Как работает аутентификация по электронной почте

Аутентификация по электронной почте — сложная тема. Там часто есть алфавитный суп из аббревиатур и инициализмов. Но основные понятия не сложны, и почти каждый сможет их быстро понять.

Аутентификация по электронной почте становится все более необходимой, поскольку спамеры и фишеры продолжают использовать электронную почту для распространения нежелательных или вредоносных сообщений. Большинство серверов электронной почты в настоящее время используют ряд протоколов для проверки сообщений электронной почты до того, как они достигнут предполагаемого получателя. Электронные письма, которые не прошли проверку подлинности должным образом, могут иметь проблемы с доставкой электронной почты и в конечном итоге либо не будут доставлены, либо попадут в папку со спамом.

Итак, давайте поговорим о трех наиболее важных протоколах аутентификации электронной почты простым языком, используя аналогии из реального мира.

SPF — структура политики отправителей

Первый и самый старый называется Sender Policy Framework (SPF). SPF позволяет отправителю проверить свою подлинность. Давайте подумаем об этом так: если вы получили в свой почтовый ящик письмо, напечатанное на официальном бланке, вы можете быть достаточно уверены в его подлинности. Таким образом, еще один способ думать об электронном письме, которое проходит SPF, — это сертифицированное письмо из почтового отделения. Предоставляется номер для отслеживания, и вы можете проверить, кто является отправителем, позвонив в почтовое отделение.

SPF также похож на подтверждение обратного адреса. Если бы вы получили письмо, в котором название компании не соответствовало бы ни одному из предприятий, перечисленных в обратном адресе письма, вы бы справедливо скептически отнеслись к этому письму. Этот тип проверки обычно не требуется для физической почты, но он также необходим для сообщений электронной почты, потому что легко отправить сообщение, выдавая себя за кого-то другого.

Во время SPF принимающий почтовый сервер может запросить у домена, от которого, как утверждается, пришло электронное письмо, список IP-адресов, которым разрешено отправлять электронную почту от имени этого домена. Если в домене исходный сервер не указан как действительный отправитель, то электронное письмо, скорее всего, не является подлинным, и проверка SPF завершится ошибкой.

DKIM — почта, идентифицированная DomainKeys

DomainKeys Identified Mail (DKIM) — это новый и более надежный способ аутентификации сообщений. DKIM похож на восковую печать на письме. До создания надежной почтовой инфраструктуры подлинность писем удостоверялась сургучом с тиснением перстня-печатки, принадлежащего отправителю. Затвердевший воск сцепился с пергаментом, и сделать подделку письма, не оставив следов, было практически невозможно.

Вдавленный в воск символ служил своего рода подписью, так как только один человек имел доступ к перстню с печаткой. Осмотрев конверт, получатель мог убедиться как в подлинности отправителя, так и в неизменности содержимого.

Давайте представим другой способ обеспечить подлинность отправителя и целостность содержимого сообщения во время передачи. Подумайте о коробке с запирающимся ящиком и запирающейся крышкой. Ящик можно запереть только ключом отправителя. Мы будем называть этот ключ закрытым ключом отправителя.

Крышку можно запирать и отпирать ключом, который находится в свободном доступе. Любой может запросить копию ключа. Фактически отправитель предоставил копии этого ключа всем почтовым отделениям на пути доставки. Мы будем называть это открытым ключом.

Под крышкой стеклопакет. Открыв крышку, любой может осмотреть упаковку через стекло, но не может вмешаться в нее, не разбив стекло и не оставив улик. При осмотре заинтересованное лицо может подтвердить официальный бланк, убедиться, что стекло не повреждено, и убедиться, что ящик заперт ключом, который есть только у отправителя. Каждое почтовое отделение по пути открывает крышку, чтобы убедиться, что посылка еще цела.

DKIM работает аналогично этому ящику. Отправитель имеет криптографический закрытый ключ, который используется для кодирования заголовков сообщения. Открытый ключ доступен в децентрализованном общедоступном интернет-реестре, называемом DNS или системой доменных имен. Любой из серверов, участвующих в передаче сообщения конечному получателю, может получить открытый ключ и расшифровать заголовки, чтобы убедиться, что сообщение действительно. И, как и в случае с запертым ящиком, открытый ключ нельзя использовать для шифрования заголовков (и блокировки содержимого ящика); только закрытый ключ может сделать это.

Мы также можем думать об этом как о другом классе почтовой корреспонденции, доступной в почтовом отделении. Если электронная почта, прошедшая проверку подлинности SPF, является сертифицированной почтой, то сообщения, прошедшие проверку подлинности DKIM, являются зарегистрированной почтой, которая постоянно хранится под замком на протяжении всего пути доставки, чтобы предотвратить подделку.

DMARC — отчеты и соответствие аутентификации сообщений домена

Представьте, что кто-то прислал вам один из этих причудливых двойных сейфов. Курьер, доставляющий посылку, выполняет последнюю проверку перед ее доставкой. Она ищет политику соответствия доставки для отправителя пакета. Их политика гласит, что пакет должен быть отправлен с доверенного адреса (SPF).

Пакет также должен был находиться в запертом ящике из надежного источника, содержащего закрытый ключ, и не должен подвергаться проверке при передаче (DKIM). Политика также предусматривает, что при несоблюдении условий SPF и DKIM курьер должен поместить посылку в карантин и сообщить отправителю о нарушении.

Эта политика аналогична политике отчетности и соответствия аутентификации сообщений домена (DMARC). DMARC — новейший инструмент аутентификации, основанный как на SPF, так и на DKIM. Это способ для отправителей сообщить получателям, какие методы проверки подлинности следует проверять и что делать, если сообщение, якобы отправленное от них, не проходит необходимые проверки. Инструкции могут включать в себя пометку сообщения как помещенного в карантин и, следовательно, вероятность того, что оно будет подозрительным, или полное отклонение сообщения.

Вы можете удивиться, зачем отправителям разрешать доставку сообщений, не прошедших проверку DMARC. DMARC также обеспечивает цикл обратной связи, чтобы отправители могли отслеживать, соответствуют ли электронные письма, которые, как кажется, исходят из их доменов, политике или нет.

Рассмотрение

Для обзора есть три широко используемых протокола аутентификации:

1. Sender Policy Framework (SPF) выполняет проверку, аналогичную проверке обратного адреса, для аутентификации личности отправителя.
2. Идентифицированная почта DomainKeys (DKIM) также аутентифицирует отправителя, но идет дальше, гарантируя неизменность содержимого сообщения с помощью запертого ящика или восковой печати.
3. Отчетность и соответствие аутентификации сообщений домена (DMARC) — это курьер, который обеспечивает соответствие сообщений требованиям SPF и DKIM перед их доставкой.

Что означает аутентификация электронной почты для отправителей

С DMARC владельцы доменов, наконец, имеют полный контроль над адресом «от», который отображается в почтовом клиенте получателя. Крупные поставщики почтовых ящиков, такие как Yahoo! и AOL уже внедрили строгую политику. Электронные письма, которые, как кажется, исходят из этих доменов, но не проходят проверку подлинности, будут удалены. Вы можете просмотреть обновления в Gmail здесь и в Microsoft здесь.

Это означает, что вы никогда не должны отправлять сообщения с доменов, которые не настроены для разрешения вашего сервера через DKIM и SPF. Если вы отправляете электронные письма от имени клиентов, вы должны убедиться, что у ваших клиентов есть правильные записи DNS, чтобы включить это.

Для получателей возросшая популярность этих технологий означает сокращение доставляемых фишинговых и спам-писем. И это всегда хорошо.

И если вам нужна помощь с аутентификацией электронной почты или у вас возникли трудности с доставкой электронной почты, у SendGrid есть планы электронной почты и экспертные услуги, которые помогут со всем этим.

Дополнительные ресурсы

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/