Безопасность электронной почты: как основные фреймворки помогают владельцам сайтов WordPress
Опубликовано: 2018-12-20В разных странах и отраслях одна технология хранит бесчисленные секреты уже более двух десятилетий. Да, несмотря на рост социальных сетей, приложений для обмена сообщениями и инструментов управления проектами, электронная почта остается де-факто каналом онлайн-коммуникации номер один, но она также вызывает серьезные опасения, когда речь идет о безопасности.
Если принять во внимание возраст технологии и мотивацию хакеров к попыткам мошенничества, легко понять, почему она продолжает беспокоить как бизнес, так и отдельных лиц. На самом деле сейчас это вызывает больше беспокойства, чем когда-либо прежде, потому что появление многофакторной аутентификации, облачных хранилищ, цифровых экосистем и входа в социальные сети заставило многих из нас полагаться на безопасность наших адресов электронной почты просто для того, чтобы прожить день.
К сожалению, недостаточно просто иметь сложный пароль и защищать его, потому что электронную почту можно атаковать другими способами: подделывать, подделывать и использовать для манипулирования людьми всех мастей. Именно здесь системы безопасности электронной почты становятся жизненно важными — они значительно упрощают уверенность в законности ваших электронных писем.
Но почему мошенничество представляет собой такую угрозу? Что это за фреймворки и как они помогают владельцам веб-сайтов работать безопасно? Можете ли вы действительно положиться на них, чтобы защитить вас? Давайте взглянем.
Почему мошенничество с электронной почтой вызывает такую тревогу
Мы все больше движемся к безналичным платежам, онлайн-банкингу и удаленной работе, что требует обширных и глубоких цифровых коммуникаций (часто на деликатные темы). Чем больше мы доверяем электронным письмам, тем более привлекательными они становятся для хакеров — тем более, когда в электронных письмах участвуют люди, которые недостаточно разбираются в технологиях, чтобы понять, когда их обманывают.
Если кто-то, кто просто знает, как пользоваться электронной почтой, но понятия не имеет, что спуфинг электронной почты вообще возможен, получает мошенническое электронное письмо, он не заметит сомнений. И прибыль для мошенников в перспективе даже больше, чем они могли бы получить с помощью телефонного мошенничества, потому что они могут автоматизировать свои электронные письма о мошенничестве и избегать длительных телефонных разговоров, которые могут выявить дыры в их прикрытиях.
Для легитимных доменов мошенничество с электронной почтой вызывает большую тревогу, поскольку из-за этого они выглядят плохо. Даже если люди в конце концов узнают, что вы не несете ответственности, они все равно в какой-то степени будут ассоциировать ваш бренд с мошенничеством. Поэтому, если вы хотите, чтобы вашему домену доверяли (и чтобы люди были защищены от попыток использовать их от вашего имени), вам необходимо защитить свою электронную почту. Вот как:
Представляем наиболее распространенные системы безопасности электронной почты
Двумя наиболее часто используемыми почтовыми фреймворками являются SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), и они работают одинаково, но немного по-разному: SPF требует поддерживаемого имени хоста или IP-адреса, а DKIM требует правильно зашифрованного заголовочное сообщение. Рассмотрим более подробное объяснение:
Как работает SPF
Когда вы включаете SPF на домене вашего веб-сайта, вы создаете список имен хостов и IP-адресов, которые считаются законными источниками электронной почты из этого домена, список, который добавляется в запись DNS для сайта (запись, которая связывает ваш URL-адрес с ваш IP-адрес).
Каждая система электронной почты, которая получает электронное письмо с адреса в этом домене, возьмет IP-адрес, использованный для его отправки, и сравнит его со списком в записи DNS. Если это совпадение, электронное письмо будет считаться законным — если это не совпадение, то система будет знать, что электронное письмо является мошенническим (или каким-то образом пошло не так).
Как работает ДКИМ
Когда вы включаете DKIM, он использует особый подход с использованием шифрования для проверки. Домен будет иметь закрытый ключ, который хранится в секрете и используется для шифрования скрытого сообщения в заголовке каждого электронного письма, а также открытый ключ дешифрования, который добавляется в запись DNS.
Каждая система электронной почты, которая получает электронное письмо якобы из этого домена, возьмет открытый ключ из записи DNS и попытается расшифровать скрытое сообщение. Если это удастся, он будет знать, что электронное письмо пришло из нужного места. В случае неудачи он будет знать, что отправитель был подделан.
Что включает в себя DMARC
DMARC, что означает «Аутентификация сообщений на основе домена, отчетность и соответствие», представляет собой систему, которая включает в себя SPF и DKIM, а также уточняет некоторые параметры, устанавливает политики и создает отчеты по мере необходимости.
Когда вы настраиваете DMARC, вы, по сути, указываете, какой из вышеупомянутых методов используется для электронной почты из вашего домена (возможно, оба), а также что следует делать, когда обнаруживаются электронные письма, которые не соответствуют выбранному вами стандарту. Вы также можете настроить запуск уведомления, чтобы вы знали о попытках выдать себя за ваш адрес электронной почты (так же, как вы можете получать уведомления об изменениях на сайте WordPress).
Как сделать так, чтобы ваша электронная почта была в безопасности
Если вы хотите, чтобы ваши электронные письма заслуживали доверия, а получатели чувствовали себя в безопасности при доступе к ним, вы должны обязательно сделать все возможное для защиты от мошенничества. По крайней мере, сделайте следующие три шага:
- Тщательно защитите свой список адресов электронной почты. Даже если вы гарантируете, что каждое электронное письмо, якобы отправленное с вашего домена, будет проверено, мошенникам все равно будет опасно завладеть вашим списком адресов, потому что многие люди (часто из старшего поколения) на самом деле не будут очень тщательно проверять отправителя, если содержимое явно напоминает то, что они узнают. Защитите свой список адресов электронной почты, чтобы у людей было меньше причин нацеливаться на вашу аудиторию (в любом случае вы должны сделать это после GDPR).
- Настройте структуру безопасности. Вы можете использовать SPF, DKIM или DMARC, но что бы вы ни делали, обязательно следуйте рекомендациям для той системы, которую вы используете, и убедитесь, что она работает. Если вы используете программное обеспечение для автоматизации электронной почты для своего маркетинга, обязательно настройте его как надежный источник, чтобы распространяемые им электронные письма не были отклонены как незаконные при доставке.
- Предупредите своих подписчиков, чтобы они были осторожны. Сделав все возможное со своей стороны уравнения, все же стоит обратиться к вашей аудитории (особенно если она не очень технически подкована), чтобы предупредить ее о возможности мошенничества. Сообщите им, какие типы сообщений вы им отправите, а какие никогда не отправите, и предложите им связаться с вами напрямую, если они не уверены в сообщении, которое вы им якобы отправили.
Сделайте все это, и вы сможете продолжить с гораздо большей степенью уверенности в том, что ваши электронные письма будут в безопасности, а ваша аудитория будет защищена от огромной угрозы мошенничества с электронной почтой.