Autentiseringsmetoder for e-post - det grunnleggende bak SPF, DKIM, DMARC og BIMI

2. april 2021
7

E-postsikkerhet handler om mye mer enn det man først ser. Vi er alle klar over at e-post er et av de mest utsatte områdene for nettfisking etter personopplysninger og sensitiv informasjon.

Hackere blir stadig flinkere til å lage meldinger som ser autentiske ut, slik at mange blir lurt til å klikke på en oppfordring til handling og gi svindlerne informasjonen de er ute etter - ofte innloggingsdetaljer og økonomisk tilgang.

E-postautentisering - hva er det?

Autentisering av e-post er systemet som er utviklet for å beskytte omdømmet ditt ved å sjekke at du er den du utgir deg for å være når du sender en e-postkampanje. De fire konseptene er enkle nok, men det kan være vanskelig å sette opp hver av metodene. Men den samlede beskyttelsen er så god som det er mulig å få på plass med dagens systemer.

Hva er de mulige metodene?

De fire typiske autentiseringsmetodene for e-post i dag er som følger:

  1. SPF - Rammeverk for avsenderpolicyer
    Denne standarden utfører den opprinnelige kontrollen for å sikre at hver e-post kommer fra en klarert IP-adresse.
  2. DKIM - DomainKeys Identified Mail (domeneidentifisert e-post)
    Nok en identitetskontroll, men denne gangen brukes en krypteringsnøkkel som digital signatur.
  3. DMARC - Domain Message Authentication Reporting and Conformance (Rapportering og samsvar for domene- og meldingsautentisering)
    DMARC sikrer at e-posten oppfyller kravene til både SPF og DKIM før den leveres.
  4. BIMI - Merkevareindikatorer for identifikasjon av meldinger
    BIMI leverer en siste sjekk, med fokus på avsenderens troverdighet og visning av avsenderens merkevare i mottakerens innboks (der dette støttes i dag).

Vi skal se nærmere på hver av disse litt senere, men først skal vi forklare hvorfor de er så viktige og forklare litt om hvordan de fungerer.

Hvordan fungerer e-postautentisering?

Hver av autentiseringsmetodene (SPF, DKIM, DMARC, BIMI) legger til et sikkerhetslag på e-postene dine ved hjelp av e-postdomenet ditt for å bekrefte at du er den du utgir deg for å være.

  1. Avsenderen definerer retningslinjene/reglene for hvordan domenet deres skal autentiseres.
  2. Deretter konfigurerer de domenets DNS- og e-postservere for å implementere disse reglene.
  3. Mottakende servere verifiserer innkommende e-post ved å sjekke den mot reglene som er knyttet til domenets DNS.
  4. Når den er autentisert, behandler mottakerserveren e-posten på en trygg måte. Hvis autentiseringen mislykkes, blir meldingen blokkert eller satt i karantene eller håndtert i tråd med autentiseringsbeslutningen.

Hva er fordelene?

Som du kan se, risikerer du å få avviste e-poster, høyere spamfrekvens og lavere leveringsfrekvens hvis du ikke konfigurerer e-postautentiseringen.

De møysommelig gjennomtenkte, vakkert utformede og skapte meldingene dine har langt mindre sjanse for å lande i innboksen de er ment for.

Enda verre er det at uten autentiseringsmetoder for e-post er det mye lettere å forfalske merkevaren din, noe som gjør deg og kundene dine helt åpne for e-postangrep, hacking og phishing.

Konfigurere e-postgodkjenning

For å konfigurere domenet ditt til å administrere hver autentiseringsmetode, må du ha tilgang til DNS-innstillingene (Domenenavn System) gjennom domeneregistreringstjenesten din.

Når du har tilgang til DNS-innstillingene, legger du til ulike TXT- og CNAME-poster for domenet ditt.

For å finne ut hvilke verdier domeneinnstillingene dine har, må du kontakte e-postverten. De vil gi deg innstillingene for SPF-postene dine, generere DKIM-velgeren din fra vertsområdet og vise deg hvordan du implementerer DMARC-policyen din, ettersom vertene ofte er forskjellige i hvordan de er konfigurert.

Du legger til en ny TXT-post for å inkludere en BIMI-post, inkludert banen til merkevaren din bildefil.

SPF - Rammeverk for avsenderpolicyer

SPF er en standardautentisering som ble utviklet i e-postens barndom. Den var en gang egnet for tidlige e-postsystemer, men har flere problemer for moderne e-postmetoder. Derfor er det nødvendig å bruke alle fire metodene for å levere en form for fullstendig dekning.

SPF-poster lagres i klartekst i DNS-domenet og dikterer hvilke IP-adresser med tillatelse til å sende fra domenet.

Når mottakerens e-postserver utfører et DNS-oppslag for å hente SPF-posten, bruker den verdien i meldingens returbane.

Problemer med SPF-godkjenning

Syntaks - Til tross for at det er tekstposter, er syntaksen kan bli vanskelig når du skriver inn DNS-postene. Hvis de ikke er presise, vil autentiseringen mislykkes, selv om meldingen og avsenderen er ekte.

Identifisere godkjente IP-adresser - Delte systemer, for eksempel skyplattformer, kan være vert for flere tjenester med dynamisk tildelte IP-adresser. Selv om IP-adressen kan bestemmes og godkjennes, kan den også tillate andre å bruke den samme delte IP-adressen ved å bruke SPF-oppføringen din.

SPF kan forfalskes - SPF bruker det skjulte feltet for returvei for autentisering - ikke "fra"-feltet, som mottakerne tydelig kan se. En hacker som phishing etter informasjon, kan presentere et domene og en e-postadresse som ser gyldig ut i "fra"-feltet, men ha sin egen e-postadresse som retursti, og bruke sitt eget autentiseringssystem for å komme seg gjennom serverkontrollen.

SPF støtter ikke videresending av e-post - En mottakerserver vil ikke kunne validere en videresendt melding fordi identifikasjonsdomenet ser ut til å tilhøre videresendingsserveren og ikke det opprinnelige domenet.

Som du ser, er det som en gang var en akseptabel metode, nå betydelig mangelfull. Den gir et grunnleggende grunnlag å bygge videre på for å oppnå bedre sikkerhet. Men som enkeltstående metode holder den ikke mål med dagens teknologi.

DKIM - DomainKeys Identified Mail (domeneidentifisert e-post)

DKIM bruker offentlig/privat nøkkelkryptering for å signere e-postmeldinger. Det bekrefter at e-postmeldinger er sendt fra domenet, og at e-posten ikke har blitt endret underveis.

Det er en sikrere autentiseringsmetode, ettersom den sikrer at meldingen ikke har blitt endret under leveringen. En annen fordel er at DKIM-autentisering overlever videresending av e-post.

Domeneeieren oppretter kryptografiske nøkler i par: en offentlig og en privat. Den offentlige nøkkelen plasseres som en TXT-post i domenets DNS. Når en e-post sendes, genereres en "hash" basert på den innholdet i meldingen. Denne hashen krypteres med domenets private nøkkel og legges til i toppteksten på e-posten.

Mottakerens e-postserver leser den krypterte informasjonen ved hjelp av den offentlige nøkkelen som ligger i DNS, og hvis alt stemmer overens, er autentiseringen godkjent.

DKIM-selektorer

Hvert domene kan bruke flere selektorer. Disse verdiene brukes til å identifisere unike egenskaper, for eksempel underdomener, brukere, steder og tjenester. Hver velger bruker sin egen offentlige nøkkel, slik at man slipper å bruke én felles nøkkel for alle eventualiteter.

Problemer med DKIM-godkjenning

Uoverensstemmende signaturer - En gyldig DKIM-signatur kan bruke et helt annet domene enn det som vises i "fra"-feltet. Det gjør phishing fra et annet e-postdomene til en enkel prosess.

Nøkkelsikkerhet - En hacker som signerer meldinger ved hjelp av en annen brukers domene, kan få e-postene sine validert perfekt ved hjelp av det aktuelle domenets private nøkkel.

Implementering og håndtering av nøkler - Lange, sikrere nøkler kan være problematiske når de skal brukes på DNS-domenet. Disse lange datastrengene kan lett brukes feil, selv når de kopieres og limes inn.

For å få mest mulig ut av DKIM må den kombineres med DMARC, slik at domenet som brukes i "fra"-feltet, kommer i spill. Du kan nå se hvordan hvert system er avhengig av den foregående metoden for å skape et komplett og effektivt autentiseringssystem.

DMARC - Domain Message Authentication Reporting and Conformance (Rapportering og samsvar for domene- og meldingsautentisering)

Som allerede nevnt, håndhever DMARC bruken av domenet som er angitt i fra-feltet til forhindre hackere og angripere fra å bruke alternative domener for å omgå sikkerhetskontroller.

Den inneholder også en rapporteringsmekanisme som gjør det mulig for avsenderen å bestemme hva som skal gjøres med autentiseringsresultatene. DMARC-posten kontrollerer hvor og hvordan mottakerserverne sender rapporter.

DMARC tetter hullene mellom SPF og DKIM og øker leveringsevnen for e-post. Spammere kan ikke lenger misbruke disse beskyttede domenene, og derfor bygges domenets omdømme opp, noe som hele tiden forbedrer leveringsgraden.

Håndhevelse av DMARC

DMARC-posten dikterer hva som skal gjøres med e-postmeldinger som ikke godkjennes. Policyen har tre utfall: ikke gjøre noe, sette i karantene eller avvise. En DMARC-rapport varsler domeneinnehaveren om hvor slike mislykkede meldinger har kommet fra, og gir viktig informasjon om overtredelsen og hva de kan gjøre for å ta ytterligere beskyttende skritt.

BIMI - Merkevareindikatorer for identifikasjon av meldinger

Håpet er at inkludering av BIMI-e-postautentisering vil gi et løft på rundt 10% i engasjement gjennom leveringsdyktighet - det er ikke et tall man skal ta lett på.

Siden denne autentiseringsmetoden er i sin spede begynnelse og fortsatt venter på å bli innført av mange e-postleverandører, er det flere grep brukerne kan ta for å sikre at de er klare for en storstilt utrulling når den endelig kommer på serverne våre.

En ting er sikkert: Siden Google inkluderer BIMI-integrering i G Suite, bør det bare være et spørsmål om tid før resten av verden følger etter.

Hvordan gjør du deg klar for BIMI?

For å aktivere BIMI-e-postautentisering må du først autentisere e-postene dine med SPF, DKIM og DMARC, og sørge for samsvar (domenet må være det samme hele veien). DMARC-policyen må håndheves ved enten karantene eller avvisning, og domenets DNS må ha riktig BIMI-post.

Du må også være vert for en passende logofil som en lenke for at den resulterende godkjenningen skal vises i mottakerens innboks. Logoen din må være i riktig SVG-format og eventuelt ha et VMC-sertifikat (Verified Mark Certificate) for å autentisere filen.

Fullstendig autentisering for e-postkampanjene dine

Vi har lært at hver av disse metodene hver for seg ikke gir noen helhetlig løsning som gjør livet enklere. Men med litt arbeid for å få hvert av systemene til å fungere sammen som ett, vil du være langt sikrere i leveransen av dine e-postkampanjer og meldinger enn du kunne aldri være uten dem.

Det er verdt tiden og innsatsen det tar hvis det sikrer beskyttelsen av tjenesten din, din abonnenter og øker tilkoblingen og avkastningen på markedsføringen din.

Linje og prikker

Mest populære på bloggen vår

Blogginnlegg Utkaster

Hvordan verifisere om en e-postadresse er ekte eller falsk: En guide

Izabela Harbarczyk
Les mer
Blogginnlegg Utkaster

Hvordan sjekke om en e-postadresse er gyldig: Den ultimate guiden

Izabela Harbarczyk
Les mer
Blogginnlegg Utkaster

Slik skriver du en e-post for å planlegge et møte (+8 maler)

Kinga Edwards
Les mer
Blogginnlegg Utkaster

11 eksempler på de beste e-postsignaturene i 2024

Kinga Edwards
Les mer