Cum SPF, DKIM, DMARC Drive Livrare e-mail, securitate

Publicat: 2022-11-28

Un trio de standarde de autentificare a e-mailului lucrează împreună pentru a îmbunătăți capacitatea de livrare a e-mailului pentru expeditor și siguranța e-mailului pentru destinatar.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) și Domain-based Message Authentication, Reporting, and Conformance (DMARC) vă ajută să vă asigurați că e-mailurile trimise de la compania dvs. sunt reale și că actorii rău intenționați nu falsifică sau modifică în alt mod lor.

SPF, DKIM, DMARC

SPF, DKIM și DMARC arată serverului de e-mail de primire că un anumit mesaj a fost trimis de la o adresă IP autorizată, că expeditorul este autentic și că expeditorul este transparent cu privire la identitatea sa.

Să luăm pe fiecare pe rând.

Configurarea înregistrărilor SPF pentru domeniul dvs. implică adăugarea unui tip de înregistrare TXT care conține o listă autorizată de servere de e-mail de ieșire la sistemul de nume de domeniu (DNS). SPF verifică dacă e-mailurile de pe domeniul companiei dvs. provin dintr-o sursă autentificată, nu dintr-un impostor.

Cheile DKIM constau din două părți: o cheie publică stocată în DNS și o cheie privată stocată pe serverul de e-mail care trimite. Semnătura DKIM atașată fiecărui e-mail trimis este folosită de serverele de corespondență ale destinatarilor pentru a verifica autenticitatea acestuia. DKIM poate indica, de asemenea, dacă un anumit mesaj de e-mail a fost modificat.

DMARC este un mecanism de politică care permite unei companii să controleze modul în care e-mailurile primite de pe domeniul său ar trebui să fie gestionate dacă nu autentifică SPF sau DKIM. Opțiunile sunt „respingere”, „carantină” sau „niciuna”. Acesta poate fi ca un sonerie de alarmă dacă un greșit încearcă să vă folosească domeniul.

Înregistrări SPF

Configurarea unei înregistrări SPF necesită acces la înregistrările DNS ale domeniului dvs. la registrator, cum ar fi GoDaddy sau similar. Dacă ați trebuit vreodată să vă verificați domeniul sau să-l mutați pe un nou server, probabil că ați actualizat înregistrarea DNS.

Screenshot of an SPF record in a DNS settings interface

O înregistrare SPF este pur și simplu o înregistrare TXT în DNS-ul domeniului dvs.

Înregistrarea SPF va fi de tipul „TXT”. Și va începe cu versiunea de SPF pe care o utilizați.

 v=spf1

Versiunea este urmată de o listă de adrese IP4 sau IP6 autorizate, ca în:

 v=spf1 ip4:192.168.0.1

Această înregistrare SPF ar autoriza e-mailurile de la adresa IP 192.168.0.1. Pentru a permite o serie de adrese IP, puteți utiliza notația CIDR (classless Inter-Domain Routing) (uneori numită notație „slash”).

 v=spf1 ip4:192.168.0.0 /16

Înregistrarea SPF de mai sus ar autoriza un interval de adrese IP de la 192.168.0.0 la 192.168.255.255 - aceasta este ceea ce indică „/16”.

Folosind prefixul „a”, o înregistrare SPF poate autoriza un domeniu după nume. Înregistrarea de mai jos autorizează un server asociat domeniului example.com.

 v=spf1 a:example.com

În mod similar, prefixul „mx” („schimb de e-mail”) autorizează anumite servere de e-mail.

 v=spf1 mx:mail.example.com

Pentru a autoriza un expeditor terță parte, utilizați prefixul „include”. Exemplul de mai jos permite atât un interval IP, cât și servere Google.

 v=spf1 ip4:192.168.0.0/16 include:_spf.google.com

Există, de asemenea, două calificative SPF. Primul este ~toate cu o tildă (~). Al doilea este -toate cu o cratimă (-).

Versiunea tilde (~toate) este un calificativ soft-fail. În cele mai multe cazuri, serverul de e-mail care primește mesaje va accepta mesaje de la expeditori care nu se află în înregistrarea SPF asociată, dar le consideră suspecte.

Versiunea cu cratime (-all) este un calificativ pentru eșec greu. Serverul de e-mail de primire va eticheta probabil mesajele trimise de la un server neautorizat în înregistrarea SPF ca spam și le va respinge.

În cele din urmă, toate acestea pot fi utilizate împreună pentru autorizații relativ complexe.

 v=spf1 ip4:192.168.0.0/16 a:example.com include:_spf.google.com

Amintiți-vă, înregistrările SPF ajută serverele de e-mail care le primesc să identifice mesajele de e-mail autentice de pe domeniul companiei dvs.

Cheile DKIM

DKIM vă protejează domeniul și vă ajută să împiedicați pe cineva să uzurpare identitatea companiei dvs. Cele două chei DKiM permit serverului de e-mail al destinatarului să verifice dacă compania dvs. a trimis mesajul și că acesta nu a fost modificat după ce l-ați trimis.

Primul pas în configurarea DKIM este generarea cheilor - una publică și una privată. Cheia privată este securizată pe serverul utilizat pentru trimiterea de e-mailuri de pe domeniul dvs. Cheia publică este adăugată la DNS ca înregistrare TXT.

Partea dificilă este generarea cheilor, deoarece procedura exactă de creare a acestora variază de la un furnizor de servicii de e-mail la altul. Și este complet diferit dacă compania dvs. găzduiește propriul server de e-mail.

Furnizorii de servicii de e-mail oferă instrucțiuni. Iată câteva exemple fără o ordine anume.

  • Mailchimp: Configurați autentificarea domeniului de e-mail,
  • Klaviyo: Cum să configurați un domeniu de trimitere dedicat,
  • Campanii Zoho: Cum să îmi autentific domeniul,
  • MailerLite: autentificarea domeniului de e-mail,
  • Agent de campanie: DKIM, SPF și DMARC,
  • ConvertKit: Utilizarea unui domeniu verificat pentru trimiterea de e-mailuri,
  • MailUp: Maximizarea livrabilității pentru e-mailurile dvs.,
  • ActiveCampaign: autentificare SPF, DKIM și DMARC,
  • Keap: DKIM.

În fiecare caz, DKIM este finalizat atunci când adăugați — copiați și lipiți — înregistrarea CNAME a furnizorului de e-mail la DNS-ul domeniului dvs. Această înregistrare reprezintă cheia publică pentru autentificarea mesajelor de email marketing ale companiei dvs.

DMARC

DMARC oferă un alt nivel de protecție și, de asemenea, instruiește serverele de e-mail ce să facă cu mesajele care nu au autentificare SPF sau DKIM.

Fundamentul DMARC este o înregistrare TXT plasată în DNS-ul domeniului dvs. Acesta va conține politica DMARC cu cel puțin două elemente:

  • O adresă de e-mail pentru a primi rapoarte agregate de autentificare de e-mail și
  • Acțiunea pe care trebuie să o întreprindeți în cazul e-mailurilor care nu se autentifică (adică, respingerea sau plasarea în carantină).

Iată un exemplu de înregistrare DMARC TXT într-un DNS:

 v=DMARC1; p=carantină; rua=mailto:[email protected]; ruf=mailto:[email protected].

Înregistrarea începe cu versiunea DMARC.

 v=DMARC1;

Elementul „p” atribuie acțiunea pentru e-mailurile care nu au autentificare. În acest caz, este setat la „carantină”, ceea ce instruiește serverul de primire să mute astfel de mesaje într-o zonă de așteptare. Alte opțiuni includ „niciunul” – care nu oprește e-mailul, ci monitorizează eșecurile SPF sau DKIM – sau „respinge”.

 p=carantină;

Prefixele „rua” și „ruf” indică serverului de primire unde să trimită rapoarte agregate (rua — URI de raportare pentru date agregate) și rapoarte criminalistice (ruf — URI de raportare pentru date de eșec). Aceste rapoarte pot dezvălui un criminal care încearcă să-ți uzurpe identitatea companiei.

Modificatorii suplimentari includ:

  • pct — procentul de mesaje de e-mail supuse politicii DMARC.
  • sp — politica DMARC pentru subdomenii.
  • adkim — atribuie modul strict (adkim:s) sau relaxat (adkim:r) pentru DKIM.
  • aspf — atribuie modul strict (adkim:s) sau relaxat (adkim:r) pentru SPF.

Serviciile terțe pot ajuta la generarea unei înregistrări DMARC pe baza standardului oficial. Aceste servicii includ:

  • MXToolBox,
  • PowerDMARC,
  • Dmarcian,
  • EasyDMARC.

Protejați expeditorul și destinatarii

Configurarea înregistrărilor SPF, DKIM și DMARC pentru domeniul dvs. asigură că serverele de e-mail recunosc mesajele de la compania dvs. ca fiind autentice și resping impostorii. Rezultatul protejează reputația companiei dvs. și îi protejează pe clienți de atacuri de tip phishing și alte tipuri de fraudă prin e-mail.