電子郵件的安全問題比表面上看起來要多得多。我们都很清楚,电子邮件是个人数据和敏感信息的网络钓鱼的重灾区之一。
黑客们越来越擅长制造看似真实的信息,骗取许多人点击行动呼吁,并向恶作剧者提供他们正在寻找的信息–通常是登录信息和财务权限。
电子邮件认证 – 是什么?
电子邮件认证 is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
有哪些可能的方法?
目前典型的四种电子邮件认证方式如下。
- SPF – 发件人政策框架
该标准执行原始检查,以确保每封邮件都来自一个可信的IP地址。 - DKIM – DomainKeys Identified Mail(域名密钥识别邮件)
另一个身份检查,但这次使用加密密钥作为数字签名。 - DMARC – 域消息认证报告和一致性
DMARC可以确保邮件在投递前同时满足SPF和DKIM的要求。 - BIMI – 信息识别的品牌指标
BIMI提供最后一次检查,重点检查发件人的可信度,并在收件人收件箱中显示发件人的品牌形象(如果目前支持)。
我们将进一步深入研究每一个,但首先,我们将解释为什么它们如此重要,并解释一下它们是如何工作的。
电子邮件认证是如何进行的?
每一种认证方法(SPF DKIM DMARC BIMI)都会对你的电子邮件应用一层安全保护,使用你的电子邮件域名来验证你是谁。
- 发送者定义了他们的域如何认证的策略/规则。
- 然后,他们配置域名DNS和电子邮件服务器来实现这些规则。
- 收件人服务器通过对照固定在域名DNS上的规则来验证收到的电子邮件。
- 当认证时,收件人服务器会安全地处理邮件;当认证失败时,邮件会被屏蔽或隔离,或按照认证规则进行管理。
有什么好处?
正如你所看到的,如果你不设置你的电子邮件认证,你将面临着拒绝电子邮件的风险,更高的垃圾邮件率和更低的交付率。
您精心考虑、精美设计和创建的信息,落入收件箱的几率会大大降低。
更糟糕的是,如果您的电子邮件认证方法不到位,您的品牌就更容易被欺骗,使您和您的客户在电子邮件攻击、黑客和网络钓鱼中大开杀戒。
设置电子邮件认证
要设置你的域名来管理每种认证方法,你需要访问DNS设置( 域名 系统)通过你的域名注册服务。
进入DNS设置后,你就会给你的域名添加各种TXT和CNAME记录。
要了解你的域名设置值,你需要向你的电子邮件主机检查。他们会为你提供SPF记录的设置,在他们的主机区域内生成你的DKIM选择器,并告诉你如何实现你的DMARC策略,因为主机的配置方式往往不同。
你将添加另一个TXT记录,包括BIMI记录,包括你的品牌的路径 图像文件 .
SPF – 发件人政策框架
SPF是电子邮件发展初期创建的标准认证。它曾经适用于早期的电子邮件系统,但对于现代的邮件方法来说,它却存在着一些问题。这就是为什么要利用这四种方法来传递一种完整的掩护形式的原因。
SPF记录以纯文本形式存储在域名DNS中,并规定了 有权限从该域发送的IP地址 .
当收件人的电子邮件服务器执行DNS查询以检索SPF记录时,它会使用邮件返回路径中的值。
SPF认证的问题
语法 – 尽管是文本记录,但 在输入DNS记录时,语法可能变得很棘手 .如果它们不精确,那么认证就会失败,即使信息和发件人是真实的。
确定经批准的 IP 地址 – 共享系统(如云平台)可以托管多个具有动态分配 IP 地址的服务。虽然可以确定并授权IP,但也可以允许其他任何人通过使用你的SPF记录来使用同一个共享IP。
SPF可以被欺骗–SPF使用隐藏的返回路径字段进行认证,而不是收件人可以清楚看到的 “发件人 “字段。一个黑客,为了获取信息,可以在 “来自 “字段中展示一个有效的域名和电子邮件地址,但用他们自己的电子邮件作为返回路径,用他们自己的认证系统来通过服务器检查。
SPF 不支持电子邮件转发 – 收件人服务器将无法验证转发的邮件,因为识别域似乎是转发服务器的域,而不是原始域。
正如你所看到的,曾经是一个可接受的方法,现在却有很大的缺陷。它提供了基础知识,以便在此基础上实现更大的全面安全。然而,作为一种独立的方法,它在今天的技术中并不适用。
DKIM – DomainKeys Identified Mail(域名密钥识别邮件)
DKIM使用公钥/私钥加密来签署电子邮件信息。它可以验证邮件是由域发送的,并且邮件在传输过程中没有被修改。
这是一种更安全的认证方法,因为它保证了邮件在发送过程中没有被更改。另一个好处是,DKIM认证可以在电子邮件转发后继续使用。
域名所有者创建成对的加密密钥:公钥和私钥。公钥被作为TXT记录放在域名的DNS上。当一封电子邮件被发送时,一个 “哈希 “就会根据公钥生成。 信息的内容 .这个哈希值用域名的私钥进行加密,并附在电子邮件的标题上。
收件人的邮件服务器使用托管在DNS中的公钥读取加密信息,如果一切吻合,则给予认证。
DKIM选择器
每个域都可以利用几个选择器。这些值用于识别独特的属性,例如,子域、用户、位置和服务。每一个选择器都使用自己的公钥,为所有可能的情况放弃一个单一的共享密钥。
DKIM认证的问题
不匹配的签名 – 一个有效的DKIM签名可能使用一个与 “来自 “字段中显示的完全不同的域。这使得从另一个电子邮件域进行网络钓鱼成为一个简单的 处理 .
密钥安全–黑客使用另一个用户的域名签署邮件,可以使用该域名的私钥完美验证其邮件。
实施和管理密钥 – 冗长的、更安全的密钥在应用于域名DNS时可能会出现问题。这些长长的数据串很容易被误用,即使在复制和粘贴时也是如此。
为了从DKIM中获得最佳效果,它需要与DMARC合作,使 “来自 “字段中使用的域名发挥作用。现在你可以看到每个系统是如何依赖其先前的方法来创建一个完整和有效的认证系统。
DMARC – 域消息认证报告和一致性
正如已经提到的,DMARC强制使用在from字段中设置的域,以 防止 黑客和攻击者使用备用域来绕过安全检查。
它还包括一个报告机制,允许发送者决定如何处理认证结果。DMARC记录控制收件人服务器向何处和如何发送报告。
实际上,DMARC填补了SPF和DKIM之间的空白,提高了电子邮件的送达率。垃圾邮件发送者不能再滥用这些受保护的域名;因此,域名声誉的建立,一直在提高交付率。
DMARC执行
DMARC记录规定了如何处理未能授权的电子邮件。该策略有三种结果:什么都不做、隔离或拒绝。DMARC报告提醒域名持有者这种失败邮件的来源,提供关于违规行为的关键信息,以及他们可以采取进一步的保护措施。
BIMI – 信息识别的品牌指标
希望包括BIMI电子邮件认证将通过交付能力提供约10%的参与度提升–这不是一个可以轻视的数字。
鉴于这种认证方法还处于起步阶段,仍在等待许多电子邮件提供商的引入,用户可以采取几个步骤,以确保当它最终登陆我们的服务器时,他们已经做好了隆重推出的准备。
有一点可以肯定的是,鉴于谷歌将BIMI集成到G Suite中,世界上其他国家追赶上来应该只是时间问题。
如何为BIMI做好准备?
要激活BIMI电子邮件认证,你必须先用SPF、DKIM和DMARC认证你的电子邮件,确保对齐(整个域名是相同的)。DMARC策略必须在隔离或拒绝时执行,并且域名DNS必须有正确的BIMI记录。
您还需要托管一个适当的标志文件作为链接,以便在收件人的收件箱中显示认证结果。您的徽标需要以正确的SVG格式和可能的VMC(验证标记证书)来验证文件。
对您的电子邮件活动进行全面认证
我们已经了解到,这些方法中的每一个本身都不会提供任何类型的一站式解决方案,使生活变得简单。然而,只要稍加努力,将每个系统合二为一,你就会在交付你的产品时更加安全。 尽可能多的电子邮件活动和信息,比你能 没有他们就没有今天。
如果能确保保护你的服务、你的 订阅者 并促进你的营销的连接性和回报。
