SPF, DKIM i DMARC: kluczowe protokoły uwierzytelniania poczty elektronicznej dla bezpiecznej komunikacji

Jeśli chodzi o uwierzytelnianie i bezpieczeństwo poczty elektronicznej, SPF, DKIM i DMARC stanowią trzy kluczowe środki ochrony przed spamem, phishingiem i innymi zagrożeniami bezpieczeństwa. Krótko mówiąc, każdy z tych protokołów przyczynia się w swój własny, unikalny sposób do procesu weryfikacji autentyczności nadawców wiadomości e-mail, upewniając się, że przychodząca wiadomość rzeczywiście pochodzi z deklarowanej domeny. Za każdym razem, gdy nielegalni aktorzy próbują wkraść się do Twojej cyfrowej komunikacji, zadaniem SPF, DKIM i DMARC jest temu zapobiec. Rozpakujmy ich wewnętrzne działanie bardziej szczegółowo, dobrze?

Z punktu widzenia właściciela firmy lub innej osoby odpowiedzialnej za prowadzenie zewnętrznej komunikacji e-mail, brak prawidłowego wdrożenia tych protokołów może doprowadzić domeny nadawców na niebezpieczną ścieżkę. Dostarczalność wiadomości e-mail może ucierpieć, a wiadomości będą kierowane bezpośrednio do spamu lub, co gorsza, padną ofiarą podszywania się przez sprytnych spamerów.

Elementarz bezpieczeństwa poczty e-mail

Poczta e-mail, niezbędny kanał komunikacji i narzędzie używane w różnych kontekstach, od samego początku miała swoje wyzwania związane z bezpieczeństwem. Szyfrowanie, główny środek bezpieczeństwa stosowany podczas transferów między serwerami, może okazać się niewystarczające w walce z wszelkiego rodzaju spamerami i niepożądanymi nadawcami, jeśli tylko na nim polegasz. Nie eliminuje to zagrożeń związanych z oszustwami phishingowymi i spoofingiem poczty e-mail, napędzanymi przez podstępne techniki mające na celu naśladowanie legalnych organizacji. Dlatego też konieczne stało się zastosowanie zaawansowanych metod walidacji.

Oryginalny protokół SMTP (Simple Mail Transfer Protocol) z 1982 r. nie przewidywał zbyt wielu zabezpieczeń poczty e-mail. Od tego czasu cyfrowa poczta przesyłana między serwerami ewoluowała, obejmując szyfrowanie i uwierzytelnianie za pomocą protokołu Transport Layer Security (TLS). Co jednak ważne, brakowało jakichkolwiek przepisów dotyczących uwierzytelniania wiadomości, pozostawiając kluczową lukę w odnowionej obronie.

W odpowiedzi na rosnące wyzwania związane ze spamem, phishingiem i fałszywymi wiadomościami e-mail, opracowano trzy główne metody uwierzytelniania wiadomości e-mail w celu wzmocnienia cyfrowych barykad, chroniąc oba końce linii komunikacyjnej. Są to:

• SPF, który weryfikuje autoryzację serwera pocztowego do dostarczania wiadomości e-mail w DNS.

• DKIM, który cyfrowo podpisuje i uwierzytelnia wiadomości, weryfikując autoryzowany serwer poczty e-mail.

• DMARC, który określa odpowiedzi na wiadomości e-mail, które nie przeszły uwierzytelnienia (DMARC wykorzystuje przede wszystkim ocenę SPF i DKIM).

Jak działa SPF?

Sender Policy Framework (SPF) został wprowadzony w 2014 roku w celu rozwiązania wspomnianej wcześniej podatności SMTP na nieautoryzowane użycie domeny. Protokół ten ustanawia jasny proces dla Ciebie jako właściciela domeny nadawcy w celu określenia adresów IP i domen upoważnionych do wysyłania wiadomości e-mail w imieniu Twojej firmy.

Wdrożenie uwierzytelniania SPF przynosi wymierne korzyści, prowadząc do redukcji spamu i umożliwiając identyfikację i odrzucanie wiadomości phishingowych pochodzących z fałszywych domen. W skrócie, sposób w jaki to działa pozwala serwerom pocztowym skutecznie uwierzytelniać przychodzące wiadomości e-mail poprzez porównywanie adresu nadawcy z rekordem SPF domeny. Dopasowanie podświetla dostawę.

U podstaw SPF leży zwięzły, jednowierszowy rekord DNS TXT. Ten mały plik zawiera adresy IP legalnych serwerów poczty e-mail i odpowiadającą im domenę lub subdomenę. Serwery pocztowe korzystające z SPF przeprowadzają wyszukiwanie DNS dla tego rekordu DNS SPF, zapewniając walidację wiadomości e-mail, które twierdzą, że są powiązane z domeną.

Oto 7 możliwych odpowiedzi na zapytanie weryfikacyjne wymienione w rekordzie SPF:

1. Pass: Wskazuje autoryzację wysyłającego serwera pocztowego do wysyłania wiadomości e-mail dla domeny.

2. Fail: Oznacza, że wysyłający serwer pocztowy nie jest autoryzowany do wysyłania wiadomości e-mail dla domeny.

3. None: Oznacza brak rekordu SPF dla danej domeny.

4. Neutralny: Występuje, gdy rekord SPF domeny wyraźnie potwierdza brak autoryzowanych adresów IP lub domen. Dalsza interpretacja tej odpowiedzi może się różnić w zależności od konfiguracji DMARC dla domeny.

5. Soft fail: Sugeruje, że host wysyłający prawdopodobnie nie posiada autoryzacji. Traktowanie jako pozytywna lub negatywna zależy od konfiguracji DMARC i serwera poczty odbierającej.

6. Błąd tymczasowy: Wynika z przejściowego stanu błędu, takiego jak przekroczenie limitu czasu DNS, co prowadzi do opóźnionego dostarczenia wiadomości.

7. Błąd stały: Wskazuje, że rekord SPF nie mógł zostać poprawnie przetworzony, co skutkuje niepowodzeniem dostarczenia wiadomości. Może się to zdarzyć, gdy istnieje wiele rekordów SPF lub błędy składni.

Podczas gdy DMARC i DKIM nie są obowiązkowe, aby SPF mógł wykonywać swoją pracę, wszystkie one wzajemnie się uzupełniają. W dalszej części artykułu omówimy wzajemne relacje między tymi trzema filarami uwierzytelniania poczty elektronicznej.

Jak działa DKIM?

DomainKeys Identified Mail (DKIM) wykorzystuje DNS do nadawania kluczy publicznych niezbędnych w procesie uwierzytelniania wiadomości e-mail jako pochodzących z określonej domeny. Zasadniczo, DKIM pozwala na dodanie podpisu DKIM do wiadomości, potwierdzając własność. Ten podpis cyfrowy wykonywany za pomocą kryptografii klucza publicznego, matematycznie weryfikuje legalność wiadomości e-mail, potwierdzając jej pochodzenie z deklarowanej domeny.

Proces tworzenia rekordu DKIM składa się z następujących kroków:

1. Przechowywanie klucza publicznego DKIM

Rekord DKIM w DNS przechowuje klucz publiczny domeny. Serwery odbierające wiadomości e-mail mogą uzyskać dostęp do tego pliku w celu uzyskania wymaganego klucza publicznego.

2. Tworzenie podpisu cyfrowego

Nadawca, posiadający klucz prywatny, podpisuje nagłówek wiadomości e-mail. Ten klucz prywatny pozostaje poufny.

3. Weryfikacja przez serwery odbierające

Po otrzymaniu wiadomości e-mail, serwery pocztowe weryfikują, czy klucz prywatny nadawcy został rzeczywiście użyty poprzez zastosowanie klucza publicznego pobranego z rekordu DKIM.

Protokół DKIM ustanawia ramy dla nadawców wiadomości e-mail, które pozwalają im domagać się odpowiedzialności i autorstwa wiadomości za pomocą podpisów cyfrowych. Stają się one stałym elementem niestandardowych nagłówków wiadomości, zgodnych ze standardami internetowymi dotyczącymi składni wiadomości e-mail. Serwery SMTP obsługujące DKIM automatycznie uwierzytelniają wiadomości za pomocą odpowiedniego podpisu w nagłówku wiadomości e-mail.

Uwierzytelnianie DKIM pozwala właścicielom domen przydzielać różne klucze podpisywania dla różnych dostawców usług poczty e-mail w celu wysyłania komunikacji w ich imieniu. Klucze te mogą być wewnętrzne, używane na przykład przez różne oddziały, lub wykorzystywane przez komercyjnych dostawców usług, których upoważnisz do korzystania z Twojej domeny.

Niezależnie od konfiguracji, klucze prywatne pozostają bezpieczne u osób kontrolujących serwery poczty e-mail, podczas gdy klucze publiczne są jawnie dostępne w DNS dla każdego, kto otrzymuje wiadomości z domeny. Ta kryptograficzna relacja zapewnia niezawodny i przejrzysty proces uwierzytelniania.

Jak działa DMARC?

DMARC, co oznacza Domain-based Message Authentication Reporting and Conformance, wykorzystuje DNS do nadawania zasad dyktujących sposób postępowania w przypadku wiadomości e-mail, które nie przeszły SPF, DKIM lub obu tych procesów uwierzytelniania. To prawie jak opinia strony trzeciej na dany temat.

Protokół ten decyduje i instruuje odbierające serwery poczty elektronicznej, jak postępować z wynikami uwierzytelniania. Polityka DMARC domeny, ustawiona za pomocą rekordu DMARC, może nakazać serwerom pocztowym poddanie kwarantannie, odrzucenie lub dostarczenie wiadomości e-mail, które nie przeszły uwierzytelnienia SPF lub DKIM.

Wdrożenie DMARC pozwala określić, co należy zrobić, gdy serwer odbierający nie jest w stanie uwierzytelnić wiadomości. Jego zasady zapewniają elastyczność w określaniu reakcji na niepowodzenia uwierzytelniania. Dzięki tej strukturze można otrzymywać informacje zwrotne, zarówno w postaci indywidualnych raportów dla konkretnych nieudanych wiadomości, jak i zbiorczych raportów podsumowujących błędy uwierzytelniania SPF, DKIM lub połączonego uwierzytelniania podstawowego. Ta pętla sprzężenia zwrotnego pomaga w udoskonalaniu protokołów bezpieczeństwa poczty e-mail i identyfikowaniu potencjalnych ataków na domenę.

Działania określone w rekordzie DMARC mogą obejmować:

• Brak: Żadne działanie nie jest konieczne, pozwalając na dostarczenie legalnych wiadomości. Często używane podczas początkowej implementacji DMARC do celów logowania.

• Kwarantanna: Flaguje podejrzane wiadomości (uwierzytelnianie nie powiodło się), kierując je do wyznaczonych folderów, takich jak spam, w celu sprawdzenia.

• Odrzuć: Stwierdza, że wiadomość jest zdecydowanie nieautoryzowana i nie może zostać dostarczona, ponieważ jest to potencjalnie złośliwa poczta e-mail.

Uwierzytelnianie DMARC, przechowywane jako DNS TXT, zawiera nie tylko instrukcje działania, ale także określa oczekiwane raporty i ich miejsca docelowe. To kompleksowe podejście zwiększa bezpieczeństwo poczty elektronicznej, pozwalając zabezpieczyć się przed nieautoryzowaną komunikacją i szybko zidentyfikować potencjalne zagrożenia.

Jak SPF, DKIM i DMARC współpracują ze sobą w celu dostarczania poczty e-mail?

Kompleksowy proces autoryzacji poczty e-mail rozpoczyna się od SPF weryfikującego własność domeny. Krok ten ma kluczowe znaczenie dla prawidłowego funkcjonowania DMARC i DKIM. SPF opiera się na rekordach DNS w celu uwierzytelnienia serwerów poczty elektronicznej. Nie określa on jednak sposobu postępowania dla uwierzytelnionych domen ani nie wykrywa spoofingu wiadomości.

W tym miejscu pojawia się DKIM, w którym podpisane cyfrowo wiadomości e-mail są poddawane kontroli uwierzytelniania za pomocą kluczy publicznych przechowywanych w rekordach DKIM. Pliki te, zawarte w DNS nadawcy, potwierdzają legalność pochodzenia wiadomości.

Następnie DMARC opiera się zarówno na wynikach uwierzytelniania SPF, jak i DKIM, pozwalając właścicielom domen decydować, w jaki sposób serwery odbiorcze powinny obsługiwać nieautoryzowane wiadomości. DMARC wprowadza rekord DNS przechowujący klucz publiczny domeny wysyłającej.

Razem, rekordy te pozwalają biznesowym serwerom poczty e-mail na:

1. Uwierzytelnienie nadawcy poprzez sprawdzenie SPF.

2. Weryfikację podpisu cyfrowego wiadomości za pomocą DKIM.

3. Określenie, co zrobić z nieuwierzytelnionymi wiadomościami za pomocą DMARC.

Gdzie przechowywane są rekordy DMARC, DKIM i SPF?

Aby cieszyć się korzyściami płynącymi z SPF, DMARC i DKIM, potrzebne jest oprogramowanie serwera poczty e-mail obsługujące te protokoły. Dokładna konfiguracja zależy od przypadku, ale sedno sprawy leży w przechowywaniu danych protokołu w rekordach DNS TXT.

System nazw domen (DNS) służy jako repozytorium dla tych plików. Jako zasób publiczny, DNS głównie dopasowuje adresy internetowe do adresów IP, usprawniając lokalizację serwera w celu wyszukiwania treści online. Poza swoją podstawową funkcją, usługa ta obsługuje również różne rekordy powiązane z domeną, w tym rekordy CNAME, rekordy AAAA dla adresów IPv6 i rekordy PTR dla odwrotnego wyszukiwania DNS.

Rekordy DKIM, SPF i DMARC znajdują swój dom w ramach DNS. Pliki TXT, wszechstronne pod względem możliwości przechowywania niemal dowolnego tekstu, zapewniają przestrzeń dla tych protokołów uwierzytelniania poczty e-mail, które pozwalają chronić integralność komunikacji.

Jak skonfigurować SPF, DKIM i DMARC dla kompletnego protokołu uwierzytelniania poczty e-mail?

SPF, DKIM i DMARC, trzy protokoły bezpieczeństwa poczty e-mail, które wzajemnie się uzupełniają, muszą być skonfigurowane w obszarze ustawień DNS domeny. Nadawcy mogą skontaktować się ze swoim dostawcą DNS lub platformą hostingową, która może oferować narzędzia umożliwiające przesyłanie i edycję rekordów DNS.

Oprócz wszystkiego, co zostało tutaj omówione, warto dodać, że aby korzystać z SPF i DKIM i konsekwentnie przechodzić ocenę DMARC, musisz wysyłać wiadomości e-mail ze swojej domeny, ponieważ powszechnie dostępne bezpłatne usługi nie zapewniają opcji uwierzytelniania komunikacji.

Konfiguracja SPF

• Utwórz rekord SPF dla swojej domeny w DNS, wymieniając adresy IP upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny.

• Upewnij się, że twój serwer poczty e-mail jest zgodny z rekordem SPF, aby poprawić uwierzytelnianie poczty e-mail.

Konfiguracja DKIM

• Wygeneruj pary kluczy publicznych i prywatnych dla DKIM, przechowując klucz publiczny w rekordzie DNS DKIM.

• Skonfiguruj oprogramowanie serwera klienta poczty e-mail, aby zawierało podpis DKIM w wiadomościach e-mail wysyłanych przy użyciu klucza prywatnego.

Konfiguracja DMARC

• Utwórz rekord DMARC w DNS, określając preferowaną politykę (Brak, Kwarantanna lub Odrzucenie) dla obsługi nieuwierzytelnionych wiadomości.

• Określ, gdzie zagregowane raporty DMARC powinny być wysyłane do analizy, poprawiając widoczność kwestii związanych z uwierzytelnianiem wiadomości e-mail.

• Regularne monitorowanie raportów w celu dostrojenia polityki i rozwiązania wszelkich wyzwań związanych z uwierzytelnianiem.

Jeśli chcesz uzyskać więcej informacji na ten temat lub potrzebujesz pomocy ekspertów ds. komunikacji e-mail we wdrażaniu tych wymagań dotyczących walidacji, skontaktuj się z nami w dowolnym momencie pod adresem [email protected] Pomożemy Ci sprawdzić wszystkie pola uwierzytelniania i bezpiecznie wysyłać wiadomości.