Как использовать DKIM для предотвращения спуфинга домена

Опубликовано: 2020-03-24

В 1980-х годах, когда были разработаны электронная почта и SMTP (простой протокол передачи почты), не было необходимости в проверке и проверке сообщений. По большей части, единственными организациями, использующими электронную почту в то время, были крупные компании и образовательные учреждения.

К сожалению, по мере роста электронной почты злоумышленники обнаружили, что они могут использовать получателей, отправляя вредоносные сообщения, подделывая домены и рассылая спам. Например, кто-то может действовать так, как будто он отправляет сообщение от имени надежного бренда или отправителя, и пытаться заставить получателей ответить и предоставить личную конфиденциальную информацию. Другие отправители использовали электронную почту как способ отправки нежелательных сообщений на любой адрес, который они могли получить, и эта практика привела к принятию Закона о CAN-SPAM.

Совет. Подделка электронной почты происходит, когда злоумышленник создает и отправляет электронные письма получателям с поддельного адреса электронной почты. Узнайте больше о том, почему вы никогда не должны отправлять электронную почту с доменов, которые вы не контролируете, в нашей записи в блоге Не отправляйте электронную почту с доменов, которые вы не контролируете.

Методы проверки подлинности электронной почты, такие как SPF, DKIM и DMARC, были разработаны для того, чтобы предотвратить попадание этих типов вредоносных писем в почтовые ящики получателей.

Что такое ДКИМ?

DKIM (DomainKeys Identified Mail) — это криптографическая технология, созданная Cisco и Yahoo, с помощью которой отправители могут «подписывать» свои сообщения. DKIM позволяет получателю сообщения электронной почты проверить, было ли это сообщение авторизовано и отправлено отправителем, ответственным за домен. Если сообщения не подписаны с помощью DKIM, поставщики почтовых ящиков, такие как Gmail и Microsoft, могут заблокировать сообщения и предотвратить их доставку получателям.

Как работает ДКИМ?

DKIM — это относительно простая форма проверки подлинности электронной почты, поскольку ее единственная функция — убедиться, что отправитель электронного письма несет ответственность за домен, с которого отправлено электронное письмо, и он несет ответственность за содержание электронного письма. Два шага для DKIM:

  1. Отправитель добавляет закрытый ключ на свои почтовые серверы и подписывает сообщение.
  2. Принимающий сервер проверяет открытый ключ, хранящийся в текстовой записи dkimselector._domainkey.domain.com, чтобы проверить закрытый ключ, добавленный отправителем.

Как DKIM предотвращает спуфинг домена?

Как бренд, если вы внедряете DKIM, вы, по сути, подписываете свою электронную почту и сообщаете поставщикам почтовых ящиков, что почта, которую они получают, исходит из вашего домена, и вы берете на себя ответственность за это. Это означает, что злоумышленники не могут отправлять почту с таких адресов, как @yourcompany.com.

Почему DKIM важен?

DKIM важен, потому что это один из способов, с помощью которых поставщики почтовых ящиков могут проверить личность отправителя. Без правильной реализации DKIM многие поставщики почтовых ящиков будут блокировать вашу электронную почту, не давая вашим сообщениям попасть по назначению. Хотя это может показаться не очень важным, но если будет заблокировано небольшое количество ваших сообщений, это может иметь серьезные последствия для вашего бизнеса.

Как реализовать DKIM в SendGrid?

После создания учетной записи SendGrid вам будет предоставлена ​​возможность реализовать ручную или автоматическую защиту. Выбрав автоматическую систему безопасности, SendGrid будет управлять вашими записями SPF и DKIM вместо вас. Таким образом, если вы когда-либо внесете изменения в свою учетную запись, которые повлияют на доставку электронной почты (например, добавление нового IP-адреса), SendGrid обновит ваши настройки DKIM и DNS от вашего имени.

Как я могу протестировать DKIM?

Существует множество инструментов тестирования DKIM, доступных для использования в Интернете. Использование чего-то вроде анализатора DKIM или средства проверки DKIM поможет вам определить, правильно ли вы опубликовали свою запись DKIM. Как правило, настоятельно рекомендуется проверять любые изменения, которые вы вносите в свои записи SPF или DKIM, перед их внедрением.

Совет: DKIM можно использовать как на выделенных IP-адресах, так и на общих пулах IP-адресов, чтобы улучшить доставку электронной почты независимо от того, какая у вас учетная запись SendGrid.

Что НЕ делает DKIM?

Хотя DKIM предоставляет отправителям способ подписывать свои сообщения, чтобы поставщики почтовых ящиков знали, что они несут ответственность за содержимое сообщения и домен, с которого оно отправляется, есть несколько вещей, которые DKIM не делает:

  • DKIM не сообщает поставщикам почтовых ящиков, как обрабатывать сообщение. В отличие от технологии проверки подлинности электронной почты, такой как DMARC, DKIM не говорит, что делать, если сообщение не проходит проверку или проходит проверку.
  • DKIM не учитывает отправителя сообщений. Даже если сообщение проходит проверку DKIM, отправитель, ответственный за сообщение, все равно может быть злоумышленником, рассылающим вредоносную электронную почту.
  • DKIM не препятствует повторной отправке сообщений. Если вредоносное электронное письмо открывается и пересылается получателем, сообщение все равно может быть открыто и причинить вред последующим получателям.

Чем SPF отличается от DKIM и нужны ли оба?

SPF позволяет отправителям сообщать интернет-провайдерам, какие IP-адреса могут отправлять от их имени. DKIM позволяет интернет-провайдерам проверять, что отправленный контент соответствует первоначальному отправителю. Для получения дополнительной информации о том, как обеспечить правильную доставку электронной почты, ознакомьтесь с нашим Руководством по доставке электронной почты за 2019 год.

Ни SPF, ни DKIM полностью не защищают электронную почту. В каждом отсутствует важный элемент. В SPF отсутствует проверка сообщения, а в DKIM отсутствует способ проверить, откуда пришло сообщение. Оба необходимы, чтобы быть безопасным отправителем электронной почты.

Каковы главные советы по DKIM?

  • DKIM должен быть последним, что добавляется к сообщению перед его отправкой. Если подпись, пустое место, другой заголовок — что угодно — добавляются после этого, это не удастся.
  • Заголовок или и заголовок, и тело могут быть подписаны. Gmail рекомендует подписать оба.
  • Цикл обратной связи Yahoo основан на подписи DKIM отправителя, они используют части подписи, чтобы сопоставить отправителя с жалобой. Если вы не используете DKIM (или ключи домена), вы не можете использовать цикл обратной связи Yahoo.
  • У большинства клиентов SendGrid наш стандартный DKIM автоматически вставляется в заголовок.

Есть ли какие-либо ресурсы, которые я могу использовать, чтобы узнать больше о DKIM?

Конечно, проверьте: http://dkimcore.org/tools/keycheck.html и http://www.dkim.org.
Чтобы узнать больше о реализации DKIM, SPF или DMARC с вашей учетной записью и сообщениями SendGrid, вы можете ознакомиться с документацией SendGrid.

Помогите поставщикам почтовых ящиков, аутентифицируя свою электронную почту

Чтобы клиенты продолжали отвечать на ваши сообщения, вы должны помочь интернет-провайдерам защитить ваш бренд. Подписывая все свои домены с помощью DKIM с помощью d=, вы говорите интернет-провайдерам заблокировать любой домен, который не находится в «списке совпадений». Поэтому обязательно подпишите все домены, с которых вы отправляете рекламные и транзакционные электронные письма. (Это включает ваши поддомены, поэтому убедитесь, что вы провели полную инвентаризацию.)

Помните, что DKIM отвечает на два ключевых вопроса: имеет ли электронное письмо действительную подпись и какой домен подписал его. Это не гарантирует доставляемость электронной почты, но, безусловно, поможет улучшить ее. Кроме того, это поможет предотвратить все побочные эффекты, возникающие при взломе брендов. Если вы потратите время на принятие превентивных мер, это поможет защитить вашу репутацию и ваш бренд.

Чтобы узнать больше об аутентификации электронной почты и стратегиях обеспечения доставки электронной почты, загрузите наше бесплатное руководство по инфраструктуре электронной почты SendGrid .