Jak działa uwierzytelnianie poczty e-mail

Uwierzytelnianie poczty e-mail to zniechęcający temat. Często pojawia się zupa alfabetyczna akronimów i inicjałów. Ale podstawowe pojęcia nie są skomplikowane i prawie każdy będzie w stanie je szybko zrozumieć.

Uwierzytelnianie poczty e-mail staje się coraz bardziej niezbędne, ponieważ spamerzy i phisherzy nadal wykorzystują pocztę e-mail do rozpowszechniania niechcianych lub szkodliwych wiadomości. Większość serwerów pocztowych używa teraz kilku protokołów do weryfikacji wiadomości e-mail, zanim dotrą do zamierzonego adresata. Wiadomości e-mail, które nie są prawidłowo uwierzytelnione, mogą mieć problemy z dostarczaniem wiadomości e-mail i kończą albo niedostarczone, albo trafią do folderu spamu.

Porozmawiajmy więc o 3 najważniejszych protokołach uwierzytelniania poczty e-mail prostym językiem, używając analogii ze świata rzeczywistego.

SPF – Ramy polityki nadawcy

Pierwszy i najstarszy to Sender Policy Framework (SPF). SPF pozwala nadawcy zweryfikować ich autentyczność. Pomyślmy o tym w ten sposób: jeśli otrzymasz w swojej skrzynce pocztowej list wydrukowany na oficjalnym papierze firmowym, możesz być pewien, że jest autentyczny. Innym sposobem myślenia o e-mailu, który przechodzi SPF, jest list polecony z urzędu pocztowego. Podano numer śledzenia i możesz sprawdzić, kto jest nadawcą, dzwoniąc na pocztę.

SPF jest również podobny do potwierdzania adresu zwrotnego. Jeśli otrzymasz list, w którym nazwa firmy nie pasuje do żadnej firmy wymienionej pod adresem zwrotnym listu, będziesz słusznie sceptycznie nastawiony do tego listu. Ten rodzaj kontroli jest zwykle niepotrzebny w przypadku poczty fizycznej, ale jest również niezbędny w przypadku wiadomości e-mail, ponieważ łatwo jest wysłać wiadomość podszywającą się pod kogoś innego.

Podczas SPF odbierający serwer e-mail może poprosić domenę, z której rzekomo pochodzi wiadomość e-mail, o listę adresów IP, które mogą wysyłać wiadomości e-mail w imieniu tej domeny. Jeśli domena nie podaje serwera źródłowego jako prawidłowego nadawcy, wiadomość e-mail najprawdopodobniej nie jest oryginalna i sprawdzenie SPF zakończy się niepowodzeniem.

DKIM — Identyfikowana poczta DomainKeys

DomainKeys Identified Mail (DKIM) to nowszy i bardziej niezawodny sposób uwierzytelniania wiadomości. DKIM jest jak woskowa pieczęć na liście. Przed niezawodną infrastrukturą pocztową listy były uwierzytelniane za pomocą laku z wytłoczonym sygnetem należącym do nadawcy. Utwardzony wosk związał się z pergaminem i prawie uniemożliwiał majstrowanie przy liście bez pozostawienia śladów.

Wytłoczony w wosku symbol służył jako rodzaj podpisu, gdyż tylko jedna osoba miałaby dostęp do sygnetu. Sprawdzając kopertę, odbiorca mógł zweryfikować zarówno autentyczność nadawcy, jak i niezmienioną zawartość.

Wyobraźmy sobie inny sposób na zapewnienie autentyczności nadawcy i integralności treści wiadomości podczas przesyłania. Pomyśl o pudełku z zamykaną szufladą i zamykaną pokrywą. Szufladę można zamknąć tylko kluczem nadawcy. Nazwiemy ten klucz kluczem prywatnym nadawcy.

Pokrywę można zablokować i odblokować za pomocą swobodnie dostępnego klucza. Każdy może poprosić o kopię klucza. W rzeczywistości nadawca dostarczył kopię tego klucza wszystkim urzędom pocztowym na trasie dostawy. Nazwiemy to kluczem publicznym.

Pod pokrywką znajduje się tafla szkła. Odblokowując wieczko, każdy może obejrzeć opakowanie przez szybę, ale nie może przy nim manipulować bez rozbicia szyby i pozostawienia śladów. Po oględzinach zainteresowana strona może potwierdzić oficjalny papier firmowy, sprawdzić, czy szyba jest nienaruszona, a także sprawdzić, czy szuflada jest zamknięta kluczem, który posiada tylko nadawca. Każdy urząd pocztowy po drodze otwiera pokrywę, aby upewnić się, że paczka jest nadal nienaruszona.

DKIM działa w podobny sposób jak to pudełko. Nadawca posiada kryptograficzny klucz prywatny, który służy do kodowania nagłówków wiadomości. Klucz publiczny jest udostępniany w zdecentralizowanym publicznym rejestrze internetowym zwanym DNS lub systemem nazw domen. Każdy z serwerów zaangażowanych w przekazywanie wiadomości do ostatecznego miejsca docelowego może pobrać klucz publiczny i odszyfrować nagłówki, aby zweryfikować poprawność wiadomości. I podobnie jak zamknięte pudełko, klucz publiczny nie może być użyty do zaszyfrowania nagłówków (i zablokowania zawartości szuflady); tylko klucz prywatny może to zrobić.

Możemy też myśleć o tym jak o innej klasie poczty dostępnej na poczcie. Jeśli e-mail uwierzytelniony przez SPF jest przesyłką poleconą, wiadomości uwierzytelnione przez DKIM są listami poleconymi, trzymanymi pod kluczem przez cały czas na trasie doręczenia, aby zapobiec manipulacji.

DMARC — Raportowanie i zgodność uwierzytelniania wiadomości w domenie

Wyobraź sobie, że ktoś wysyła ci jedną z tych fantazyjnych podwójnych skrytek. Kurier przynoszący przesyłkę dokonuje ostatecznej kontroli przed jej dostarczeniem. Sprawdza zasady zgodności dostawy dla nadawcy paczki. Ich polityka mówi, że pakiet powinien pochodzić z zaufanego adresu (SPF).

Pakiet powinien również znajdować się w zamkniętym pudełku z zaufanego źródła zawierającego klucz prywatny i powinien być weryfikowalnie niezmieniony podczas przesyłania (DKIM). Polityka stanowi ponadto, że w przypadku niespełnienia warunków SPF i DKIM kurier powinien poddać przesyłkę kwarantannie i poinformować nadawcę o naruszeniu.

Ta zasada jest analogiczna do zasady Domain Message Authentication Reporting and Conformance (DMARC). DMARC to najnowsze narzędzie do uwierzytelniania, oparte na SPF i DKIM. W ten sposób nadawcy informują odbiorców, jakie metody uwierzytelniania należy sprawdzić i co zrobić, jeśli wiadomość podająca się od nich nie przejdzie wymaganych testów. Instrukcje mogą obejmować oznaczenie wiadomości jako poddanej kwarantannie, co może być podejrzane lub całkowite odrzucenie wiadomości.

Możesz się zastanawiać, dlaczego nadawcy mieliby kiedykolwiek chcieć zezwalać na dostarczanie wiadomości, które nie przechodzą przez DMARC. DMARC zapewnia również pętlę informacji zwrotnych, dzięki czemu nadawcy mogą monitorować, czy wiadomości e-mail, które wydają się pochodzić z ich domen, są zgodne z zasadami, czy nie.

Recenzja

Podsumowując, istnieją trzy powszechnie używane protokoły uwierzytelniania:

1. Sender Policy Framework (SPF) przeprowadza kontrolę podobną do weryfikacji adresu zwrotnego w celu uwierzytelnienia tożsamości nadawcy.
2. DomainKeys Identified Mail (DKIM) również uwierzytelnia tożsamość nadawcy, ale idzie dalej, zapewniając niezmienioną zawartość wiadomości za pomocą zamkniętego pudełka lub pieczęci woskowej.
3. Usługa Domain Message Authentication Reporting & Conformance (DMARC) to kurier, który zapewnia, że ​​wiadomości przed dostarczeniem spełniają wymagania SPF i DKIM.

Co oznacza uwierzytelnianie e-mail dla nadawców

Dzięki DMARC właściciele domen w końcu mają pełną kontrolę nad adresem „od”, który pojawia się w kliencie poczty e-mail odbiorcy. Wielcy dostawcy skrzynek pocztowych, tacy jak Yahoo! a AOL wdrożyło już surowe zasady. Wiadomości e-mail, które wydają się pochodzić z tych domen, ale których weryfikacja uwierzytelnienia nie powiedzie się, zostaną odrzucone. Aktualizacje dotyczące Gmaila możesz zobaczyć tutaj, a Microsoft tutaj.

Oznacza to, że nigdy nie należy wysyłać z domen, które nie są skonfigurowane do obsługi serwera przez DKIM i SPF. Jeśli wysyłasz wiadomości e-mail w imieniu klientów, upewnij się, że klienci mają prawidłowe wpisy DNS, aby to umożliwić.

Dla odbiorców wzrost popularności tych technologii oznacza zmniejszenie liczby dostarczanych wiadomości phishingowych i spamowych. I to zawsze dobrze.

A jeśli potrzebujesz pomocy w uwierzytelnianiu wiadomości e-mail lub masz problemy z dostarczaniem wiadomości e-mail, SendGrid ma plany e-mail i usługi eksperckie, które pomogą w tym wszystkim.

Dodatkowe zasoby

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/