Jak SPF, DKIM, DMARC napędzają dostarczanie poczty e-mail, bezpieczeństwo

Opublikowany: 2022-11-28

Trzy standardy uwierzytelniania poczty e-mail współpracują ze sobą, aby poprawić dostarczalność wiadomości e-mail dla nadawcy i bezpieczeństwo wiadomości e-mail dla odbiorcy.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) oraz Domain-based Message Authentication, Reporting and Conformance (DMARC) pomagają zapewnić, że wiadomości e-mail wysyłane z Twojej firmy są prawdziwe i że złośliwi aktorzy nie podszywają się ani nie manipulują nimi w inny sposób ich.

SPF, DKIM, DMARC

SPF, DKIM i DMARC pokazują odbierającemu serwerowi e-mail, że dana wiadomość została wysłana z autoryzowanego adresu IP, że nadawca jest autentyczny i że nadawca nie ujawnia swojej tożsamości.

Weźmy każdego po kolei.

Konfigurowanie rekordów SPF dla Twojej domeny polega na dodaniu typu rekordu TXT zawierającego autoryzowaną listę serwerów poczty wychodzącej do systemu nazw domen (DNS). SPF sprawdza, czy e-maile z domeny Twojej firmy pochodzą z uwierzytelnionego źródła, a nie od oszusta.

Klucze DKIM składają się z dwóch części: klucza publicznego przechowywanego w DNS oraz klucza prywatnego przechowywanego na serwerze wysyłającym pocztę. Podpis DKIM dołączany do każdej wychodzącej wiadomości e-mail jest używany przez serwery pocztowe odbiorców do weryfikacji jej autentyczności. DKIM może również wskazać, czy dana wiadomość e-mail została zmieniona.

DMARC to mechanizm zasad, który pozwala firmie kontrolować sposób obsługi wiadomości e-mail przychodzących z jej domeny, jeśli nie przejdą one uwierzytelniania SPF lub DKIM. Dostępne opcje to „odrzuć”, „kwarantanna” lub „brak”. Może to być jak dzwonek alarmowy, jeśli złoczyńca próbuje użyć Twojej domeny.

Rekordy SPF

Skonfigurowanie rekordu SPF wymaga dostępu do rekordów DNS Twojej domeny u rejestratora, takiego jak GoDaddy lub podobny. Jeśli kiedykolwiek musiałeś zweryfikować swoją domenę lub przenieść ją na nowy serwer, prawdopodobnie zaktualizowałeś jej rekord DNS.

Screenshot of an SPF record in a DNS settings interface

Rekord SPF to po prostu rekord TXT w DNS Twojej domeny.

Rekord SPF będzie typu „TXT”. I zacznie się od używanej wersji SPF.

 v=spf1

Po wersji następuje lista autoryzowanych adresów IP4 lub IP6, na przykład:

 v=spf1 ip4:192.168.0.1

Ten rekord SPF autoryzowałby wiadomości e-mail z adresu IP 192.168.0.1. Aby zezwolić na zakres adresów IP, można użyć notacji Classless Inter-Domain Routing (CIDR) (czasami nazywanej notacją „ukośnikową”).

 v=spf1 ip4:192.168.0.0 /16

Powyższy rekord SPF autoryzowałby zakres adresów IP od 192.168.0.0 do 192.168.255.255 — na to wskazuje „/16”.

Używając przedrostka „a”, rekord SPF może autoryzować domenę według nazwy. Poniższy rekord autoryzuje serwer powiązany z domeną example.com.

 v=spf1 a:przyklad.com

Podobnie przedrostek „mx” („wymiana poczty”) autoryzuje określone serwery pocztowe.

 v=spf1 mx:mail.example.com

Aby autoryzować zewnętrznego nadawcę, użyj przedrostka „włącz”. Poniższy przykład dopuszcza zarówno zakres adresów IP, jak i serwery Google.

 v=spf1 ip4:192.168.0.0/16 zawiera:_spf.google.com

Istnieją również dwa kwalifikatory SPF. Pierwszy to ~all z tyldą (~). Drugi to -all z łącznikiem (-).

Wersja tyldy (~all) jest kwalifikatorem soft-fail. W większości przypadków odbierający serwer e-mail akceptuje wiadomości od nadawców, których nie ma w powiązanym rekordzie SPF, ale uważa ich za podejrzanych.

Wersja z łącznikiem (-all) jest kwalifikatorem twardym. Odbierający serwer poczty e-mail prawdopodobnie oznaczy wiadomości wysłane z serwera nieautoryzowanego w rekordzie SPF jako spam i odrzuci je.

Wreszcie, wszystkie z nich mogą być używane razem w przypadku stosunkowo złożonych zezwoleń.

 v=spf1 ip4:192.168.0.0/16 a:przyklad.com zawiera:_spf.google.com

Pamiętaj, że rekordy SPF pomagają odbierającym serwerom e-mail identyfikować autentyczne wiadomości e-mail z domeny Twojej firmy.

Klucze DKIM

DKIM chroni Twoją domenę i pomaga zapobiegać podszywaniu się pod Twoją firmę. Dwa klucze DKiM pozwalają serwerowi pocztowemu odbiorcy zweryfikować, czy Twoja firma wysłała wiadomość i czy nie została ona zmieniona po wysłaniu.

Pierwszym krokiem w konfiguracji DKIM jest wygenerowanie kluczy — jednego publicznego i jednego prywatnego. Klucz prywatny jest bezpieczny na serwerze używanym do wysyłania e-maili z Twojej domeny. Klucz publiczny jest dodawany do DNS jako rekord TXT.

Trudną częścią jest generowanie kluczy, ponieważ dokładna procedura ich tworzenia różni się w zależności od dostawcy usług poczty e-mail. Zupełnie inaczej jest, jeśli Twoja firma posiada własny serwer pocztowy.

Dostawcy usług e-mail oferują instrukcje. Oto kilka przykładów w przypadkowej kolejności.

  • Mailchimp: skonfiguruj uwierzytelnianie domeny e-mail,
  • Klaviyo: Jak skonfigurować dedykowaną domenę wysyłkową,
  • Kampanie Zoho: Jak uwierzytelnić moją domenę,
  • MailerLite: Uwierzytelnianie domeny e-mail,
  • Kampania: DKIM, SPF i DMARC,
  • ConvertKit: Używanie zweryfikowanej domeny do wysyłania wiadomości e-mail,
  • MailUp: Maksymalizacja dostarczalności Twoich e-maili,
  • ActiveCampaign: Uwierzytelnianie SPF, DKIM i DMARC,
  • Zachowaj: DKIM.

W każdym przypadku DKIM jest uzupełniany po dodaniu — skopiowaniu i wklejeniu — rekordu CNAME dostawcy poczty e-mail do DNS domeny. Te rekordy reprezentują klucz publiczny do uwierzytelniania wychodzących marketingowych wiadomości e-mail Twojej firmy.

DMARC

DMARC zapewnia kolejną warstwę ochrony, a także instruuje serwery poczty e-mail, co mają zrobić z wiadomościami, które nie przejdą uwierzytelniania SPF lub DKIM.

Podstawą DMARC jest rekord TXT umieszczony w DNS Twojej domeny. Będzie to zawierać zasady DMARC z co najmniej dwoma elementami:

  • Adres e-mail do otrzymywania zbiorczych raportów dotyczących uwierzytelniania poczty e-mail oraz
  • Czynność podejmowana w przypadku wiadomości e-mail, które nie zostały uwierzytelnione (np. odrzucenie lub poddanie kwarantannie).

Oto przykładowy rekord DMARC TXT w DNS:

 v=DMARC1; p=kwarantanna; rua=mailto:[email protected]; ruf=mailto:[email protected].

Rekord zaczyna się od wersji DMARC.

 v=DMARC1;

Element „p” przypisuje akcję dla wiadomości e-mail, które nie przejdą uwierzytelnienia. W tym przypadku jest ustawiona opcja „kwarantanna”, która nakazuje serwerowi odbierającemu przeniesienie takich wiadomości do obszaru przechowywania. Inne opcje to „brak” — która nie zatrzymuje wiadomości e-mail, ale monitoruje awarie SPF lub DKIM — lub „odrzuć”.

 p=kwarantanna;

Przedrostki „rua” i „ruf” informują serwer odbierający, gdzie wysłać raporty zbiorcze (rua — identyfikator URI raportujący dla danych zagregowanych) i raporty kryminalistyczne (ruf — identyfikator URI raportujący dla danych awarii). Te raporty mogą ujawnić przestępcę, który próbuje podszyć się pod Twoją firmę.

Dodatkowe modyfikatory obejmują:

  • pct — odsetek wiadomości e-mail podlegających polityce DMARC.
  • sp — polityka DMARC dla subdomen.
  • adkim — przypisuje tryb ścisły (adkim:s) lub swobodny (adkim:r) dla DKIM.
  • aspf — przypisuje tryb ścisły (adkim:s) lub zrelaksowany (adkim:r) dla SPF.

Usługi innych firm mogą pomóc w wygenerowaniu rekordu DMARC w oparciu o oficjalny standard. Usługi te obejmują:

  • MXToolBox,
  • mocDMARC,
  • Dmarcian,
  • EasyDMARC.

Chroń nadawcę i odbiorców

Skonfigurowanie rekordów SPF, DKIM i DMARC dla Twojej domeny zapewnia, że ​​serwery poczty e-mail rozpoznają wiadomości od Twojej firmy jako autentyczne i odrzucają oszustów. Rezultat chroni reputację Twojej firmy i chroni klientów przed atakami phishingowymi i innymi rodzajami oszustw e-mailowych.