Zrozumienie SPF i DKIM w celu poprawy dostarczalności e-maili

W początkowych dniach ‘nowoczesnej poczty elektronicznej’ istniały ograniczone mechanizmy wspierające weryfikację nadawcy. Prawie wszystkie spam, oszustwa i wirusy, które rozprzestrzeniały się poprzez e-mail, robiły to, wykorzystując sfałszowane informacje o nadawcy – tak jak niektóre robią to do dziś. Weryfikacja, kim tak naprawdę są nadawcy e-maili, była i nadal jest trudnym procesem.

Weź przykład odwiedzania www.google.com i przesyłania zapytania. Zazwyczaj masz całkiem dużą pewność, że Google kontroluje, co do Ciebie wraca w odpowiedzi na Twoje zapytanie, a wyniki wyszukiwania są bezpieczne. Dzieje się tak dlatego, że System nazw domen (DNS)—rozproszona sieć serwerów, która działa jak książka telefoniczna—łączy domenę z różnymi rekordami, w tym tym, gdzie można znaleźć prawdziwego google.com.

Poczta elektroniczna wykorzystuje późniejszą adaptację tego samego systemu do weryfikacji nadawców, czym jest dokładnie rekord polityki nadawcy (SPF).

Zalety i potencjalne wady SPF

SPF świetnie sprawdza się w zapobieganiu phishingowi. Bez niego SMTP narażałoby Twój adres na tych, którzy mogliby go sfałszować do celów spamowych. Dzięki SPF, kiedy haker próbuje zainicjować e-mail z Twojego adresu, zabezpieczenia SPF serwera odbierającego wykrywają go i identyfikują jako nieważny. Korzystanie z SPF pokazuje, że Twoja organizacja jest zaangażowana w ochronę przed zagrożeniami w cyberprzestrzeni, co pozytywnie wpływa na Twoją reputację nadawcy.

Kiedy użytkownik zewnętrzny Twojej domeny przekazuje e-mail, który pochodził od Ciebie, dostarczenie może nie nastąpić z powodu niezgodności między rekordem IP a rekordem SPF. Wiele agentów wymiany pocztowej i transferu już wykorzystuje Schemat przepisania nadawcy (SRS), aby zwiększyć dostarczalność e-maili przesyłanych dalej. Rekord SPF musi również odzwierciedlać wszelkie zmiany w usługach dostawców poczty elektronicznej osób trzecich, aby zapewnić ich zgodność w zakresie dostarczalności.

Jak działa SPF

Na najprostszy poziom, e-mail SPF ustala metodę dla serwerów odbierających, aby zweryfikować, że nadchodzący e-mail z domeny został wysłany z hosta upoważnionego przez administratorów tej domeny. Następujące trzy kroki przedstawiają, jak działa SPF:

1. Administrator domeny publikuje politykę definiującą serwery pocztowe, które są upoważnione do wysyłania e-maili z tej domeny. Ta polityka nazywana jest rekordem SPF i jest wymieniana jako część ogólnych rekordów DNS domeny.

2. Gdy serwer pocztowy odbierający otrzymuje nadchodzący e-mail, sprawdza zasady dla domeny Return-Path w DNS. Serwer przychodzący porównuje adres IP nadawcy wiadomości z autoryzowanymi adresami IP zdefiniowanymi w rekordzie SPF.

3. Serwer odbierający używa następnie zasad określonych w rekordzie SPF wysyłającej domeny, aby zdecydować, czy zaakceptować, odrzucić lub w inny sposób oznaczyć wiadomość e-mail.

Aby wykonać pierwszy krok w sprawdzeniu swojego własnego rekordu SPF, możesz to zrobić za pomocą bezpłatnego narzędzia SparkPost’u – Inspektora SPF.

Podsumowanie, jak działa SPF

Po zidentyfikowaniu, które serwery są upoważnione do wysyłania w imieniu domeny, możesz stworzyć rekord SPF dla swojej domeny za pomocą Kreatora SPF.

Tworzenie rekordu SPF przybliży Cię o jeden krok do zapewnienia, że legalny e-mail, który pochodzi z Twojej domeny, jest pomyślnie dostarczany do skrzynek odbiorczych klientów.

Jeśli chodzi o weryfikację, że wiadomość e-mail została wysłana z autoryzowanego serwera pocztowego, to wtedy wkracza DKIM.

Zalety i potencjalne wady uwierzytelniania DKIM

Główną zaletą e-maili DKIM jest ich zdolność do ochrony przed zarówno fałszerstwami, jak i atakami phishingowymi. Uwierzytelnienie pojawia się w samej wiadomości, aby zapobiec fałszerstwom i chronić użytkowników przed odpowiadaniem na nielegalne e-maile z wrażliwymi danymi osobowymi. Zarówno fałszerstwa, jak i phishing mogą zaszkodzić Twojej reputacji nadawcy oraz przyszłej dostarczalności, więc ochrona przed nimi jest korzystna.

Tworzenie e-maila z DKIM ma ten sam potencjalny minus co SPF w przypadku przesyłania wiadomości. Na przykład, e-mail, który automatycznie przekierowuje się z komputera biurowego na mobilny, może wydawać się nielegalny dla serwera odbierającego. Wiele popularnych usług e-mailowych rozwiązało ten problem. Innym wyzwaniem, które może się pojawić, jest zbyt krótki DKIM. Wraz z większym wsparciem dla dłuższych kluczy, krótsze mogą nie przejść uwierzytelnienia.

Jak działa DKIM

Mówiąc prosto, DKIM działa poprzez dodanie cyfrowego podpisu do nagłówków wiadomości e-mail. Ten podpis może być następnie zweryfikowany w stosunku do publicznego klucza kryptograficznego, który znajduje się w rejestrze DNS organizacji.

Właściciel domeny publikuje klucz kryptograficzny. Jest on specjalnie formatowany jako rekord TXT w ogólnym rejestrze DNS domeny.

Po wysłaniu wiadomości przez serwer pocztowy wychodzący, serwer generuje i dołącza unikalny podpis DKIM do nagłówka wiadomości.

Klucz DKIM jest następnie używany przez serwery pocztowe odbierające do wykrywania i deszyfrowania podpisu wiadomości oraz porównywania go z jego nową wersją. Jeśli wartości się zgadzają, wiadomość może być uznana za autentyczną i niezmienioną w trakcie przesyłki, a zatem, nie sfałszowaną ani nie zmienioną.

Możesz zweryfikować swój e-mail za pomocą Walidatora DKIM.

Podsumowanie, jak działa DKIM