We wczesnych dniach „nowoczesnej poczty elektronicznej” ograniczone były mechanizmy wspomagające weryfikację nadawcy. Niemal cały spam, oszustwa i wirusy, które rozprzestrzeniały się poprzez email, robiły to używając sfałszowanych informacji nadawcy - co niektórzy nadal robią do dziś. Weryfikacja, kim tak naprawdę są nadawcy email, była i nadal jest trudnym procesem.

Weźmy na przykład wizytę na www.google.com i przesłanie zapytania. Generalnie jesteś dość pewny, że Google kontroluje to, co jest ci przesyłane w odpowiedzi na twoje wyszukiwanie, a wyniki wyszukiwania są bezpieczne. Dzieje się tak, ponieważ Domain Name System (DNS)—rozproszona sieć serwerów działających jako książka telefoniczna—łączy domenę z różnymi rekordami, w tym miejscu, gdzie znaleźć prawdziwą google.com.

Email wykorzystuje późniejszą adaptację tego samego systemu do weryfikacji nadawców, co jest dokładnie tym, czym jest rekord Sender Policy Framework (SPF).

Zalety i potencjalne wady SPF

SPF jest skuteczny w zapobieganiu phishingowi. Bez niego, SMTP wystawiłby twój adres tym, którzy mogliby go podrobić do celów spamowania. Przy wdrożonym SPF, kiedy haker próbuje wysłać email z twojego adresu, działanie zabezpieczeń SPF serwera odbiorcy wykrywa to i identyfikuje jako nieważne. Użycie SPF pokazuje, że twoja organizacja angażuje się w ochronę przed zagrożeniami cybernetycznymi, co pozytywnie wpływa na twoją reputację nadawcy.

Kiedy użytkownik spoza twojej domeny przesyła dalej email, który pochodził od ciebie, dostarczenie może nie nastąpić z powodu braku zgodności między rekordem IP a rekordem SPF. Wiele agentów wymiany i przesyłania poczty używa teraz schematu Sender Rewriting Scheme (SRS) w celu zwiększenia dostarczalności przesyłanych emaili. Rekord SPF również musi odzwierciedlać wszelkie zmiany w dostawcach usług emailowych trzeciej strony, aby zapewnić zgodność dla dostarczalności.

Jak działa SPF

Na najbardziej podstawowym poziomie, SPF email ustanawia metodę dla serwerów odbiorczych do weryfikacji, że przychodzący email z domeny został wysłany z hosta autoryzowanego przez administratorów tej domeny. Następujące trzy kroki opisują, jak działa SPF:

1. Administrator domeny publikuje politykę definiującą serwery pocztowe, które są autoryzowane do wysyłania emaili z tej domeny. Ta polityka to rekord SPF, i jest wymieniona jako część ogólnych rekordów DNS domeny.

2. Kiedy serwer odbiorczy poczty otrzymuje przychodzącego emaila, sprawdza zasady dla domeny zwrotnej (Return-Path) w DNS. Serwer odbiorczy porównuje następnie adres IP nadawcy poczty z autoryzowanymi adresami IP zdefiniowanymi w rekordzie SPF.

3. Następnie serwer odbiorczy poczty używa zasad określonych w rekordzie SPF domeny nadawcy, aby zdecydować, czy zaakceptować, odrzucić, lub w inny sposób oznaczyć wiadomość email.

   
   

Aby wykonać pierwszy krok i sprawdzić swój własny rekord SPF, możesz skorzystać z darmowego narzędzia SparkPost – the SPF Inspector.

Kiedy zidentyfikujesz, które serwery są autoryzowane do wysyłania w imieniu domeny, możesz wtedy utworzyć rekord SPF dla swojej domeny poprzez SPF Builder.

Tworzenie rekordu SPF przybliży cię o jeden krok do zapewnienia, że legalny email pochodzący z twojej domeny będzie pomyślnie dostarczony do skrzynek pocztowych klientów.

Kiedy chodzi o weryfikację, że wiadomość email została wysłana z autoryzowanego serwera pocztowego, to właśnie tutaj wchodzi DKIM.

Zalety i potencjalne wady uwierzytelniania DKIM

Główną zaletą emaila DKIM jest jego umiejętność ochrony przed atakami typu spoofing i phishing. Uwierzytelnienie pojawia się wewnątrz wiadomości, aby zapobiec fałszerstwom i zabezpieczyć użytkowników przed odpowiadaniem na nielegalne emaile z wrażliwymi danymi osobowymi. Obie techniki spoofingu i phishingu mają potencjał zaszkodzenia twojej reputacji nadawcy i przyszłej dostarczalności, więc ochrona przed nimi jest korzystna.

Tworzenie emaila z DKIM ma tę samą potencjalną wadę co SPF, jeśli chodzi o przesyłanie wiadomości. Na przykład, email, który automatycznie przekierowuje się z komputera biurowego do urządzenia mobilnego użytkownika, może wydawać się nielegalny dla serwera odbiorczego. Wiele popularnych usług email poradziło sobie z tym problemem. Innym wyzwaniem, które może się pojawić, jest DKIM, który jest zbyt krótki. Przy większym wsparciu dla dłuższych kluczy, krótsze mogą nie przejść uwierzytelnienia.

Jak działa DKIM

W skrócie, DKIM działa poprzez dodanie cyfrowego podpisu do nagłówków wiadomości email. Podpis ten może być następnie zweryfikowany przy użyciu publicznego klucza kryptograficznego, który znajduje się w rekordzie DNS organizacji.

Właściciel domeny publikuje klucz kryptograficzny. Jest on specyficznie formatowany jako rekord TXT w ogólnym rekordzie DNS domeny.

Po wysłaniu wiadomości przez serwer wychodzący, serwer generuje i dołącza unikalny podpis DKIM do nagłówka wiadomości.

Klucz DKIM jest następnie używany przez serwery odbiorcze do wykrywania i odszyfrowywania podpisu wiadomości i porównywania go z nową wersją. Jeśli wartości się zgadzają, wiadomość można uznać za autentyczną, niepodrobioną w tranzycie i niezmienioną.

Możesz zweryfikować swojego emaila za pomocą DKIM Validator.