Η ασφάλεια του ηλεκτρονικού ταχυδρομείου είναι πολύ πιο σημαντική από ό,τι φαίνεται με το μάτι. Όλοι γνωρίζουμε πολύ καλά ότι το ηλεκτρονικό ταχυδρομείο είναι ένας από τους τομείς που πλήττονται περισσότερο από το phishing για προσωπικά δεδομένα και ευαίσθητες πληροφορίες.
Οι χάκερς γίνονται πολύ καλύτεροι στη δημιουργία αυθεντικών μηνυμάτων που ξεγελούν πολλούς ώστε να κάνουν κλικ σε μια κλήση προς δράση και να παρέχουν στους παραπλανητές τις πληροφορίες που ψάχνουν -συχνά στοιχεία σύνδεσης και οικονομική πρόσβαση.
Email Authentication – τι είναι;
Έλεγχος ταυτότητας ηλεκτρονικού ταχυδρομείου is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Ποιες είναι οι πιθανές μέθοδοι;
Οι τέσσερις τυπικές μέθοδοι ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου σήμερα είναι οι εξής:
- SPF – Πλαίσιο πολιτικής αποστολέα
Αυτό το πρότυπο εκτελεί τον αρχικό έλεγχο για να βεβαιωθείτε ότι κάθε μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από μια αξιόπιστη διεύθυνση IP. - DKIM – DomainKeys Identified Mail
Άλλος ένας έλεγχος ταυτότητας, αλλά αυτή τη φορά με χρήση ενός κλειδιού κρυπτογράφησης ως ψηφιακή υπογραφή. - DMARC – Αναφορά και συμμόρφωση πιστοποίησης ταυτότητας μηνυμάτων τομέα
Το DMARC διασφαλίζει ότι το ηλεκτρονικό ταχυδρομείο πληροί τόσο το SPF όσο και το DKIM πριν παραδοθεί. - BIMI – Δείκτες μάρκας για την αναγνώριση μηνυμάτων
Το BIMI παρέχει έναν τελευταίο έλεγχο, εστιάζοντας στην αξιοπιστία του αποστολέα και εμφανίζοντας την εικόνα του εμπορικού σήματος του αποστολέα στα εισερχόμενα του παραλήπτη (όπου υποστηρίζεται επί του παρόντος).
Θα ρίξουμε μια βαθύτερη ματιά σε καθένα από αυτά λίγο πιο κάτω, αλλά πρώτα θα εξηγήσουμε γιατί είναι τόσο σημαντικά και θα εξηγήσουμε λίγο τον τρόπο λειτουργίας τους.
Πώς λειτουργεί ο έλεγχος ταυτότητας ηλεκτρονικού ταχυδρομείου;
Κάθε μία από τις μεθόδους ελέγχου ταυτότητας (SPF DKIM DMARC BIMI) εφαρμόζει ένα επίπεδο ασφάλειας στα μηνύματα ηλεκτρονικού ταχυδρομείου σας χρησιμοποιώντας τον τομέα ηλεκτρονικού ταχυδρομείου σας για να επαληθεύσει ότι είστε αυτός που ισχυρίζεστε ότι είστε.
- Ο αποστολέας ορίζει την πολιτική/τους κανόνες για τον τρόπο πιστοποίησης του τομέα του.
- Στη συνέχεια, ρυθμίζουν τις παραμέτρους του DNS και των διακομιστών ηλεκτρονικού ταχυδρομείου του τομέα για την εφαρμογή αυτών των κανόνων.
- Οι διακομιστές παραληπτών επαληθεύουν τα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου ελέγχοντάς τα με βάση τους κανόνες που έχουν οριστεί στο DNS του τομέα.
- Σε περίπτωση αποτυχίας του ελέγχου ταυτότητας, το μήνυμα μπλοκάρεται ή μπαίνει σε καραντίνα ή διαχειρίζεται σύμφωνα με την απόφαση ελέγχου ταυτότητας.
Ποια είναι τα οφέλη;
Όπως μπορείτε να δείτε, αν δεν ρυθμίσετε τον έλεγχο ταυτότητας του ηλεκτρονικού ταχυδρομείου σας, κινδυνεύετε να απορρίψετε τα μηνύματα ηλεκτρονικού ταχυδρομείου, να αυξήσετε τα ποσοστά ανεπιθύμητης αλληλογραφίας και να μειώσετε τα ποσοστά παράδοσης.
Τα μηνύματά σας που έχουν μελετηθεί, σχεδιαστεί και δημιουργηθεί με πολύ κόπο, έχουν πολύ λιγότερες πιθανότητες να καταλήξουν στα εισερχόμενα μηνύματα για τα οποία προορίζονται.
Ακόμα χειρότερα, χωρίς τις μεθόδους ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου σας, η επωνυμία σας είναι πολύ πιο εύκολο να πλαστογραφηθεί, αφήνοντας εσάς και τους πελάτες σας εκτεθειμένους σε επιθέσεις ηλεκτρονικού ταχυδρομείου, hacks και phishing.
Ρύθμιση ελέγχου ταυτότητας email
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
Μόλις αποκτήσετε πρόσβαση στις ρυθμίσεις DNS, θα προσθέσετε διάφορες εγγραφές TXT και CNAME στο domain σας.
Για να μάθετε τις τιμές των ρυθμίσεων του τομέα σας, θα πρέπει να επικοινωνήσετε με τους οικοδεσπότες ηλεκτρονικού ταχυδρομείου σας. Αυτοί θα σας παρέχουν τις ρυθμίσεις για τις εγγραφές SPF, θα δημιουργήσουν τον επιλογέα DKIM από την περιοχή φιλοξενίας τους και θα σας δείξουν πώς να εφαρμόσετε την πολιτική DMARC, καθώς οι κεντρικοί υπολογιστές συχνά διαφέρουν ως προς τον τρόπο ρύθμισής τους.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Πλαίσιο πολιτικής αποστολέα
Ο SPF είναι ο τυπικός έλεγχος ταυτότητας που δημιουργήθηκε τις πρώτες ημέρες της ανάπτυξης του ηλεκτρονικού ταχυδρομείου. Ενώ κάποτε ήταν κατάλληλο για τα πρώτα συστήματα ηλεκτρονικού ταχυδρομείου, παρουσιάζει αρκετά προβλήματα για τις σύγχρονες μεθόδους ηλεκτρονικού ταχυδρομείου. Αυτός είναι ο λόγος για τον οποίο είναι απαραίτητη η χρήση και των τεσσάρων μεθόδων για την παροχή μιας μορφής πλήρους κάλυψης.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Όταν ο διακομιστής ηλεκτρονικού ταχυδρομείου του παραλήπτη εκτελεί μια αναζήτηση DNS για να ανακτήσει την εγγραφή SPF, χρησιμοποιεί την τιμή στη διαδρομή επιστροφής του μηνύματος.
Προβλήματα με τον έλεγχο ταυτότητας SPF
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Προσδιορισμός εγκεκριμένων διευθύνσεων IP – Τα κοινόχρηστα συστήματα, όπως οι πλατφόρμες cloud, μπορούν να φιλοξενούν πολλαπλές υπηρεσίες με δυναμικά εκχωρημένες διευθύνσεις IP. Παρόλο που η IP μπορεί να προσδιοριστεί και να εγκριθεί, μπορεί επίσης να επιτραπεί σε οποιονδήποτε άλλον να χρησιμοποιήσει την ίδια κοινόχρηστη IP με τη χρήση της εγγραφής SPF.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
Το SPF δεν υποστηρίζει την προώθηση email – Ένας διακομιστής παραλήπτη θα αποτύχει να επικυρώσει ένα προωθημένο μήνυμα επειδή ο αναγνωριστικός τομέας φαίνεται να είναι αυτός του διακομιστή προώθησης και όχι ο αρχικός τομέας.
Όπως βλέπετε, αυτό που κάποτε ήταν μια αποδεκτή μέθοδος είναι τώρα σημαντικά ελαττωματικό. Παρέχει τα βασικά στοιχεία πάνω στα οποία μπορείτε να βασιστείτε για μεγαλύτερη συνολική ασφάλεια. Ως αυτόνομη μέθοδος, ωστόσο, δεν αρκεί στη σημερινή τεχνολογία.
DKIM – DomainKeys Identified Mail
Το DKIM χρησιμοποιεί κρυπτογράφηση δημόσιου/ιδιωτικού κλειδιού για την υπογραφή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Επαληθεύει ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου εστάλησαν από τον τομέα και ότι το μήνυμα ηλεκτρονικού ταχυδρομείου δεν έχει τροποποιηθεί κατά τη μεταφορά.
Είναι μια πιο ασφαλής μέθοδος ελέγχου ταυτότητας, καθώς διασφαλίζει ότι το μήνυμα δεν έχει αλλοιωθεί κατά την παράδοση. Ένα άλλο πλεονέκτημα είναι ότι ο έλεγχος ταυτότητας DKIM επιβιώνει από την προώθηση μηνυμάτων ηλεκτρονικού ταχυδρομείου.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
Ο διακομιστής ηλεκτρονικού ταχυδρομείου του παραλήπτη διαβάζει τις κρυπτογραφημένες πληροφορίες χρησιμοποιώντας το δημόσιο κλειδί που φιλοξενείται στο DNS και, αν όλα ταιριάζουν, χορηγείται πιστοποίηση ταυτότητας.
Επιλογείς DKIM
Κάθε τομέας μπορεί να χρησιμοποιεί διάφορους επιλογείς. Αυτές οι τιμές χρησιμοποιούνται για τον προσδιορισμό μοναδικών ιδιοτήτων, για παράδειγμα, υποτομέων, χρηστών, τοποθεσιών και υπηρεσιών. Κάθε επιλογέας λειτουργεί χρησιμοποιώντας το δικό του δημόσιο κλειδί, παραιτούμενος από ένα ενιαίο, κοινόχρηστο κλειδί για όλα τα ενδεχόμενα.
Προβλήματα με τον έλεγχο ταυτότητας DKIM
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple διαδικασία .
Ασφάλεια κλειδιών – Ένας χάκερ που υπογράφει μηνύματα χρησιμοποιώντας τον τομέα ενός άλλου χρήστη θα μπορούσε να επικυρώσει τέλεια τα μηνύματά του χρησιμοποιώντας το ιδιωτικό κλειδί αυτού του τομέα.
Εφαρμογή και management κλειδιών – Τα μακρόστενα, πιο ασφαλή κλειδιά μπορεί να είναι προβληματικά κατά την εφαρμογή στον τομέα DNS. Αυτές οι μεγάλες σειρές δεδομένων εφαρμόζονται εύκολα λανθασμένα, ακόμη και κατά την αντιγραφή και επικόλληση.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – Αναφορά και συμμόρφωση πιστοποίησης ταυτότητας μηνυμάτων τομέα
As already mentioned, DMARC enforces the use of the domain set in the from field to πρόληψη hackers and attackers from using alternate domains to bypass safety checks.
Περιλαμβάνει επίσης έναν μηχανισμό αναφοράς που επιτρέπει στον αποστολέα να αποφασίσει τι θα κάνει με τα αποτελέσματα του ελέγχου ταυτότητας. Η εγγραφή DMARC ελέγχει πού και πώς οι διακομιστές παραλήπτη αποστέλλουν αναφορές.
Στην πραγματικότητα, το DMARC καλύπτει τα κενά μεταξύ SPF και DKIM και ενισχύει την παραδοσιμότητα του ηλεκτρονικού ταχυδρομείου. Οι spammers δεν μπορούν πλέον να κάνουν κατάχρηση αυτών των προστατευμένων τομέων- ως εκ τούτου, η φήμη του τομέα ενισχύεται, βελτιώνοντας συνεχώς τα ποσοστά παραδοσιμότητας.
Επιβολή DMARC
Το αρχείο DMARC υπαγορεύει τι πρέπει να γίνει με τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποτυγχάνουν να εξουσιοδοτηθούν. Η πολιτική έχει τρία αποτελέσματα: μην κάνετε τίποτα, καραντίνα ή απόρριψη. Μια αναφορά DMARC ειδοποιεί τον κάτοχο του τομέα για το από πού προήλθαν τέτοια αποτυχημένα μηνύματα, παρέχοντας κρίσιμες πληροφορίες σχετικά με την παραβίαση και τι μπορεί να κάνει για να λάβει περαιτέρω μέτρα προστασίας.
BIMI – Δείκτες μάρκας για την αναγνώριση μηνυμάτων
Ελπίζουμε ότι η συμπερίληψη του ελέγχου ταυτότητας ηλεκτρονικού ταχυδρομείου BIMI θα προσφέρει περίπου 10% ώθηση στη δέσμευση μέσω της παραδοσιμότητας – αυτός ο αριθμός δεν πρέπει να λαμβάνεται ελαφρά τη καρδία.
Δεδομένου ότι αυτή η μέθοδος ελέγχου ταυτότητας βρίσκεται στα σπάργανα και περιμένει ακόμη την εισαγωγή της από πολλούς παρόχους ηλεκτρονικού ταχυδρομείου, υπάρχουν διάφορα βήματα που μπορούν να κάνουν οι χρήστες για να βεβαιωθούν ότι είναι έτοιμοι για τη μεγάλη εξάπλωση όταν τελικά φτάσει στους διακομιστές μας.
Το σίγουρο είναι ότι, δεδομένου ότι η Google περιλαμβάνει την ενσωμάτωση του BIMI στο G Suite, είναι θέμα χρόνου να το ακολουθήσει και ο υπόλοιπος κόσμος.
Πώς να προετοιμαστείτε για το BIMI;
Για να ενεργοποιήσετε τον έλεγχο ταυτότητας ηλεκτρονικού ταχυδρομείου BIMI, πρέπει πρώτα να πιστοποιήσετε τα μηνύματά σας με SPF, DKIM και DMARC, εξασφαλίζοντας ευθυγράμμιση (ο τομέας είναι ο ίδιος σε όλη τη διαδρομή). Η πολιτική DMARC πρέπει να επιβάλλεται είτε σε καραντίνα είτε σε απόρριψη και ο DNS του τομέα πρέπει να έχει τη σωστή εγγραφή BIMI.
Θα πρέπει επίσης να φιλοξενήσετε ένα κατάλληλο αρχείο λογότυπου ως σύνδεσμο για την αυθεντικοποίηση που θα προκύψει και θα εμφανίζεται στα εισερχόμενα μηνύματα των παραληπτών σας. Το λογότυπό σας θα πρέπει να είναι στη σωστή μορφή SVG και ενδεχομένως ένα VMC (Verified Mark Certificate) για την πιστοποίηση της αυθεντικότητας του αρχείου.
Πλήρης αυθεντικοποίηση για τις καμπάνιες email σας
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Συνδρομητές and boosts the connectivity and returns on your marketing.
