai simple strategii anti-spam. Dacă aveți o imagine bună de trimitere, un spammer poate încerca să trimită e-mail de pe domeniul dvs. pentru a beneficia de reputația bună de expeditor a ISP-ului dumneavoastră. Cu toate acestea, autentificarea SPF configurată corect informează ISP-ul destinatar că, în timp ce domeniul poate fi al tău, serverul care transmite nu are voie să trimită e-mail în numele tău.

Chiar dacă un subdomeniu nu are propria sa înregistrare SPF, o înregistrare SPF din domeniul de sus o va autentifica automat.

Avantaje

Când spammerii obțin controlul asupra domeniului dvs., ei vor încerca să trimită e-mailuri nedorite. Acest lucru vă va afecta credibilitatea, precum și capacitatea de a oferi. Dacă nu v-ați autentificat încă domeniul, ar trebui să îl faceți o prioritate. SPF vă asigură că livrabilitatea dvs. este ridicată în următoarele moduri:

• Notifică destinatarii ofertelor de la terți.
Dacă spammerii folosesc un releu, o înregistrare SPF asigură că utilizatorul final este notificat.

• Acces rapid la căsuțele primite
Datorită implementării SPF, destinatarii e-mailurilor vor câștiga încredere în marca dvs., iar viitoarele dvs. e-mailuri vor avea acces securizat în căsuțele lor de e-mail.

• Necesar pentru unii destinatari
Unii destinatari de e-mail doresc doar o înregistrare SPF și vor desemna e-mailurile ca spam dacă nu au una. În caz contrar, este posibil ca e-mailul dvs. să respingă.

• Îmbunătățește scorul expeditorului
Scorul de expeditor al fiecărui server de e-mail de ieșire este calculat folosind valorile tradiționale de e-mail, cum ar fi dezabonările și fișierele spam. SPF îmbunătățește Scorul expeditorului, ceea ce îmbunătățește livrarea e-mailurilor.

Dezavantaje

Sistemul SPF are câteva limitări. Următoarele sunt detaliile:

• Nu funcționează pentru e-mailurile care au fost redirecționate
Deoarece e-mailurile redirecționate nu conțin identificarea expeditorului inițial și par a fi mesaje spam, deseori eșuează testul cadrului politicii expeditorului.

• Nu este actualizat în mod regulat
Este posibil ca mulți manageri de domenii să nu-și poată păstra înregistrările SPF la zi în mod regulat.

• În ciuda faptului că serverul s-a schimbat, trebuie să actualizați.
Când utilizați un furnizor de e-mail terț, domeniul trebuie să actualizeze înregistrarea SPF de fiecare dată când serverele furnizorului de servicii se schimbă, ceea ce crește volumul de lucru.

Cum functioneazã?

Serverele de primire verifică SPF căutând valoarea Return-Path a domeniului în anteturile e-mailului. Această cale de returnare este folosită de serverul destinatar pentru a căuta o înregistrare TXT în serverul DNS al expeditorului. Dacă SPF este activat, va afișa o listă cu toate serverele aprobate de pe care pot fi trimise e-mailuri. Verificarea SPF va eșua dacă adresa IP nu este în listă.

Înregistrările SPF sunt împărțite în două secțiuni: calificative și mecanisme.

• Este posibil să se definească cine are permisiunea de a livra corespondență în numele unui domeniu folosind mecanisme. Unul dintre cele patru calificative poate fi utilizat dacă aceste condiții sunt îndeplinite.
• Când un mecanism este potrivit, calificativele sunt acțiunile care sunt întreprinse. Valoarea implicită + este utilizată dacă nu este specificat niciun calificator. Cele patru tipuri de calificative care pot fi utilizate pentru a configura politicile de e-mail SPF sunt enumerate mai jos.

DKIM

DKIM (DomainKeys Identified Mail) permite unei organizații (sau un operator de mesaje) să poarte responsabilitatea pentru un mesaj în timp ce acesta este în tranzit. DKIM adaugă un nou identificator de nume de domeniu la un mesaj și utilizează tehnici criptografice pentru a-și verifica autorizarea. Orice alt identificator din mesaj, cum ar fi câmpul De la: al autorului, nu are niciun efect asupra identificării. DKIM, o semnătură de înregistrare TXT, ajută, de asemenea, la stabilirea încrederii între expeditor și destinatar.

De ce este important?

Deși DKIM nu este esențial, face ca e-mailurile tale să pară mai autentice pentru destinatari și le face mai puțin probabil să ajungă în dosarele Junk sau Spam. Falsificarea e-mailurilor de la domenii de încredere este o tactică comună pentru campaniile de spam periculoase, iar DKIM face mai dificilă falsificarea e-mailurilor de la domeniile compatibile cu DKIM.

DKIM este compatibil cu arhitectura actuală de e-mail și funcționează împreună cu SPF și DMARC pentru a oferi straturi suplimentare de securitate pentru expeditorii de e-mail. Chiar dacă serverele lor de e-mail nu acceptă semnăturile DKIM, pot primi mesaje semnate. Este un mecanism de securitate care este opțional, iar DKIM nu este un standard utilizat pe scară largă.

Avantaje

Semnarea și verificarea sunt două acțiuni independente oferite de DKIM. Oricare dintre ele poate fi gestionat de un modul agent de transfer de e-mail (MTA). Cheile DKIM private și publice sunt create în perechi.

DKIM folosește „criptografia asimetrică”, care este cunoscută și sub denumirea de „criptografie cu cheie publică”. DKIM folosește o „cheie privată” pentru a stabili o semnătură după primirea unui mesaj și înainte ca acesta să fie transmis destinatarului său. Mesajul are această semnătură atașată. Când mesajul este trimis destinatarului său, serverul de destinație solicită cheia publică a expeditorului pentru a valida semnătura. Serverul de destinație poate presupune că expeditorul este cine pretinde că este dacă cheia publică îi permite să decripteze semnătura dată la aceeași valoare pe care o calculează ca semnătura.

Dezavantaje

• Tip de înregistrare SPF - Înregistrarea SPF poate fi publicată numai în format TXT. Înregistrarea de tip „SPF” nu mai este acceptată și ar trebui evitată.
• Mai multe înregistrări - Adăugarea mai multor înregistrări SPF la un domeniu. Înregistrările suplimentare trebuie șterse sau îmbinate cu cea actuală.
• Utilizarea tehnicii include pentru a face referire la o înregistrare inexistentă este denumită includerea unei înregistrări inexistente. Elementele incluse care nu sunt valide trebuie eliminate.
• Când aveți îndoieli, utilizați -all. În timp ce îl utilizați fără a include complet toate sursele posibile, crește riscul ca e-mailurile reale să fie respinse.
• Prea multe înregistrări - Incluzând prea multe înregistrări, în special în zonele _spf.google.com și spf.protection.outlook.com, poate duce la un număr excesiv de căutări. Aceste înregistrări trebuie optimizate.

Cum functioneazã?

DKIM generează o pereche de chei publice și private prin criptare asimetrică. În DNS-ul domeniului expeditorului, cheia publică este publicată ca o înregistrare TXT specifică. Cheia privată este folosită pentru a face semnătura fiecărui e-mail unică.

Un algoritm de confidențialitate a atribuit o semnătură aleatorie ca parte a antetelor e-mailului folosind cheia privată și conținutul e-mailului.

Când un server de e-mail de ieșire trimite un mesaj, acesta generează și atașează mesajului un antet unic de semnătură DKIM. Două hashuri criptografice, unul dintre anteturile definite și unul dintre cel puțin o parte din conținutul mesajului sunt incluse în acest antet. Antetul DKIM include și detalii despre cum a fost creată semnătura.

Când un server SMTP primește un e-mail cu o astfel de semnătură în antet, acesta solicită DNS înregistrarea TXT cu cheie publică pentru domeniul de trimitere. Serverul de primire va putea verifica dacă e-mailul a fost trimis din acel domeniu și nu a fost modificat în timpul tranzitului folosind cheia publică.

Furnizorul de servicii de e-mail destinatar poate clasifica e-mailul ca spam sau poate interzice în întregime adresa IP a expeditorului dacă verificarea eșuează sau semnătura nu există. Acest lucru face mai dificil pentru escroci să uzurpare identitatea adresei dvs. de domeniu în e-mailuri.

DMARC

Raportarea și conformitatea cu autentificarea mesajelor pe domeniu ( DMARC ) este o specificație tehnică gratuită și deschisă. Într-o implementare DMARC, nucleul este o înregistrare DMARC care definește seturile de reguli. Dacă un domeniu este activat pentru DMARC, această înregistrare informează destinatarii de e-mail. Aceasta înseamnă că proprietarul domeniului poate specifica ce politică dorește să folosească în înregistrarea DMARC a domeniului. Înregistrările DNS (Domain Name Service) sunt în esență înregistrări DMARC. O înregistrare DNS DMARC poate fi implementată pentru a utiliza DMARC. Utilizatorii receptorilor de e-mail care au adoptat DMARC vor putea folosi această înregistrare. Drept urmare, politica dvs. DMARC vă va permite să urmăriți fiecare mesaj trimis către domeniul dvs.

Prin urmare, organizația care publică înregistrarea DMARC va putea specifica modul în care va fi tratată neconformitatea. Este posibil să monitorizați (și să livrați) mesajele, să le mutați în foldere nedorite sau să le respingeți.

De ce este important?

Orice e-mail care nu se potrivește este considerat fraudulos și va fi ignorat. Phishing-ul este activitatea înșelătoare de trimitere de e-mailuri rău intenționate care se prezintă drept altcineva pentru a obține cardul de credit al unui utilizator sau alte informații personale. Drept urmare, prin utilizarea DMARC, vă protejați.

O instalare reușită a DMARC ar trece treptat de la diferite niveluri de carantină la respingere totală. O bună practică necesită, de asemenea, ca expeditorul să monitorizeze rapoartele DMARC în mod regulat. Aceste rapoarte vă vor alerta cu privire la orice eforturi de phishing făcute împotriva domeniului dvs., precum și dacă propriul dvs. e-mail este respins din cauza erorilor DKIM sau SPF.

Avantaje

Dacă utilizați e-mailul, DMARC este o idee bună de implementat.

Când sunt implementate controale eficiente de securitate împotriva e-mailurilor frauduloase, livrarea este simplificată, fiabilitatea mărcii se îmbunătățește, iar proprietarii de domenii câștigă vizibilitate asupra modului în care domeniile lor sunt utilizate pe Internet.

• Securitate: pentru a proteja consumatorii de spam, fraudă și phishing, nu permiteți utilizarea ilegală a domeniului dvs. de e-mail.
• Vizibilitate: obțineți vizibilitate asupra cine și ce trimite e-mailuri de pe domeniul dvs. pe Internet.
• Livrare: utilizați aceeași tehnologie de ultimă oră pe care o folosesc mega-corporațiile pentru a distribui e-mailul.
• Identitate: faceți-vă e-mailul ușor de identificat în ecosistemul vast și în creștere de receptori capabili de DMARC.

Dezavantaje

DMARC este capabil în majoritatea cazurilor. Phishing-ul a devenit semnificativ mai dificil ca urmare a progreselor tehnologice. Cu toate acestea, deși această abordare rezolvă o problemă, creează o alta: pozitive false. În două tipuri de situații, mesajele legitime pot fi blocate sau etichetate ca spam:

• Mesaje care au fost redirecționate Indiferent dacă mesajele sunt transferate din mai multe căsuțe poștale sau redirecționate prin noduri de corespondență intermediare, unele sisteme de poștă eșuează semnăturile SPF și DKIM în mesajele redirecționate (relee).
• Setarea este incorectă. Când configurați DKIM și SPF, nu este neobișnuit ca administratorii serverului de e-mail să facă greșeli.

Cum functioneazã?

Deoarece DMARC se bazează pe rezultatele SPF și/sau DKIM, cel puțin unul dintre acestea trebuie să existe pentru domeniul de e-mail. Trebuie să publicați o intrare DMARC în DNS pentru a utiliza DMARC.

După validarea stării SPF și DKIM, o înregistrare DMARC este un element text din înregistrarea DNS care spune lumii politica domeniului dvs. de e-mail. Dacă SPF, DKIM sau ambele trec, DMARC se autentifică. Aceasta este cunoscută sub numele de aliniere a identificatorului sau aliniere DMARC. Este posibil ca SPF și DKIM să treacă, dar DMARC eșuează, pe baza alinierii identificatorului.

O înregistrare DMARC indică, de asemenea, serverelor de e-mail să trimită rapoarte XML la adresa de e-mail de raportare a înregistrării DMARC. Aceste rapoarte vă arată cum circulă e-mailul dvs. prin ecosistem și vă permit să vedeți cine altcineva vă folosește domeniul de e-mail.

Înțelegerea rapoartelor scrise în XML poate fi dificilă, mai ales când sunt multe. Platforma DMARCIAN poate primi aceste date și poate vizualiza modul în care sunt utilizate domeniile dvs. de e-mail, permițându-vă să luați măsuri și să vă schimbați politica DMARC în p=reject.

Diferența dintre SPF și DKIM

DKIM este o colecție de chei care le spune IP-urilor că sunteți expeditorul inițial și că e-mailul dvs. nu a fost modificat. SPF este o listă albă care include toți cei cărora li s-a dat permisiunea de a trimite mesaje în numele dvs. Dacă sunteți dornic să vedeți cum funcționează totul, uitați-vă la antetele e-mailului pentru a vedea dacă un e-mail este semnat corect cu DKIM sau trece SPF.

De ce aveți nevoie de SPF DKIM DMARC?

Activarea verificării e-mailurilor nu este doar o idee bună pentru a vă primi e-mailurile; este, de asemenea, un instrument crucial pentru protejarea reputației afacerii dvs. prin reducerea șanselor ca un expeditor neautorizat să vă poată folosi domeniul fără permisiunea sau cunoștințele dvs.

Utilizarea SPF DKIM DMARC împreună?

Din cauza evoluției protocoalelor de e-mail ale internetului, vom avea nevoie de trei.

Antetele mesajelor (cum ar fi adresele Către:, De la: și Bcc:) au fost izolate intenționat de conținutul real al mesajului. Acesta a fost un beneficiu, dar a dus la noi lumi de suferință pentru managerii IT moderni.

Dacă implementați corect toate cele trei protocoale în infrastructura dvs. de e-mail, vă puteți asigura că mesajele nu pot fi falsificate cu ușurință și că nu ajung niciodată în căsuțele de e-mail ale utilizatorilor dvs.

Concluzie

În lumea de astăzi, validarea e-mailurilor este esențială pentru livrarea e-mailurilor. Din cauza multiplelor uzurpare a identității prin e-mail și a încercărilor de încălcare, reglementările vor deveni mai dure în viitor. Asigurați-vă că, dacă trimiteți e-mailuri printr-un anumit domeniu ISP, verificați politicile de validare ale acestora pentru a vedea cum puteți profita la maximum de livrările de e-mail.