SPF, DKIM, DMARC ขับเคลื่อนการส่งอีเมล, ความปลอดภัยอย่างไร

เผยแพร่แล้ว: 2022-11-28

มาตรฐานการตรวจสอบสิทธิ์อีเมลสามรายการทำงานร่วมกันเพื่อปรับปรุงความสามารถในการส่งอีเมลสำหรับผู้ส่งและความปลอดภัยของอีเมลสำหรับผู้รับ

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting and Conformance (DMARC) ช่วยให้มั่นใจได้ว่าอีเมลที่ส่งจากบริษัทของคุณเป็นของจริงและผู้ประสงค์ร้ายไม่ได้ปลอมแปลงหรือดัดแปลงด้วยวิธีอื่น พวกเขา.

SPF, DKIM, DMARC

SPF, DKIM และ DMARC แสดงเซิร์ฟเวอร์อีเมลที่รับว่าข้อความที่กำหนดถูกส่งมาจากที่อยู่ IP ที่ได้รับอนุญาต แสดงว่าผู้ส่งเป็นของจริง และผู้ส่งมีความโปร่งใสเกี่ยวกับตัวตน

ลองมาแต่ละคนในทางกลับกัน

การตั้งค่าระเบียน SPF สำหรับโดเมนของคุณเกี่ยวข้องกับการเพิ่มประเภทของระเบียน TXT ที่มีรายชื่อเซิร์ฟเวอร์อีเมลขาออกที่ได้รับอนุญาตไปยังระบบชื่อโดเมน (DNS) SPF ตรวจสอบว่าอีเมลจากโดเมนธุรกิจของคุณมาจากแหล่งที่มาที่ได้รับการรับรองความถูกต้อง ไม่ใช่ผู้แอบอ้าง

คีย์ DKIM ประกอบด้วยสองส่วน: คีย์สาธารณะที่จัดเก็บไว้ใน DNS และคีย์ส่วนตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์อีเมลที่ส่ง ลายเซ็น DKIM ที่แนบมากับอีเมลขาออกแต่ละฉบับจะถูกใช้โดยเซิร์ฟเวอร์อีเมลของผู้รับเพื่อตรวจสอบความถูกต้อง DKIM ยังสามารถระบุได้ว่าข้อความอีเมลนั้นมีการเปลี่ยนแปลงหรือไม่

DMARC เป็นกลไกนโยบายที่ช่วยให้บริษัทสามารถควบคุมวิธีจัดการอีเมลขาเข้าจากโดเมนของตนหากไม่ผ่านการตรวจสอบสิทธิ์ SPF หรือ DKIM ตัวเลือกคือ "ปฏิเสธ" "กักกัน" หรือ "ไม่มี" นี่อาจเป็นเหมือนกระดิ่งแจ้งเตือนหากมีผู้กระทำผิดพยายามใช้โดเมนของคุณ

บันทึก SPF

การตั้งค่าระเบียน SPF จำเป็นต้องเข้าถึงระเบียน DNS ของโดเมนของคุณที่ผู้รับจดทะเบียน เช่น GoDaddy หรือที่คล้ายกัน หากคุณเคยต้องยืนยันโดเมนหรือย้ายโดเมนไปยังเซิร์ฟเวอร์ใหม่ คุณอาจต้องอัปเดตระเบียน DNS

Screenshot of an SPF record in a DNS settings interface

ระเบียน SPF เป็นเพียงระเบียน TXT ใน DNS ของโดเมนของคุณ

ระเบียน SPF จะเป็นประเภท “TXT” และจะเริ่มต้นด้วยรุ่นของ SPF ที่คุณใช้

 v=spf1

เวอร์ชันจะตามด้วยรายการที่อยู่ IP4 หรือ IP6 ที่ได้รับอนุญาต เช่น:

 v=spf1 ip4:192.168.0.1

บันทึก SPF นี้จะอนุญาตอีเมลจากที่อยู่ IP 192.168.0.1 เพื่อให้ช่วงของที่อยู่ IP คุณสามารถใช้สัญกรณ์ Classless Inter-Domain Routing (CIDR) (บางครั้งเรียกว่าสัญกรณ์ "สแลช")

 v=spf1 ip4:192.168.0.0 /16

ระเบียน SPF ด้านบนจะอนุญาตช่วงของที่อยู่ IP ตั้งแต่ 192.168.0.0 ถึง 192.168.255.255 — นี่คือสิ่งที่ “/16” ระบุ

การใช้คำนำหน้า "a" ระเบียน SPF สามารถให้สิทธิ์โดเมนตามชื่อได้ บันทึกด้านล่างให้สิทธิ์เซิร์ฟเวอร์ที่เชื่อมโยงกับโดเมน example.com

 v=spf1 a:example.com

ในทำนองเดียวกัน คำนำหน้า "mx" ("การแลกเปลี่ยนจดหมาย") ให้สิทธิ์เซิร์ฟเวอร์อีเมลเฉพาะ

 v=spf1 mx:mail.example.com

หากต้องการให้สิทธิ์ผู้ส่งที่เป็นบุคคลที่สาม ให้ใช้คำนำหน้าว่า “include” ตัวอย่างด้านล่างอนุญาตทั้งช่วง IP และเซิร์ฟเวอร์ของ Google

 v=spf1 ip4:192.168.0.0/16 รวมถึง:_spf.google.com

นอกจากนี้ยังมีตัวระบุ SPF สองตัว อันแรกคือ ~ทั้งหมดที่มีเครื่องหมายตัวหนอน (~) อันที่สองคือ -ทั้งหมดที่มียัติภังค์ (-)

เวอร์ชันตัวหนอน (~ ทั้งหมด) เป็นตัวระบุแบบซอฟต์ฟอล ในกรณีส่วนใหญ่ เซิร์ฟเวอร์อีเมลที่รับจะยอมรับข้อความจากผู้ส่งที่ไม่ได้อยู่ในระเบียน SPF ที่เกี่ยวข้อง แต่ถือว่าข้อความเหล่านั้นน่าสงสัย

เวอร์ชันยัติภังค์ (-ทั้งหมด) เป็นตัวระบุที่ไม่สำเร็จ เซิร์ฟเวอร์อีเมลที่รับมีแนวโน้มที่จะติดป้ายกำกับข้อความที่ส่งจากเซิร์ฟเวอร์ที่ไม่ได้รับอนุญาตในระเบียน SPF ว่าเป็นสแปมและปฏิเสธข้อความเหล่านั้น

สุดท้าย ทั้งหมดนี้อาจใช้ร่วมกันสำหรับการอนุญาตที่ค่อนข้างซับซ้อน

 v=spf1 ip4:192.168.0.0/16 a:example.com รวม:_spf.google.com

อย่าลืมว่าระเบียน SPF ช่วยให้เซิร์ฟเวอร์อีเมลที่รับระบุข้อความอีเมลที่แท้จริงจากโดเมนของบริษัทได้

คีย์ DKIM

DKIM ปกป้องโดเมนของคุณและช่วยป้องกันไม่ให้ใครก็ตามแอบอ้างเป็นบริษัทของคุณ คีย์ DKiM สองคีย์ช่วยให้เซิร์ฟเวอร์อีเมลของผู้รับสามารถตรวจสอบได้ว่าบริษัทของคุณเป็นผู้ส่งข้อความและไม่ได้ถูกแก้ไขหลังจากที่คุณส่งข้อความไปแล้ว

ขั้นตอนแรกในการตั้งค่า DKIM คือการสร้างคีย์ — คีย์สาธารณะหนึ่งคีย์และคีย์ส่วนตัวหนึ่งคีย์ คีย์ส่วนตัวมีความปลอดภัยบนเซิร์ฟเวอร์ที่ใช้สำหรับส่งอีเมลจากโดเมนของคุณ รหัสสาธารณะถูกเพิ่มไปยัง DNS เป็นระเบียน TXT

ส่วนที่ยุ่งยากคือการสร้างคีย์เนื่องจากขั้นตอนที่แน่นอนสำหรับการสร้างคีย์นั้นแตกต่างกันไปตามผู้ให้บริการอีเมลรายต่อไป และจะแตกต่างไปจากเดิมอย่างสิ้นเชิงหากบริษัทของคุณโฮสต์เมลเซิร์ฟเวอร์ของตัวเอง

ผู้ให้บริการอีเมลให้คำแนะนำ ต่อไปนี้คือตัวอย่างต่างๆ ที่ไม่ได้เรียงลำดับโดยเฉพาะ

  • Mailchimp: ตั้งค่าการตรวจสอบสิทธิ์โดเมนอีเมล
  • Klaviyo: วิธีตั้งค่าโดเมนการส่งเฉพาะ
  • Zoho Campaigns: วิธีตรวจสอบสิทธิ์โดเมนของฉัน
  • MailerLite: การตรวจสอบสิทธิ์โดเมนอีเมล
  • ผู้รณรงค์: DKIM, SPF และ DMARC
  • ConvertKit: การใช้โดเมนที่ยืนยันแล้วสำหรับการส่งอีเมล
  • MailUp: เพิ่มความสามารถในการจัดส่งให้สูงสุดสำหรับอีเมลของคุณ
  • ActiveCampaign: การตรวจสอบสิทธิ์ SPF, DKIM และ DMARC
  • เก็บ: DKIM

ในแต่ละกรณี DKIM จะเสร็จสมบูรณ์เมื่อคุณเพิ่ม — คัดลอกและวาง — ระเบียน CNAME ของผู้ให้บริการอีเมลไปยัง DNS ของโดเมนของคุณ บันทึกนี้แสดงถึงคีย์สาธารณะในการตรวจสอบความถูกต้องของข้อความการตลาดอีเมลขาออกของบริษัทของคุณ

ดีมาร์ค

DMARC ให้การป้องกันอีกชั้นหนึ่ง และยังสั่งให้เซิร์ฟเวอร์อีเมลดำเนินการกับข้อความที่ไม่ผ่านการตรวจสอบสิทธิ์ SPF หรือ DKIM

รากฐานของ DMARC คือระเบียน TXT ที่อยู่ใน DNS ของโดเมนของคุณ ซึ่งจะมีนโยบาย DMARC ที่มีองค์ประกอบอย่างน้อยสองอย่าง:

  • ที่อยู่อีเมลเพื่อรับรายงานรวมเกี่ยวกับการตรวจสอบสิทธิ์อีเมล และ
  • การดำเนินการกับอีเมลที่ไม่ผ่านการรับรองความถูกต้อง (เช่น ปฏิเสธหรือกักกัน)

นี่คือตัวอย่างระเบียน DMARC TXT ใน DNS:

 v=DMARC1; p = กักกัน; รัว=mailto:[email protected]; ruf=mailto:[email protected].

บันทึกเริ่มต้นด้วยเวอร์ชัน DMARC

 v=DMARC1;

องค์ประกอบ "p" กำหนดการดำเนินการสำหรับอีเมลที่ไม่ผ่านการรับรองความถูกต้อง ในกรณีนี้ จะตั้งค่าเป็น "กักกัน" ซึ่งจะสั่งให้เซิร์ฟเวอร์ที่รับย้ายข้อความดังกล่าวไปยังพื้นที่จัดเก็บ ตัวเลือกอื่นๆ ได้แก่ "ไม่มี" — ซึ่งไม่หยุดอีเมลแต่ตรวจสอบความล้มเหลวของ SPF หรือ DKIM — หรือ “ปฏิเสธ”

 p = กักกัน;

คำนำหน้า "rua" และ "ruf" จะบอกเซิร์ฟเวอร์ที่รับว่าจะส่งรายงานรวมที่ใด (rua — URI การรายงานสำหรับข้อมูลรวม) และรายงานทางนิติวิทยาศาสตร์ (ruf — URI การรายงานสำหรับข้อมูลความล้มเหลว) รายงานเหล่านี้สามารถเปิดเผยอาชญากรที่พยายามแอบอ้างเป็นธุรกิจของคุณ

การปรับเปลี่ยนเพิ่มเติมรวมถึง:

  • pct — เปอร์เซ็นต์ของข้อความอีเมลที่อยู่ภายใต้นโยบาย DMARC
  • sp — นโยบาย DMARC สำหรับโดเมนย่อย
  • adkim — กำหนดโหมดเข้มงวด (adkim:s) หรือผ่อนคลาย (adkim:r) สำหรับ DKIM
  • aspf — กำหนดโหมดเข้มงวด (adkim:s) หรือผ่อนคลาย (adkim:r) สำหรับ SPF

บริการของบุคคลที่สามสามารถช่วยสร้างบันทึก DMARC ตามมาตรฐานอย่างเป็นทางการ บริการเหล่านี้รวมถึง:

  • MXToolBox,
  • PowerDMARC,
  • ดมาร์เชียน
  • EasyDMARC.

ปกป้องผู้ส่งและผู้รับ

การตั้งค่าระเบียน SPF, DKIM และ DMARC สำหรับโดเมนของคุณทำให้มั่นใจได้ว่าเซิร์ฟเวอร์อีเมลจะจดจำข้อความจากบริษัทของคุณว่าเป็นข้อความจริงและปฏิเสธผู้แอบอ้าง ผลลัพธ์ที่ได้จะช่วยปกป้องชื่อเสียงของบริษัทและปกป้องลูกค้าจากการโจมตีแบบฟิชชิงและการฉ้อฉลทางอีเมลประเภทอื่นๆ