Автентикација на е-пошта преку SPF и DKIM

Април 13, 2021
|In За веб, Безбедност и приватност, Во преден план
|By Андреас Арно Мајкл Фојгт

Автентикација на е-пошта преку SPF и DKIM

Одиме повторно! Повторно акроними, работи што треба да се знаат повторно, повторно неверни информации! Па не, тие се сериозна работа и правилното доставување на вашите е-пошта зависи од овие акроними. Од лично искуство знаеме дека овие акроними може да звучат непознато, застрашувачки и може да изгледаат сосема неинтересно. Или можеби ви звучат познато, но никогаш не сте се грижеле доволно да проверите какви се тие навистина. Ајде да се обидеме да направиме нешто јасност за не-техничари.

Во секој случај, време е да научите малку за тоа што се SPF и DKIM и како да ги поставите во записите на DNS за вашиот сервер за пошта ако сакате да имате подобра контрола врз испораката на вашите е-пошта. Ќе се обидам сè од себе да го објаснам со едноставни зборови, кои ќе бидат разбрани не само од програмерите.

Што е заштитен фактор? Како функционира заштитен фактор?

Едноставно кажано, Рамката за политики за испраќач (SPF) е безбедносен механизам изграден за да ги спречи лошите момци да испраќаат е-пошта во ваше име. Механизмот вклучува комуникација помеѓу DNS сервери… и тука сето тоа почнува да изгледа страшно! Но, не паничете. Ќе се обидам да биде што е можно поедноставно.

Да речеме дека сте му испратиле е-пошта на Боб. Но, како знае DNS-серверот на Боб дека е-поштата е всушност испратена од вас? Проблемот е што тој всушност не знае. Освен ако немате поставено SPF на вашиот DNS сервер. О, добро, ќе треба да објасниме што е DNS сервер, но ајде да го прескокнеме инаку ме праќате во пеколот!

SPF дефинира кои IP адреси може да се користат за испраќање е-пошта од вашиот домен. Значи, да замислиме два можни „разговори“ помеѓу серверите. За да го олесниме ова, да претпоставиме дека се викаш Пол.

Сценарио 1 – Не сте поставиле SPF.

Серверот на Мајк: Еј, серверот на Боб. Имам нова порака од Мајк.
Сервер на Боб: Здраво сервер на Мајк. Кој е вашиот заштитен фактор?
Серверот на Мајк: Да, за заштитен фактор... на кого навистина му е грижа. Јас немам еден. Верувај ми, тоа е од Мајк.
Сервер на Боб: Ако немате заштитен фактор, не можам да бидам сигурен дека Мајк го испратил. Дај ми ги дозволените IP-адреси на Мајк за да можам да ги споредам со твоите.
Сервер на Мајк: Ја немам белата листа на IP IP на Мајк.
Серверот на Боб: Тогаш не ја сакам твојата порака. Испораката е одбиена. Извини другар…

Сценарио 2 - Поставивте SPF.

Серверот на Мајк: Еј, серверот на Боб. Имам нова порака од Мајк.
Сервер на Боб: Здраво сервер на Мајк. Кој е вашиот заштитен фактор?
Сервер на Мајк: Еве го мојот заштитен фактор. Има цела листа на IP-адреси што самиот Мајк ги прогласи како оние што можат да се користат во негово име.
Серверот на Боб: Добро, дозволете ми да видам... И пораката што ја имате за мене е испратена од IP 64.233.160.19. Добро, на списокот е. Сè изгледа добро. Дај ми ја пораката, ќе му ја покажам на Боб. Ви благодарам!

Се извинувам на сите читатели на sys за ова преголемо поедноставување, знам дека се тресете, но ве молам простете ми и имајте на ум дека ви завидуваме на вашето техничко знаење, но морам да зборувам со не-техничка публика и морам да поедноставам.

Како и да е, моралот на овие два кратки дијалози е: поставете го вашиот SPF. Ако не го направите тоа, можеби изгледате како лошо момче и нема да ви бидат испорачани сите ваши пораки.

Кои апликации треба да ги вклучите во вашиот заштитен фактор?

Општата идеја е да бидете сигурни дека сите апликации што испраќаат е-пошта во ваше име (и кои го користат нивниот SMTP, а не ваш) се вклучени во вашиот SPF. На пример, ако користите Google Apps за испраќање е-пошта од вашиот домен, треба да го ставите Google во вашиот SPF. Еве ги упатствата на Google како да го направите тоа.

Но, важно е да бидете сигурни дека Google не е единствената апликација што има дозволи во вашиот SPF. На пример, ако користиме HelpScout за управување со нашите е-пошта за поддршка и MailChimp за испраќање на нашите билтени, тогаш ги вклучуваме и двете во нашиот SPF.

Дали треба да го вклучам и клукајдрвецот во мојот заштитен фактор?

Не. Како што реков, треба да запомните да ставите апликации што испраќаат е-пошта во ваше име, но користат сопствен SMTP, во вашата запис со SPF. Woodpecker користи ваш сопствен SMTP за испраќање на вашите е-пошта, па затоа е повеќе онлајн клиент за е-пошта отколку апликација за масовно испраќање е-пошта.

Тоа, рече, испораката на е-пошта испратени од Woodpecker зависи од репутацијата на вашиот домен. Поставувањето SPF и DKIM ќе ви помогне да ја заштитите добрата репутација на вашиот домен, а со тоа и да ја подобрите испораката на вашите е-пошта.

Како да поставите рекорд со SPF на вашиот сервер чекор по чекор?

Првиот чекор е да проверите кој е вашиот моментален запис со заштитен фактор. Можете да го направите ова користејќи алатки како што се:

Кога ќе напишете во вашиот домен (на пример, јас би напишал woodpecker.co), алатките ќе извршат неколку тестови и ќе ви го покажат вашиот моментален SPF или известување дека сè уште не е поставен.

Кои се следните чекори?

Во зависност од домаќинот на вашиот домен, чекорите ќе бидат различни. Во основа, се работи за залепување на правилно структурирана линија на текст на вистинското место во конзолата. На пример, ако користите Google Apps за испраќање на сите е-пошта од вашиот домен, линијата треба да изгледа вака:

„v=spf1 вклучуваат:_spf.google.com ~сите“

Делот „v=spf1“ од записот се нарекува верзија, а оние што доаѓаат после тоа се нарекуваат механизми.

Сега да видиме што точно значи секој дел.

  • v=spf1 овој елемент го идентификува записот како SPF
  • вклучува:_spf.google.com овој механизам вклучува сервери за пошта кои се овластени сервери
  • ~v=spf1 овој елемент означува дека ако е примена е-пошта од неовластен сервер (не е наведен во механизмот „вклучи:“), таа е означена како soft fail, што значи дека може да се пропушти, но може да биде означена како спам или сомнителна.

Но, ако користите повеќе апликации од оваа (на пример, нешто за испраќање билтен, нешто за испраќање пораки за поддршка итн.), линијата ќе биде малку подолга, бидејќи ќе треба да ги вклучите сите други апликации во тоа. Или ако не користите Google Apps туку сервер од друг домаќин, на пример GoDaddy, линијата ќе биде различна.

Еве како да поставите SPF за најчестите домаќини на домени:

Што е DKIM?

Стандардот DomainKeys Identified Mail (DKIM) е создаден од истата причина како SPF: за да се спречи лошите момци да ве имитираат како испраќач на е-пошта. Тоа е начин понатаму да ги потпишувате вашите е-пошта на начин што ќе му овозможи на серверот на примачот да провери дали испраќачот сте вие ​​или не.

Со поставување на DKIM на вашиот DNS сервер, додавате уште еден метод за да им кажете на вашите приматели „да, ова навистина ја испраќам оваа порака“.

Како да поставите dkim и spf

Целата идеја се заснова на шифрирање и дешифрирање на дополнителниот потпис поставен во заглавието на вашата порака. За да го направите ова можно, треба да имате два клуча:

  • приватниот клуч (кој е единствен за вашиот домен и достапен само за вас. Ви овозможува да го шифрирате вашиот потпис во заглавието на вашите пораки).
  • јавниот клуч (кој го додавате во вашите записи DNS користејќи го стандардот DKIM, за да му дозволите на серверот на примачот да го врати и да го дешифрира вашиот потпис скриен во заглавието на вашата порака).

Земете го Game of Thrones за големата слика на DKIM. Нед Старк испраќа врана со порака до кралот Роберт. Секој можеше да земе парче хартија, да напише порака и да го потпише Нед Старк. Но, постои начин да се потврди автентичноста на пораката - печатот. Сега, сите знаат дека сигилот на Нед е а диволк (ова е јавниот клуч). Но, само Нед го има оригиналниот печат и може да го стави на своите пораки (ова е приватниот клуч). Поставувањето на DKIM е само ставање на информациите од јавниот клуч во записите на вашиот сервер. Тоа е едноставно txt запис што треба да се стави на вистинското место.

Откако ќе го поставите ова, секогаш кога некој ќе добие е-пошта од вас, серверот на примачот ќе се обиде да го дешифрира вашиот скриен потпис користејќи го јавниот клуч. Доколку е успешна, ова дополнително ќе ја потврди автентичноста на вашата порака и последователно ќе го зголеми авторитетот на сите ваши е-пошта.

Како да поставите DKIM запис на вашиот сервер чекор по чекор?

Прво, треба да го генерирате јавниот клуч. За да го направите ова, треба да се најавите на административната конзола на давателот на е-пошта. Следните чекори може да бидат различни во зависност од вашиот давател на е-пошта.

Ако користите Google Apps за испраќање е-пошта, еве ги упатства чекор по чекор. За корисниците на Google Apps, треба да знаете дека потписите на DKIM се стандардно исклучени, па мора да ги вклучите рачно во вашата административна конзола на Google.

Кога го имате јавниот клуч, земете го генерираниот запис txt и залепете го на вистинското место во вашите записи DNS.

Конечно, треба да овозможите потпишување е-пошта за да започнете да испраќате е-пошта со вашиот потпис шифриран со вашиот приватен клуч. Еве како, ако користите Google Apps за испраќање е-пошта.

Поставете SPF и DKIM и подобрете ја вашата испорачливост

Ако испраќате многу е-пошта, било за маркетинг или за влезна или излезна продажба, репутацијата на вашиот домен е клучна и треба да се грижите за тоа. Не сакате вашиот домен да биде на црната листа и вашите е-пошта да одат во спам. Правилното поставување на записите SPF и DKIM на вашиот DNS сервер е неопходен чекор за безбедноста на вашиот домен и високата доставливост на вашите пораки.

Нивното поставување може да изгледа комплицирано, но несомнено вреди. Да сум на твое место, би отишол на мојата сметка и би проверувал дали мојот SPF и DKIM се правилно поставени во моментов или би ги замолил моите ИТ-момци да го направат тоа. И ако се покаже дека одговорот е „не“, би ги замолил да ми помогнат.