E-pasta autentifikācija, izmantojot SPF un DKIM

13. gada 2021. aprīlis
|In Tīmeklim, Drošība un privātums, Priekšplānā
|By Andreass Arno Maikls Voigts

E-pasta autentifikācija, izmantojot SPF un DKIM

Te nu mēs atkal esam! Atkal akronīmi, atkal lietas, kas jāzina, atkal nerd informācija! Nē, tās ir nopietnas lietas, un pareiza jūsu e-pasta piegāde ir atkarīga no šiem akronīmiem. No personīgās pieredzes mēs zinām, ka šie akronīmi var izklausīties nepazīstami, biedējoši un var šķist pilnīgi neinteresanti. Vai varbūt tie jums izklausās pazīstami, bet jūs nekad neesat pietiekami rūpējies, lai pārbaudītu, kas tie patiesībā ir. Mēģināsim kaut ko izdarīt skaidrība netehniķiem.

Jebkurā gadījumā ir pienācis laiks nedaudz uzzināt, kas ir SPF un DKIM un kā tos iestatīt sava pasta servera DNS ierakstos, ja vēlaties labāk kontrolēt savu e-pasta ziņojumu piegādi. Es centīšos to izskaidrot ar vienkāršiem vārdiem, kurus sapratīs ne tikai programmētāji.

Kas ir SPF? Kā darbojas SPF?

Vienkārši sakot, Sender Policy Framework (SPF) ir drošības mehānisms, kas izveidots, lai neļautu ļaundariem sūtīt e-pastus jūsu vārdā. Mehānisms ietver saziņu starp DNS serveriem… un šeit tas viss sāk izskatīties biedējoši! Bet nekrīti panikā. Es centīšos to padarīt pēc iespējas vienkāršāku.

Pieņemsim, ka nosūtījāt Bobam e-pasta ziņojumu. Bet kā Boba DNS serveris zina, ka e-pastu tiešām nosūtījāt jūs? Problēma ir tāda, ka viņš patiesībā nezina. Ja vien jūsu DNS serverī nav iestatīts SPF. Labi, mums būtu jāpaskaidro, kas ir DNS serveris, bet izlaidīsim to, pretējā gadījumā jūs mani nosūtīsit ellē!

SPF nosaka, kuras IP adreses var izmantot, lai nosūtītu e-pastu no jūsu domēna. Tāpēc iedomāsimies divas iespējamas "sarunas" starp serveriem. Lai to atvieglotu, pieņemsim, ka jūsu vārds ir Pāvils.

1. scenārijs — jūs neesat iestatījis SPF.

Maika serveris: Sveiki, Boba serveris. Man ir jauna ziņa no Maika.
Boba serveris: Sveiki, Maika serveris. Kāds ir tavs SPF?
Maika serveris: Jā, par SPF... kuru tas tiešām interesē. Man tāda nav. Tici man, tas ir no Maika.
Boba serveris: Ja jums nav SPF, es nevaru būt pārliecināts, ka Maiks to nosūtīja. Iedodiet man Maika atļautos IP, lai es varētu tos salīdzināt ar jūsu.
Maika serveris: man nav Maika IP baltā saraksta.
Boba serveris: Tad es nevēlos jūsu ziņojumu. Piegāde liegta. Piedod, draugs…

2. scenārijs — esat iestatījis SPF.

Maika serveris: Sveiki, Boba serveris. Man ir jauna ziņa no Maika.
Boba serveris: Sveiki, Maika serveris. Kāds ir tavs SPF?
Maika serveris: šeit ir mans SPF. Ir vesels saraksts ar IP, ko Maiks pats ir deklarējis kā tādas, kuras var izmantot viņa vārdā.
Boba serveris: Labi, ļaujiet man redzēt... Un ziņojums, ko esat man norādījis, ir nosūtīts no IP 64.233.160.19. Labi, tas ir sarakstā. Viss izskatās labi. Dodiet man ziņu, es to parādīšu Bobam. Paldies!

Es atvainojos visiem sistēmas lasītājiem par šo pārmērīgo vienkāršošanu, es zinu, ka jūs drebējat, bet, lūdzu, piedodiet man un paturiet prātā, ka mēs apskaužam jūsu tehniskās zināšanas, taču man ir jārunā ar netehnisku auditoriju, un man ir jāvienkāršo.

Jebkurā gadījumā šo divu īso dialogu morāle ir šāda: iestatiet savu SPF. Ja to nedarīsit, jūs varētu izskatīties kā slikts zēns, un ne visi jūsu e-pasta ziņojumi tiks piegādāti.

Kādas lietojumprogrammas jāiekļauj savā SPF?

Vispārējā ideja ir nodrošināt, lai visas lietojumprogrammas, kas sūta e-pasta ziņojumus jūsu vārdā (un kuras izmanto to SMTP, nevis jūsu), ir iekļautas jūsu SPF. Piemēram, ja izmantojat Google Apps e-pasta sūtīšanai no sava domēna, savā SPF ir jāiekļauj Google. Šeit ir Google norādījumi, kā to izdarīt.

Taču ir svarīgi pārliecināties, ka Google nav vienīgā lietojumprogramma, kurai ir atļaujas jūsu SPF. Piemēram, ja mēs izmantojam HelpScout, lai pārvaldītu mūsu atbalsta e-pastus, un MailChimp, lai nosūtītu mūsu informatīvos izdevumus, mēs iekļaujam abus mūsu SPF.

Vai manā SPF ir jāiekļauj arī Woodpecker?

Nē. Kā jau teicu, neaizmirstiet savā SPF ierakstā iekļaut programmas, kas sūta e-pasta ziņojumus jūsu vārdā, bet izmanto savu SMTP. Woodpecker izmanto jūsu SMTP, lai nosūtītu jūsu e-pastus, tāpēc tas ir vairāk tiešsaistes e-pasta klients, nevis masveida e-pasta sūtīšanas lietotne.

Tomēr no Woodpecker nosūtīto e-pasta ziņojumu piegādes iespējas ir atkarīgas no jūsu domēna reputācijas. SPF un DKIM iestatīšana palīdzēs aizsargāt jūsu domēna labo reputāciju un tādējādi uzlabos jūsu e-pasta ziņojumu piegādi.

Kā soli pa solim iestatīt SPF ierakstu savā serverī?

Pirmais solis ir pārbaudīt, kāds ir jūsu pašreizējais SPF ieraksts. To var izdarīt, izmantojot tādus rīkus kā:

Kad ierakstāt savu domēnu (piemēram, es ievadītu woodpecker.co), rīki veiks dažus testus un parādīs jūsu pašreizējo SPF vai paziņojumu, ka tas vēl nav iestatīts.

Kādi ir nākamie soļi?

Atkarībā no jūsu domēna saimniekdatora darbības būs atšķirīgas. Būtībā runa ir par pareizi strukturētas teksta rindiņas ielīmēšanu pareizajā vietā konsolē. Piemēram, ja izmantojat Google Apps, lai nosūtītu visus e-pasta ziņojumus no sava domēna, rindai vajadzētu izskatīties šādi:

“v=spf1 include:_spf.google.com ~all”

Ieraksta daļu “v=spf1” sauc par versiju, bet tās, kas nāk pēc tam, sauc par mehānismiem.

Tagad redzēsim, ko tieši nozīmē katra daļa.

  • v=spf1 šis elements identificē ierakstu kā SPF
  • ietver:_spf.google.com šis mehānisms ietver pasta serverus, kas ir autorizēti serveri
  • ~v=spf1 šis elements norāda, ka, ja e-pasts tiek saņemts no nesankcionēta servera (nav norādīts mehānismā "iekļaut:"), tas tiek atzīmēts kā mīksts fails, kas nozīmē, ka to var izlaist, taču tas var tikt atzīmēts kā mēstule vai aizdomīgs.

Bet, ja izmantojat vairāk lietotņu nekā šis (piemēram, kaut ko, lai nosūtītu biļetenu, kaut ko atbalsta ziņojumu sūtīšanai utt.), rinda būs nedaudz garāka, jo jums būs jāiekļauj visas pārējās lietotnes. to. Vai arī, ja neizmantojat Google Apps, bet gan serveri no cita resursdatora, piemēram, GoDaddy, līnija būs atšķirīga.

Lūk, kā iestatīt SPF visizplatītākajiem domēna saimniekiem:

Kas ir DKIM?

Standarts DomainKeys Identified Mail (DKIM) tika izveidots tā paša iemesla dēļ kā SPF: lai novērstu to, ka ļaundari uzdodas par jums kā e-pasta sūtītāju. Tas ir veids, kā turpmāk parakstīt savus e-pasta ziņojumus tādā veidā, kas ļauj adresāta serverim pārbaudīt, vai sūtītājs esat jūs vai nē.

Iestatot DKIM savā DNS serverī, jūs pievienojat vēl vienu metodi, lai paziņotu adresātiem: “Jā, es tiešām sūtu šo ziņojumu”.

Kā iestatīt dkim un spf

Visa ideja ir balstīta uz jūsu ziņojuma galvenē ievietotā papildu paraksta šifrēšanu un atšifrēšanu. Lai tas būtu iespējams, jums ir jābūt divām atslēgām:

  • privātā atslēga (kas ir unikāla jūsu domēnam un pieejama tikai jums. Tā ļauj šifrēt parakstu ziņojumu galvenē).
  • publisko atslēgu (kuru pievienojat saviem DNS ierakstiem, izmantojot DKIM standartu, lai adresāta serveris varētu to izgūt un atšifrēt jūsu parakstu, kas paslēpts jūsu ziņojuma galvenē).

Izmantojiet Game of Thrones, lai iegūtu DKIM koptēlu. Neds Stārks sūta vārnu ar ziņu karalim Robertam. Katrs varēja paņemt papīra lapu, uzrakstīt ziņu un parakstīt to Neds Stārks. Bet ir veids, kā autentificēt ziņojumu – zīmogs. Tagad visi zina, ka Neda zīme ir a vilkacis (šī ir publiskā atslēga). Bet tikai Nedam ir oriģinālais zīmogs un viņš var to ievietot saviem ziņojumiem (šī ir privātā atslēga). DKIM iestatīšana nozīmē tikai publiskās atslēgas informācijas ievietošanu jūsu servera ierakstos. Tas ir vienkārši txt ieraksts, kas jāievieto pareizajā vietā.

Kad esat to iestatījis, katru reizi, kad kāds saņems no jums e-pasta ziņojumu, adresāta serveris mēģinās atšifrēt jūsu slēpto parakstu, izmantojot publisko atslēgu. Ja tas būs veiksmīgs, tas vēl vairāk autentificēs jūsu ziņojumu un tādējādi palielinās visu jūsu e-pasta ziņojumu autoritāti.

Kā soli pa solim iestatīt DKIM ierakstu savā serverī?

Pirmkārt, jums ir jāģenerē publiskā atslēga. Lai to izdarītu, jums jāpiesakās sava e-pasta pakalpojumu sniedzēja administrācijas konsolē. Nākamās darbības var atšķirties atkarībā no jūsu e-pasta pakalpojumu sniedzēja.

Ja e-pasta ziņojumu sūtīšanai izmantojat pakalpojumu Google Apps, šeit ir norādīts instrukcijas soli pa solim. Google Apps lietotājiem jāzina, ka DKIM paraksti pēc noklusējuma ir izslēgti, tāpēc tie ir jāieslēdz manuāli Google administratora konsolē.

Kad jums ir publiskā atslēga, paņemiet ģenerēto txt ierakstu un ielīmējiet to pareizajā DNS ierakstu vietā.

Visbeidzot, jums ir jāiespējo e-pasta parakstīšana, lai sāktu sūtīt e-pasta ziņojumus, kuru paraksts ir šifrēts ar jūsu privāto atslēgu. Lūk, kā to izdarīt, ja e-pasta ziņojumu sūtīšanai izmantojat pakalpojumu Google Apps.

Iestatiet SPF un DKIM un uzlabojiet piegādes iespējas

Ja sūtāt daudz e-pasta ziņojumu gan mārketinga, gan ienākošās vai izejošās pārdošanas nolūkā, jūsu domēna reputācijai ir izšķiroša nozīme, un jums par to ir jārūpējas. Jūs nevēlaties, lai jūsu domēns tiktu iekļauts melnajā sarakstā un jūsu e-pasta ziņojumi nonāk surogātpasta sarakstā. Pareiza SPF un DKIM ierakstu iestatīšana DNS serverī ir nepieciešams solis jūsu domēna drošībai un ziņojumu augstai piegādei.

To iestatīšana var šķist sarežģīta, taču tas neapšaubāmi ir tā vērts. Ja es būtu jūs, es dotos uz savu kontu un pārbaudītu, vai mans SPF un DKIM šobrīd ir iestatīti pareizi, vai lūgtu to izdarīt saviem IT darbiniekiem. Un, ja izrādītos, ka atbilde ir "nē", es lūgtu viņiem palīdzēt.