保护您的 Twilio SendGrid 帐户和发送声誉的 7 个最佳实践

在 Twilio SendGrid，我们的首要任务是我们的客户和保护他们的品牌。 构建世界上最强大和性能最强大的电子邮件平台只是一个开始——我们还构建了技术来保护您的帐户并防止它们落入不良行为者的手中。

我们知道，安全是我们与客户一起踏上的旅程，共同承担确保安全和值得信赖的通信解决方案的责任。 鉴于最近有关违反凭据的趋势，我们决定汇编一些最佳实践，以帮助您在保护您的帐户方面尽自己的一份力量。

这里有 7 种方法可以让您的帐户更加安全。

1.密码安全

确保您使用的强密码不会在其他网站之间共享，并且对您的帐户来说是唯一的。 今天，一个强密码不需要是一系列难以记住的字符。 您应该选择超过 14 个字符且更容易记住的密码。 这里有一些提示。

如果密码不符合上述准则，我们建议您更新密码。 要在 Twilio SendGrid 控制台中更新您的密码，请参阅重置您的用户名和密码。

2. 双重身份验证

即使您的密码被盗或被黑客入侵，两因素身份验证也有助于防止未经授权的访问，据估计，它对自动攻击的有效率为 99.9%。 双重身份验证为您的帐户增加了一层额外的安全性。

启用后，系统会提示用户输入通过短信发送到其注册和安全手机的代码。 如果没有此代码，您将无法访问请求的网站、应用程序或信息。 虽然不是完美安全的灵丹妙药，但双因素身份验证可以大大提高您的安全状态。 了解如何实现此功能。

3. API 密钥的环境变量

永远不要对 API 密钥进行硬编码。 如果你这样做了，那么每次你将代码推送到存储库时，你都会与项目中的其他人共享你的 API 密钥。 即使您独自工作，也可能会导致问题，因为任何看到您的代码的人也可以访问您的秘密信息。

为避免此问题，您应该将 API 密钥存储为环境变量。 这是一种更安全的做法，其额外好处是您可以更改它们一次，而不是在使用它们的任何地方寻找它们。 网上有很多文档向您展示如何做到这一点，我们强烈建议您查看它们。

4. 限制 API 密钥的范围

我们建议用户采用“最低权限”的方法，只创建具有他们所需的最低权限级别的 API 密钥。 尝试创建具有较少权限的多个 API 密钥，而不是创建具有所有权限的 1 个 API 密钥。

如果您的 API 密钥被泄露，您可以轻松删除并创建新的 API 密钥，并使用新密钥更新您的环境变量。 可以设置 API 密钥权限以提供对您帐户不同功能的访问权限，而无需提供对整个帐户的访问权限。

5.IP访问管理

一些客户可能会使用 IP 访问管理功能来保护他们的帐户。 此功能允许您根据他们使用的 IP 地址控制谁可以访问您的 Twilio SendGrid 帐户。

这是一个强大的工具，可确保只有您和您的团队来自已知的指定 IP 地址才能访问该帐户。 您必须注意的一件事是，您可以从允许的地址列表中删除您自己的 IP 地址，从而阻止您自己访问您的帐户。

虽然我们能够恢复您的访问权限，但我们确实需要您的身份和帐户所有权的完整证明。 我们非常重视您帐户的安全，并希望防止任何“不良行为者”恶意访问您的帐户。

您当前的 IP 会清晰显示，以帮助防止您意外将其从允许的地址中删除。 要了解有关此功能以及如何实现它的更多信息，请参阅 IP 访问管理。

6.发件人身份验证

现在让我们通过为您的域设置发件人身份验证来更深入地讨论您的品牌安全性，以便设置 SPF 和 DKIM。 此功能允许您使用行业标准的电子邮件身份验证技术使用您的 Twilio SendGrid 帐户对您的域进行身份验证。

这不仅可以从 ISP 的角度提高您的声誉、建立信任并提高您品牌的一致性和可交付性，而且还可以帮助保护您的发送域。 完整的电子邮件身份验证配置包含三个组件。 您应该熟悉所有这三种技术，并考虑使用它们来保护您的品牌和客户，并最终使收件箱成为对每个人来说更安全的地方：

SPF （发件人策略框架）是电子邮件身份验证的原始形式。 SPF 是 DNS 中的文本记录，并在发送 IP 和域之间创建关联。 SPF 本身并不能完全证明，但它是 Gmail 等邮箱提供商用来建立发件人声誉的额外数据点。 通过完成发件人身份验证，将自动为您处理 SPF。 要了解有关 SPF 的更多信息，请参阅解释的 SPF 记录。

DKIM （域名密钥识别邮件）利用公钥/私钥对为您的电子邮件分配唯一标识符和签名。 DKIM 允许电子邮件消息的接收者确保消息在传递过程中未被篡改。 通过完成发件人身份验证，DKIM 将自动为您处理。 我们有一篇很棒的博客文章详细讨论了 DKIM：如何使用 DKIM 防止域欺骗。

DMARC – 在 SPF 和 DKIM 之上，DMARC（基于域的邮件身份验证、报告和一致性）允许域所有者发布一个接收域的策略，例如 Gmail，如果邮件未通过 SPF、DKIM 或两者兼有，该怎么办。

当有人试图冒充已启用 DMARC 的域时，他们将通过验证和检查 DMARC 的域的取证报告收到通知。 这有助于防止恶意发件人可能欺骗您并损害您的发件人声誉。

设置 SPF 和 DKIM 是 DMARC 的先决条件。 我们最近与 Valimail 合作，让您可以更轻松地分析和监控您的 DMARC 报告。 我们强烈敦促任何设置 DMARC 的人使用 p=quarantine 或 p=reject 的强制标志。

7.使用子域发送电子邮件

使用子域而不是您的父域。 通过分离营销和非营销电子邮件，您可以更轻松地隔离影响您在每个子域上的发送声誉和送达率的因素。 但是，如果您的电子邮件域受到威胁并被邮箱提供商标记为错误发件人，您的父域不会受到威胁。

将营销电子邮件与交易电子邮件分开也是一种很好的做法，因为最终用户以不同的方式查看这些类型的电子邮件，并且在 CAN-SPAM 下对它们的处理方式也不同。 营销电子邮件的声誉低于交易电子邮件的情况并不少见——您多久将发货通知标记为垃圾邮件？

按邮件类型将您的邮件流与您的顶级公司域分开，可为您提供精细的报告和灵活的控制，以确保其中一个邮件的声誉不一定会影响您的所有流量。

作为您在电子邮件传递方面的合作伙伴，我们一直在监控和改进我们的安全实践，并希望确保您了解并及时了解保护您的 SendGrid 帐户的所有方法。 有关更多帐户安全建议，请查看11 步 SendGrid 安全检查表。