Powstanie nowoczesnej poczty elektronicznej było zarówno ekscytujące jak i problematyczne. Nie musimy chyba mówić, jak pozytywny wpływ miała poczta elektroniczna na społeczeństwo, ale wiązała się ona również z wieloma zagrożeniami bezpieczeństwa.
Email we wczesnych czasach miał ograniczone mechanizmy wspierające bezpieczeństwo i weryfikację nadawcy. Praktycznie wszystkie wirusy, spam i oszustwa, które rozprzestrzeniały się za pośrednictwem poczty elektronicznej, robiły to po prostu poprzez fałszowanie informacji o nadawcy. Był to poważny problem – taki, z którym z czasem było coraz lepiej, ale który do dziś jest przedmiotem nieustannej walki.
Na szczęście mamy teraz DKIM i SPF, które chronią nas przed hakerami, oszustami i kanciarzami trollującymi sieć w poszukiwaniu słabych standardów bezpieczeństwa. W swojej istocie, DKIM i SPF są po prostu standardami uwierzytelniania. Standardy, które, gdy są prawidłowo skonfigurowane, dają Ci pewność, że jesteś zabezpieczony przed włamaniami do domen i oszustwami, a także, co równie ważne, zapewniają dostarczenie wiadomości do skrzynki odbiorczej.
Teraz, gdy już wiesz, dlaczego mają one znaczenie, zanurzmy się nieco głębiej, aby wyjaśnić niuanse SPF i DKIM, jak również to, czym się różnią.
Co to jest DKIM?
DKIM to skrót od DomainKeys Identified Mail, który, jak wspomniano powyżej, jest po prostu metodą uwierzytelniania wyraźnie zaprojektowaną do wykrywania, kiedy adres email nadawcy został sfałszowany. Fałszowanie adresów e-mail nadawcy to proces znany jako spoofing poczty elektronicznej, który jest często wykorzystywany w spamie pocztowym i oszustwach typu phishing. DKIM działa jak strażnik potwierdzający autentyczność wiadomości e-mail.
Każda wysyłana wiadomość e-mail jest podpisywana kluczem prywatnym, który jest weryfikowany przez odbierający ją serwer poczty e-mail lub dostawcę usług internetowych (ISP) za pomocą klucza publicznego zwanego systemem nazw domen (DNS). DNS tłumaczy nazwy domen na adresy IP, co jest wymyślnym sposobem mówienia, że umożliwia korzystanie z przeglądarki internetowej w celu lokalizowania stron internetowych i odbierania wiadomości e-mail. Jego głównym zadaniem jest zapewnienie, że wiadomość e-mail nie została zmieniona w trakcie przesyłania. Zmiana wiadomości e-mail w trakcie tranzytu jest prawdziwym problemem, który występuje częściej niż mogłoby się wydawać.
Na przykład, jeśli wysyłałeś załącznik ze swoim kontem bankowym i numerem routingu i nie używałeś właściwych protokołów bezpieczeństwa, mógł on zostać przechwycony przez oszusta. Po przechwyceniu haker mógłby wstawić swój własny numer konta i routingu i odesłać go z powrotem do adresata. Odbiorca nadal będzie myślał, że wiadomość pochodzi od Ciebie i zamiast tego zapłaci na nieprawidłowe konto bankowe.
W przypadku DKIM, unikalny klucz prywatny używany do podpisywania wiadomości e-mail jest przechowywany wyłącznie na Twoim serwerze pocztowym i musi być utrzymywany w tajemnicy i bezpieczny. Jeśli niepowołane osoby dostaną w swoje ręce twój tajny klucz, nie będą miały problemu z podrobieniem podpisów DKIM i użyciem ich do oszukańczej działalności.
Później w procesie wysyłania i odbierania, dostawcy usług internetowych weryfikują integralność wiadomości poprzez pobranie odpowiedniego klucza publicznego z określonego rekordu DKIM przechowywanego w twoim DNS. Kryptografia za kulisami jest tu taka sama jak w SSL, co gwarantuje, że tylko wiadomości podpisane Twoim specjalnym kluczem prywatnym przejdą kontrolę klucza publicznego.
Inną mniej znaną korzyścią, jaką oferuje DKIM, jest to, że dostawcy usług internetowych, tacy jak Gmail, mogą użyć tej informacji do zbudowania wyniku reputacji dla Twojej domeny. Jeśli masz najlepsze praktyki wysyłania, takie jak wysokie zaangażowanie, niski poziom spamu i minimalna liczba odrzuceń, otrzymasz wyższy wynik, który poprawi Twoje zaufanie i reputację u dostawców usług internetowych. Jeśli uzyskałeś niski wynik dzięki złym praktykom, jest mniej prawdopodobne, że Twoje e-maile zostaną dostarczone poprawnie, prawie gwarantując, że wylądują w niskim folderze spamu, którego nikt nie sprawdza.
Co to jest SPF?
Sender Policy Framework, lub SPF, to sposób, w jaki dostawcy usług internetowych, tacy jak Gmail i Yahoo, mogą sprawdzić, czy dany serwer pocztowy jest upoważniony do wysyłania e-maili dla domeny. Jest to biała lista: lista rzeczy uznawanych za godne zaufania lub akceptowalne dla usług, które mogą wysyłać e-maile w Twoim imieniu. Podobnie jak DKIM, SPF działa poprzez DNS.
Na przykład, powiedzmy, że używasz usługi takiej jak Mailshake do wysyłania emaili marketingowych. Wstawiłbyś wtedy rekord DNS, który zawiera serwery pocztowe Mailshake jako zaufane źródło do wysyłania emaili w imieniu Twojej domeny.
SPF jest krytyczny do weryfikacji, kto jest upoważniony do wysyłania emaili w imieniu Twojej domeny i bezpośrednio wpływa na dostarczanie emaili. Nie tylko potrzebujesz go do email marketingu i firmowych kont email, ale jest on również niezbędny dla usług wsparcia, takich jak Helpscout, Zendesk, lub kogokolwiek innego wysyłającego emaile w Twoim imieniu.
Czym różni się SPF od DKIM?
Dla hakera nie jest trudno dowiedzieć się, jak wysłać email z Twojej domeny. Aby zabezpieczyć się przed taką złośliwą działalnością, należy skonfigurować zarówno SPF jak i DKIM.
DKIM jest zestawem kluczy, które mówią IP, że jesteś oryginalnym nadawcą i nikt oszukańczo nie przechwycił Twojego emaila. SPF jest specjalną listą, białą listą, która zawiera wszystkich, którzy są upoważnieni do wysyłania wiadomości w Twoim imieniu. Jeśli jesteś ciekaw, jak to wszystko działa, możesz sprawdzić, czy wiadomość e-mail jest prawidłowo podpisana za pomocą DKIM lub SPF, sprawdzając jej nagłówki. W Gmailu możesz to sprawdzić za pomocą opcji „Pokaż oryginał” w ustawieniach, a na górze powinieneś (miejmy nadzieję) zobaczyć PASS obok SPF i DKIM.
Podsumowując, brak ustawień SPF i DKIM będzie tylko stratą czasu, pieniędzy i zasobów Twojej firmy, ponieważ zwiększasz szansę, że Twoje e-maile zostaną niedostarczone. Nie wspominając o tym, że narażasz się na wszelkiego rodzaju oszustwa.
Na pewno, zawsze możesz wysyłać e-maile z prośbą o wpisanie Cię na białą listę. Jednak oczekiwanie od firm, że „naprawią to po swojej stronie” i wpiszą Cię na białą listę doprowadzi tylko do bólu serca, ponieważ większość renomowanych firm zablokuje każdą wiadomość wysłaną bez dodatkowego zabezpieczenia i weryfikacji, które zapewniają DKIM i SPF.
Jeśli to wszystko jest trochę ponad Twoje siły, nie martw się. Teraz ważne jest, abyś zrozumiał, dlaczego DKIM i SPF mają znaczenie i jak poświęcenie 5 minut na ich prawidłowe wdrożenie może Cię ochronić, poprawić Twoją reputację u dostawców usług internetowych i zapewnić lepszą dostarczalność wiadomości e-mail.
.