Varnost e-pošte je veliko bolj zapletena, kot se zdi na prvi pogled. Vsi se dobro zavedamo, da je e-pošta eno od najbolj izpostavljenih področij za ribarjenje z osebnimi podatki in občutljivimi informacijami.
Hekerji postajajo vse boljši pri ustvarjanju pristnih sporočil, ki mnoge zavedejo, da kliknejo poziv k dejanju in lažnim uporabnikom posredujejo informacije, ki jih iščejo – pogosto prijavne podatke in finančni dostop.
Preverjanje pristnosti e-pošte – kaj je to?
Preverjanje pristnosti e-pošte is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
Katere so možne metode?
Danes so značilni naslednji štirje načini avtentikacije e-pošte:
- SPF – okvir politike pošiljatelja
S tem standardom se opravi prvotno preverjanje, da se zagotovi, da vsako e-poštno sporočilo prihaja z zaupanja vrednega naslova IP. - DKIM – DomainKeys Identified Mail
Še eno preverjanje identitete, vendar tokrat z uporabo šifrirnega ključa kot digitalnega podpisa. - DMARC – poročanje o avtentikaciji in skladnosti domenskih sporočil
DMARC zagotavlja, da e-poštna sporočila pred dostavo ustrezajo SPF in DKIM. - BIMI – Brand Indicators for Message Identification (Indikatorji blagovne znamke za identifikacijo sporočila)
BIMI zagotavlja še zadnje preverjanje, pri čemer se osredotoča na verodostojnost pošiljatelja in prikaz podobe blagovne znamke pošiljatelja v prejemnikovem nabiralniku (če je trenutno podprt).
Vsako od teh funkcij bomo podrobneje preučili v nadaljevanju, vendar bomo najprej pojasnili, zakaj so tako pomembne, in razložili, kako delujejo.
Kako deluje preverjanje pristnosti e-pošte?
Vsaka od metod preverjanja pristnosti (SPF DKIM DMARC BIMI) za vaša e-poštna sporočila uporablja stopnjo varnosti z uporabo vaše e-poštne domene za preverjanje, ali ste tisti, za katerega se izdajate.
- Pošiljatelj določi politiko/pravila za preverjanje pristnosti svoje domene.
- Nato konfigurirajo domenske strežnike DNS in e-poštne strežnike za izvajanje teh pravil.
- Prejemni strežniki preverijo prejeto e-pošto tako, da jo preverijo glede na pravila, ki so določena v domeni DNS.
- Ko je avtentikacija potrjena, strežnik prejemnika varno obdela e-pošto; če avtentikacija ni uspešna, se sporočilo blokira ali pošlje v karanteno ali se upravlja v skladu z odločitvijo o avtentikaciji.
Kakšne so prednosti?
Če ne nastavite avtentikacije e-pošte, tvegate zavrnjena e-poštna sporočila, višjo stopnjo neželene pošte in nižjo stopnjo dostave.
Vaša skrbno premišljena, lepo oblikovana in ustvarjena sporočila imajo veliko manj možnosti, da pristanejo v nabiralnikih, ki so jim namenjena.
Še huje, brez vzpostavljenih metod preverjanja pristnosti e-pošte je vašo blagovno znamko veliko lažje ponarediti, zaradi česar ste vi in vaše stranke zelo odprti za e-poštne napade, vdore in ribarjenje.
Nastavitev preverjanja pristnosti e-pošte
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
Ko dostopate do nastavitev DNS, domeni dodate različne zapise TXT in CNAME.
Vrednosti nastavitev domene lahko preverite pri gostiteljih e-pošte. Ti vam bodo posredovali nastavitve zapisov SPF, ustvarili selektor DKIM v svojem območju gostovanja in vam pokazali, kako izvajati politiko DMARC, saj se gostitelji pogosto razlikujejo po načinu konfiguracije.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – okvir politike pošiljatelja
SPF je standardna avtentikacija, ki je bila ustvarjena na začetku razvoja e-pošte. Če je bil nekoč primeren za zgodnje sisteme elektronske pošte, pa ima več težav pri sodobnih metodah pošiljanja pošte. Zato je treba uporabiti vse štiri metode, da zagotovimo obliko popolnega kritja.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Ko e-poštni strežnik prejemnika izvede iskanje DNS za pridobitev zapisa SPF, uporabi vrednost v povratni poti sporočila.
Težave z avtentikacijo SPF
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Prepoznavanje odobrenih naslovov IP – Skupni sistemi, kot so platforme v oblaku, lahko gostijo več storitev z dinamično dodeljenimi naslovi IP. Čeprav je IP mogoče določiti in odobriti, lahko z vašim zapisom SPF omogočite, da isti skupni IP uporablja tudi kdor koli drug.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
SPF ne podpira posredovanja e-pošte – Strežnik prejemnika ne bo potrdil posredovanega sporočila, ker se zdi, da je identifikacijska domena domena strežnika za posredovanje in ne prvotna domena.
Kot vidite, je metoda, ki je bila nekoč sprejemljiva, zdaj zelo pomanjkljiva. Zagotavlja osnove, na katerih lahko gradite za večjo vsestransko varnost. Vendar pa kot samostojna metoda v današnji tehnologiji ne ustreza.
DKIM – DomainKeys Identified Mail
DKIM za podpisovanje e-poštnih sporočil uporablja šifriranje z javnim/zasebnim ključem. Preverja, da so bila e-poštna sporočila poslana iz domene in da med prenosom niso bila spremenjena.
To je varnejši način avtentikacije, saj zagotavlja, da sporočilo med dostavo ni bilo spremenjeno. Dodatna prednost je, da avtentikacija DKIM preživi tudi posredovanje e-pošte.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
Prejemnikov e-poštni strežnik prebere šifrirane informacije z uporabo javnega ključa, ki je nameščen v sistemu DNS, in če se vse ujema, je avtentikacija odobrena.
Selektorji DKIM
Vsaka domena lahko uporablja več izbirnikov. Te vrednosti se uporabljajo za prepoznavanje edinstvenih lastnosti, na primer poddomen, uporabnikov, lokacij in storitev. Vsak selektor deluje s svojim lastnim javnim ključem, s čimer se odreče enemu skupnemu ključu za vse primere.
Težave z avtentikacijo DKIM
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple proces .
Varnost ključev – heker, ki podpiše sporočila z domeno drugega uporabnika, lahko s pomočjo zasebnega ključa te domene popolnoma potrdi svoja e-poštna sporočila.
Izvajanje in upravljanje ključev – Dolgi in varnejši ključi so lahko problematični pri uporabi v domeni DNS. Te dolge nize podatkov je enostavno napačno uporabiti, tudi pri kopiranju in lepljenju.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – poročanje o avtentikaciji in skladnosti domenskih sporočil
As already mentioned, DMARC enforces the use of the domain set in the from field to preprečevanje . hackers and attackers from using alternate domains to bypass safety checks.
Vključuje tudi mehanizem za poročanje, ki pošiljatelju omogoča, da se odloči, kaj bo storil z rezultati preverjanja pristnosti. Zapis DMARC nadzoruje, kam in kako strežniki prejemniki pošiljajo poročila.
DMARC zapolnjuje vrzeli med SPF in DKIM ter izboljšuje dostavljivost e-pošte. Pošiljatelji neželene pošte ne morejo več zlorabljati teh zaščitenih domen, zato se ugled domene povečuje, kar ves čas izboljšuje stopnjo dostavljivosti.
Izvajanje DMARC
Zapis DMARC določa, kaj storiti z e-poštnimi sporočili, ki se ne avtorizirajo. Politika ima tri rezultate: ne stori ničesar, v karanteni ali zavrne. Poročilo DMARC opozori imetnika domene, od kod so prišla takšna neuspešna sporočila, ter mu zagotovi ključne informacije o kršitvi in o tem, kaj lahko stori za nadaljnje zaščitne ukrepe.
BIMI – Brand Indicators for Message Identification (Indikatorji blagovne znamke za identifikacijo sporočila)
Upamo, da bo vključitev avtentikacije e-pošte BIMI omogočila približno 10% povečanje vključenosti zaradi dostavljivosti – to ni številka, ki bi jo bilo treba jemati zlahka.
Glede na to, da je ta metoda avtentikacije v povojih in jo številni ponudniki e-pošte šele uvajajo, lahko uporabniki sprejmejo več ukrepov, da bodo pripravljeni na veliko uvedbo, ko bo končno prišla na naše strežnike.
Glede na to, da je Google vključil integracijo BIMI v paket G Suite, je samo vprašanje časa, kdaj ga bo dohitel tudi preostali svet.
Kako se pripraviti na BIMI?
Če želite aktivirati preverjanje pristnosti e-pošte BIMI, morate e-pošto najprej preveriti s SPF, DKIM in DMARC ter zagotoviti usklajenost (domena je ves čas enaka). Politika DMARC mora biti uveljavljena v karanteni ali zavrnjena, domena DNS pa mora imeti pravilen zapis BIMI.
Prav tako boste morali gostiti ustrezno datoteko z logotipom kot povezavo, da se bo nastala avtentikacija prikazala v poštnih predalih prejemnikov. Vaš logotip bo moral biti v ustrezni obliki SVG in po možnosti s potrdilom VMC (Verified Mark Certificate) za preverjanje pristnosti datoteke.
Popolna avtentikacija za vaše e-poštne kampanje
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Naročniki and boosts the connectivity and returns on your marketing.
