Sähköpostin tietoturvaan liittyy paljon enemmän kuin ensin näyttää. Olemme kaikki hyvin tietoisia siitä, että sähköposti on yksi henkilötietojen ja arkaluonteisten tietojen kalastelun pahimmista kohteista.
Hakkerit osaavat yhä paremmin luoda aidon näköisiä viestejä, jotka huijaavat monia klikkaamaan toimintakutsua ja antamaan huijareille tietoja, joita he etsivät – usein kirjautumistietoja ja taloudellisia tietoja.
Sähköpostitodennus – mitä se on?
Sähköpostin todennus is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Mitkä ovat mahdolliset menetelmät?
Neljä tyypillistä sähköpostin todennusmenetelmää ovat nykyään seuraavat:
- SPF – Sender Policy Framework
Tämä standardi suorittaa alkuperäisen tarkistuksen, jolla varmistetaan, että jokainen sähköposti tulee luotetusta IP-osoitteesta. - DKIM – DomainKeys Identified Mail
Toinen identiteetin tarkistus, mutta tällä kertaa käytetään salausavainta digitaalisena allekirjoituksena. - DMARC – Domain Message Authentication Reporting and Conformance (Toimialueen viestien todennusraportointi ja vaatimustenmukaisuus)
DMARC varmistaa, että sähköposti täyttää sekä SPF- että DKIM-vaatimukset ennen kuin se toimitetaan. - BIMI – Viestin tunnistamiseen käytettävät tuotemerkin ilmaisimet (Brand Indicators for Message Identification)
BIMI tekee vielä yhden viimeisen tarkistuksen, jossa keskitytään lähettäjän uskottavuuteen ja näytetään lähettäjän tuotemerkin kuva vastaanottajan postilaatikossa (jos se on tällä hetkellä tuettu).
Tarkastelemme kutakin näistä tarkemmin hieman myöhemmin, mutta ensin selitämme, miksi ne ovat niin tärkeitä ja miten ne toimivat.
Miten sähköpostin todennus toimii?
Kukin todentamismenetelmistä (SPF DKIM DMARC BIMI) soveltaa sähköpostiviesteihisi turvakerrosta, joka käyttää sähköpostin verkkotunnusta todentaakseen, että olet se, joka väität olevasi.
- Lähettäjä määrittelee käytännöt/säännöt siitä, miten hänen verkkotunnuksensa todennetaan.
- Sen jälkeen he määrittävät verkkotunnuksen DNS- ja sähköpostipalvelimet näiden sääntöjen toteuttamiseksi.
- Vastaanottajapalvelimet tarkistavat saapuvan sähköpostin vertaamalla sitä verkkotunnuksen DNS:ään kiinnitettyihin sääntöihin.
- Kun todentaminen on suoritettu, vastaanottajapalvelin käsittelee sähköpostiviestin turvallisesti; jos todentaminen epäonnistuu, viesti estetään tai asetetaan karanteeniin tai sitä hallinnoidaan todentamispäätöksen mukaisesti.
Mitä hyötyä siitä on?
Kuten huomaat, jos et määritä sähköpostin todennusta, vaarana on, että sähköpostit hylätään, roskapostin määrä kasvaa ja toimitusaste laskee.
Huolellisesti harkituilla, kauniisti suunnitelluilla ja luoduilla viesteilläsi on paljon vähemmän mahdollisuuksia päätyä niihin postilaatikoihin, joille ne on tarkoitettu.
Vielä pahempaa on se, että ilman käytössä olevia sähköpostin todennusmenetelmiä tuotemerkkisi on paljon helpompi väärentää, jolloin sinä ja asiakkaasi olette alttiita sähköpostihyökkäyksille, hakkeroinnille ja phishingille.
Sähköpostin todennuksen määrittäminen
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
Kun pääset DNS-asetuksiin, voit lisätä verkkotunnuksellesi erilaisia TXT- ja CNAME-tietueita.
Verkkotunnusasetusten arvot saat selville tarkistamalla ne sähköpostiosoitteistasi. He antavat sinulle SPF-tietueiden asetukset, luovat DKIM-valitsimen isännöintialueeltaan ja näyttävät, miten DMARC-käytäntö toteutetaan, sillä isännät eroavat usein toisistaan siinä, miten ne on konfiguroitu.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Sender Policy Framework
SPF on sähköpostin kehityksen alkuaikoina luotu vakiotodennus. Se soveltui aikoinaan varhaisiin sähköpostijärjestelmiin, mutta nykyaikaisissa sähköpostimenetelmissä siihen liittyy useita ongelmia. Siksi on välttämätöntä käyttää kaikkia neljää menetelmää, jotta saadaan aikaan eräänlainen täydellinen suojaus.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Kun vastaanottajan sähköpostipalvelin suorittaa DNS-haun hakiakseen SPF-tietueen, se käyttää arvoa viestin paluupolussa.
SPF-todennukseen liittyvät ongelmat
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Hyväksyttyjen IP-osoitteiden tunnistaminen – Jaetut järjestelmät, kuten pilvialustat, voivat isännöidä useita palveluja, joilla on dynaamisesti määritetyt IP-osoitteet. Vaikka IP-osoite voidaan määrittää ja hyväksyä, se voi myös sallia kenen tahansa muun käyttää samaa jaettua IP-osoitetta SPF-tietueesi avulla.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
SPF ei tue sähköpostin edelleenlähetystä – Vastaanottajapalvelin ei pysty vahvistamaan edelleenlähetettyä viestiä, koska tunnistava verkkotunnus näyttää olevan edelleenlähetyspalvelimen eikä alkuperäisen verkkotunnuksen verkkotunnus.
Kuten huomaatte, se, mikä oli kerran hyväksyttävä menetelmä, on nyt huomattavasti puutteellinen. Se tarjoaa perustan, jonka pohjalta voidaan rakentaa suurempaa kokonaisturvallisuutta. Erillisenä menetelmänä se ei kuitenkaan riitä nykypäivän tekniikassa.
DKIM – DomainKeys Identified Mail
DKIM käyttää julkisen ja yksityisen avaimen salausta sähköpostiviestien allekirjoittamiseen. Se todentaa, että sähköpostiviestit on lähetetty verkkotunnuksesta ja että sähköpostia ei ole muutettu kuljetuksen aikana.
Se on turvallisempi todentamismenetelmä, sillä se varmistaa, ettei viestiä ole muutettu lähetyksen aikana. Toinen etu on se, että DKIM-todennus säilyy sähköpostin välittämisessä.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
Vastaanottajan sähköpostipalvelin lukee salatut tiedot DNS:ssä olevan julkisen avaimen avulla, ja jos kaikki täsmää, tunnistautuminen myönnetään.
DKIM-valitsimet
Kukin verkkotunnus voi käyttää useita valitsimia. Näitä arvoja käytetään yksilöimään ainutlaatuisia ominaisuuksia, esimerkiksi aluetunnuksia, käyttäjiä, sijainteja ja palveluita. Kukin valitsija toimii omalla julkisella avaimellaan, jolloin luovutaan yhdestä jaetusta avaimesta kaikkia tilanteita varten.
DKIM-todennukseen liittyvät ongelmat
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple prosessi .
Avainturvallisuus – Hakkerin, joka allekirjoittaa viestit toisen käyttäjän verkkotunnuksella, sähköpostiviestit voidaan vahvistaa täydellisesti kyseisen verkkotunnuksen yksityisellä avaimella.
Avainten käyttöönotto ja hallinta – Pitkät ja turvallisemmat avaimet voivat olla ongelmallisia, kun niitä sovelletaan verkkotunnuksen DNS:ään. Näitä pitkiä merkkijonoja käytetään helposti väärin, jopa kopioimalla ja liittämällä.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – Domain Message Authentication Reporting and Conformance (Toimialueen viestien todennusraportointi ja vaatimustenmukaisuus)
As already mentioned, DMARC enforces the use of the domain set in the from field to estää hackers and attackers from using alternate domains to bypass safety checks.
Se sisältää myös raportointimekanismin, jonka avulla lähettäjä voi päättää, mitä tekee todentamistuloksille. DMARC-tietue ohjaa, minne ja miten vastaanottajapalvelimet lähettävät raportteja.
DMARC täyttää SPF:n ja DKIM:n väliset aukot ja parantaa sähköpostin toimitettavuutta. Roskapostittajat eivät voi enää käyttää suojattuja verkkotunnuksia väärin, joten verkkotunnuksen maine kasvaa, mikä parantaa koko ajan toimitettavuutta.
DMARC:n täytäntöönpano
DMARC-tietue määrää, mitä tehdä sähköposteille, joiden valtuutus ei onnistu. Käytännössä on kolme vaihtoehtoa: ei mitään, karanteeni tai hylkääminen. DMARC-raportti ilmoittaa verkkotunnuksen haltijalle, mistä tällaiset epäonnistuneet viestit ovat tulleet, ja antaa ratkaisevan tärkeää tietoa rikkomuksesta ja siitä, mitä hän voi tehdä lisätoimenpiteiden toteuttamiseksi.
BIMI – Viestin tunnistamiseen käytettävät tuotemerkin ilmaisimet (Brand Indicators for Message Identification)
Toivotaan, että BIMI-sähköpostitodennuksen käyttöönotto lisää sitoutumista noin 10%:n verran toimitettavuuden kautta – tämä ei ole kevyesti otettava luku.
Koska tämä todennusmenetelmä on vasta kehittymässä ja odottaa vielä käyttöönottoa monilla sähköpostipalveluntarjoajilla, käyttäjät voivat toteuttaa useita toimenpiteitä varmistaakseen, että he ovat valmiita suureen käyttöönottoon, kun se vihdoin saapuu palvelimillemme.
Yksi asia on varma: kun otetaan huomioon, että Google sisällyttää BIMI-integraation G Suite -palveluun, on vain ajan kysymys, milloin muu maailma saavuttaa sen.
Miten valmistautua BIMIin?
Jotta voit aktivoida BIMI-sähköpostitodennuksen, sinun on ensin todennettava sähköpostisi SPF-, DKIM- ja DMARC-todennuksen avulla ja varmistettava, että ne vastaavat toisiaan (verkkotunnus on aina sama). DMARC-käytännön on oltava joko karanteenissa tai hylätty, ja toimialueen DNS:ssä on oltava oikea BIMI-tietue.
Sinun on myös luotava sopiva logotiedosto linkkinä, jotta tuloksena oleva todennus näkyy vastaanottajien postilaatikoissa. Logosi on oltava oikeassa SVG-muodossa ja mahdollisesti VMC (Verified Mark Certificate), joka todentaa tiedoston.
Täydellinen todennus sähköpostikampanjoillesi
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Tilaajat and boosts the connectivity and returns on your marketing.
