Cum funcționează autentificarea prin e-mail

Autentificarea prin e-mail este un subiect descurajant. Există adesea o supă alfabetică de acronime și inițiale. Dar conceptele de bază nu sunt complicate și majoritatea tuturor le vor putea înțelege rapid.

Autentificarea e-mailului a devenit din ce în ce mai necesară, deoarece spammerii și phisherii continuă să folosească e-mailul pentru a distribui mesaje nedorite sau dăunătoare. Majoritatea serverelor de e-mail folosesc acum o serie de protocoale pentru a verifica mesajele de e-mail înainte ca acestea să ajungă la destinatarul vizat. E-mailurile care nu sunt autentificate corect sunt probabil să aibă probleme de livrare a e-mailului și să ajungă fie nelivrate, fie în folderul de spam.

Deci, să vorbim despre cele mai importante 3 protocoale de autentificare a e-mailului într-un limbaj simplu, folosind analogii din lumea reală.

SPF – Cadrul politicii expeditorului

Primul și cel mai vechi se numește Sender Policy Framework (SPF). SPF permite unui expeditor să verifice autenticitatea acestora. Să ne gândim la asta astfel: dacă primiți o scrisoare în cutia poștală tipărită pe antet oficial, puteți fi sigur că este autentică. Deci, un alt mod de a te gândi la un e-mail care trece SPF este o scrisoare certificată de la oficiul poștal. Există un număr de urmărire furnizat și puteți verifica cine este expeditorul sunând la oficiul poștal.

SPF este, de asemenea, similar cu confirmarea unei adrese de retur. Dacă ați primit o scrisoare în care numele companiei nu se potrivește cu niciuna dintre companiile enumerate la adresa de retur a scrisorii, ați fi pe bună dreptate sceptic față de scrisoarea respectivă. Acest tip de verificare este de obicei inutil pentru corespondența fizică, dar este necesar și pentru mesajele de e-mail, deoarece este ușor să trimiteți un mesaj care pretinde că este de la altcineva.

În timpul SPF, un server de e-mail de primire poate cere domeniului de la care pretinde că este e-mailul pentru o listă de adrese IP cărora li se permite să trimită e-mail în numele acelui domeniu. Dacă domeniul nu listează serverul de origine ca expeditor valid, atunci e-mailul nu este cel mai probabil autentic și verificarea SPF va eșua.

DKIM – DomainKeys Identified Mail

DomainKeys Identified Mail (DKIM) este o modalitate mai nouă și mai robustă de a autentifica mesajele. DKIM este ca un sigiliu de ceară pe o scrisoare. Înainte de o infrastructură poștală de încredere, scrisorile erau autentificate cu o ceară de sigilare în relief cu un inel de sigiliu aparținând expeditorului. Ceara întărită s-a lipit de pergament și a făcut aproape imposibilă modificarea scrisorii fără a lăsa dovezi.

Simbolul apăsat în ceară a servit ca un fel de semnătură, deoarece o singură persoană ar fi avut acces la inelul cu sigiliu. Prin inspectarea plicului, destinatarul putea verifica atât autenticitatea expeditorului, cât și faptul că conținutul a fost nemodificat.

Să ne imaginăm o altă modalitate de a asigura autenticitatea expeditorului și integritatea conținutului mesajului în timpul tranzitului. Gândiți-vă la o cutie cu un sertar de blocare și un capac de blocare. Sertarul poate fi încuiat doar cu cheia expeditorului. Vom numi această cheie cheia privată a expeditorului.

Capacul poate fi blocat și deblocat cu o cheie disponibilă gratuit. Oricine poate cere o copie a cheii. De fapt, expeditorul a furnizat tuturor oficiilor poștale de pe ruta de livrare o copie a acestei chei. Vom numi asta cheie publică.

Sub capac este un geam de sticlă. Prin deblocarea capacului oricine poate inspecta pachetul prin sticlă, dar nu îl poate manipula fără a sparge sticla și a lăsa dovezi. La inspecție, o parte interesată poate confirma antetul oficial, poate verifica dacă sticla este intactă și poate verifica dacă sertarul este încuiat cu cheia pe care o deține numai expeditorul. Fiecare oficiu poștal de-a lungul drumului deschide capacul pentru a se asigura că pachetul este încă intact.

DKIM funcționează într-un mod similar cu această casetă. Expeditorul are o cheie privată criptografică care este utilizată pentru a codifica antetele mesajelor. Cheia publică este disponibilă într-un registru public descentralizat de internet numit DNS sau Domain Name System. Oricare dintre serverele implicate în transmiterea mesajului către destinația finală poate prelua cheia publică și poate decripta anteturile pentru a verifica dacă mesajul este valid. Și la fel ca și caseta blocată, cheia publică nu poate fi folosită pentru a cripta anteturile (și pentru a bloca conținutul sertarului); doar cheia privată poate face asta.

De asemenea, ne putem gândi la asta ca la o altă clasă de corespondență poștală disponibilă la oficiul poștal. Dacă e-mailul autentificat prin SPF este poștă certificată, atunci mesajele autentificate prin DKIM sunt e-mail înregistrate, păstrate sub cheie în orice moment de-a lungul rutei de livrare pentru a preveni manipularea.

DMARC – Raportare și conformitate cu autentificarea mesajelor de domeniu

Imaginați-vă că cineva vă trimite una dintre aceste cutii duble de lux. Curierul care aduce coletul efectuează o ultimă verificare înainte de a-l livra. Ea caută politica de conformitate a livrării pentru expeditorul coletului. Politica lor spune că pachetul ar fi trebuit să provină de la o adresă de încredere (SPF).

Pachetul ar fi trebuit, de asemenea, să fie într-o cutie blocată de la o sursă de încredere care deține o cheie privată și ar trebui să fie verificabil nemodificat în tranzit (DKIM). Politica mai prevede că, dacă nu sunt îndeplinite condițiile SPF și DKIM, curierul trebuie să pună în carantină coletul și să informeze expeditorul despre încălcare.

Această politică este analogă cu o politică de raportare și conformitate cu autentificarea mesajelor de domeniu (DMARC). DMARC este cel mai recent instrument de autentificare, construit atât pe SPF, cât și pe DKIM. Este o modalitate prin care expeditorii îi informează pe destinatari ce metode de autentificare să verifice și ce să facă dacă un mesaj care se pretinde a fi de la ei nu trece verificările necesare. Instrucțiunile pot include marcarea mesajului ca fiind pus în carantină și, prin urmare, probabil să fie suspect sau respingerea completă a mesajului.

S-ar putea să vă întrebați de ce expeditorii ar dori vreodată să permită livrarea mesajelor care nu trec DMARC. DMARC oferă, de asemenea, o buclă de feedback, astfel încât expeditorii să poată monitoriza dacă e-mailurile care par să provină din domeniile lor sunt conforme cu politica sau nu.

Revizuire

Pentru a revizui, există trei protocoale de autentificare utilizate pe scară largă:

1. Sender Policy Framework (SPF) efectuează o verificare similară cu verificarea unei adrese de retur pentru a autentifica identitatea expeditorului.
2. DomainKeys Identified Mail (DKIM) autentifică și identitatea expeditorului, dar merge mai departe, asigurându-se că conținutul mesajului este nemodificat prin utilizarea unei cutii încuiate sau a unui sigiliu de ceară.
3. Domain Message Authentication Reporting & Conformance (DMARC) este curierul care se asigură că mesajele îndeplinesc cerințele SPF și DKIM înainte de a fi livrate.

Ce înseamnă autentificarea e-mailului pentru expeditori

Cu DMARC, proprietarii de domenii au în sfârșit control deplin asupra adresei „de la” care apare în clientul de e-mail al destinatarului. Furnizori mari de cutii poștale precum Yahoo! și AOL au implementat deja politici stricte. E-mailurile care par să provină din aceste domenii, dar care eșuează verificările de autentificare vor fi eliminate. Puteți vedea actualizările pe Gmail aici și pe Microsoft aici.

Acest lucru înseamnă că nu ar trebui să trimiteți niciodată de pe domenii care nu sunt configurate pentru a permite serverul dvs. prin DKIM și SPF. Dacă trimiteți e-mailuri în numele clienților, veți dori să vă asigurați că clienții dvs. au intrările DNS corecte pentru a activa acest lucru.

Pentru destinatari, popularitatea crescută a acestor tehnologii înseamnă o reducere a e-mailurilor de tip phishing și spam care sunt livrate. Și acesta este întotdeauna un lucru bun.

Și dacă doriți ajutor cu autentificarea e-mailului sau aveți dificultăți cu livrarea e-mailului, SendGrid are planuri de e-mail și servicii de experți pentru a vă ajuta cu toate.

Resurse aditionale

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/