Czym są DKIM, SPF i DMARC? I jak pomagają w dostarczaniu wiadomości e-mail

Czy Twoje e-maile są stale zatrzymywane przez filtry antyspamowe odbiorców? Co gorsza, czy po prostu w ogóle się nie pojawiają?

Dostarczalność wiadomości e-mail jest problemem dla wielu firm – a rozwiązanie tego problemu może czasami być trochę mrocznej sztuki. W tym przewodniku omawiamy trzy powyższe rozwiązania poprawiające dostarczalność wiadomości e-mail: DKIM, SPF i DMARC.

Skonfigurowanie DKIM, SPF i DMARC dla Twojej domeny może poprawić dostarczanie wiadomości e-mail, jednocześnie zmniejszając ryzyko, że oszuści i fałszerze będą skutecznie wysyłać wiadomości e-mail rzekomo pochodzące z Twojej organizacji.

Co to są DKIM i SPF?

DKIM i SPF to dwie cyfrowe metody używane do walidacji wiadomości e-mail. Mogą zarówno chronić nadawcę wiadomości e-mail, jak i jej odbiorcę przed podszywaniem się, phishingiem i podszywaniem się.

Gdy czyjeś konto e-mail otrzymuje wiadomość e-mail z podpisem DKIM lub SPF, filtry spamu sprawdzają domenę nadawcy, aby upewnić się, że wiadomość e-mail jest ważna i nie jest sfałszowana. E-maile, które przejdą kontrolę DKIM lub SPF, kwalifikują się do dostarczenia; e-maile, które nie przechodzą, są odrzucane lub poddawane kwarantannie.

DKIM służy do walidacji wiadomości e-mail wysyłanych przez określoną domenę, podczas gdy SPF sprawdza również e-maile wysyłane przez osoby trzecie w imieniu domeny „nadawcy”.

Co to jest DKIM?

Porozmawiajmy bardziej szczegółowo o DKIM i SPF, zaczynając od DKIM.

DKIM (DomainKeys Identified Mail) to protokół bezpieczeństwa, który może poinformować czyjeś konto e-mail, czy wiadomość e-mail rzeczywiście została wysłana z domeny, z której twierdzi, że została wysłana.

W 2005 roku, przed uruchomieniem DKIM, fałszowanie wiadomości e-mail było szczególnie rozpowszechnione. Skłoniło to grupę znanych uczestników branży internetowej, w tym Yahoo!, Cisco i Microsoft, do zaproponowania rozwiązania: DKIM. Grupa stwierdziła, że ​​zgłoszone powiązanie między adresem e-mail a domeną można zweryfikować, dodając klucz bezpieczeństwa do metadanych każdego e-maila. Zapewniłoby to domenom możliwość udowodnienia, że ​​ich własne wiadomości e-mail są legalne, a oszustom utrudniłoby udawanie powiązania między ich fałszywymi wiadomościami e-mail a cudzą domeną.

Gdy domena ma skonfigurowane DKIM i ta domena wysyła wiadomość e-mail do odbiorcy, konto e-mail odbiorcy porównuje podpis DKIM w wiadomości e-mail z rekordami DNS domeny. (Rekord DNS to internetowy rekord domeny zawierający podstawowe informacje identyfikujące). Jeśli podpis jest zgodny, wiadomość e-mail przechodzi kontrolę DKIM i może zostać dostarczona.

Jak skonfigurować DKIM w swojej domenie

Konfiguracja DKIM to ważny i przystępny sposób na zmniejszenie ryzyka podszywania się pod e-maile, przy jednoczesnej poprawie dostarczalności wiadomości e-mail.

Proces konfiguracji DKIM różni się w zależności od dostawcy usług poczty e-mail, z którego korzystasz. Na przykład Gmail automatycznie wykonuje niektóre czynności w imieniu domeny. Jeśli wolisz przeprowadzić w pełni ręczną konfigurację DKIM, wymagane będą następujące kroki:

1. Zainstaluj pakiet DKIM na serwerze poczty e-mail domeny
2. Użyj narzędzia DKIM Wizard do utworzenia pary kluczy publicznego i prywatnego DKIM
3. Prześlij rekord TXT publicznego klucza DKIM do rekordu DNS domeny
4. Bezpiecznie przechowuj prywatny klucz DKIM (wszędzie tam, gdzie pakiet DKIM mówi, że powinien być przechowywany)
5. Sprawdź, czy dostawca poczty e-mail wymaga dodatkowej konfiguracji DKIM, i wykonaj odpowiednie dalsze kroki

Agari.com oferuje szczegółowe wskazówki dotyczące każdego etapu procesu konfiguracji DKIM.

Po skonfigurowaniu DKIM domena powinna być dobrze umiejscowiona, aby czerpać korzyści ze zwiększonej dostarczalności i bezpieczeństwa. Filtry spamu będą teraz miały wyraźny sygnał, że wiadomości e-mail w domenie są legalne, co usuwa jeden z najbardziej prawdopodobnych powodów, dla których te wiadomości e-mail mogły być traktowane jako spam.

Co więcej, jeśli złośliwy nadawca spróbuje wysłać e-maile pod postacią domeny, e-maile powinny zostać odebrane przez filtry spamu odbiorców ze względu na brak klucza DKIM pasującego do klucza dodanego do DNS domeny.

Co to jest SPF?

SPF (Sender Policy Framework) to sposób weryfikowania wszystkich stron, które wysyłają wiadomości e-mail w imieniu domeny, od różnych domen wysyłających, które mogą być własnością nadawcy, po narzędzia do marketingu e-mailowego, takie jak MailChimp i Campaign Monitor.

SPF ułatwia to, prosząc konto e-mail odbiorcy o sprawdzenie listy dozwolonych szczegółów wysyłania w rejestrze domeny nadawcy. Jeśli dane konta wysyłającego zgadzają się z danymi wymienionymi w rejestrze, wiadomość e-mail może zostać dostarczona; jeśli szczegóły się nie zgadzają, wiadomość e-mail jest odrzucana lub poddawana kwarantannie.

Pomysły i technologie, które miały stać się SPF, zostały opracowane wspólnie przez dużą społeczność ekspertów ds. poczty e-mail na początku XXI wieku.

Jak skonfigurować SPF

Konfiguracja SPF dla domeny jest na szczęście prosta.

Najpierw utwórz rekord TXT zawierający listę wszystkich domen i serwerów, które są zatwierdzone do wysyłania wiadomości e-mail w imieniu domeny. Może to obejmować serwery internetowe, serwery poczty w biurze, serwery poczty usługodawcy internetowego, serwery skrzynek pocztowych użytkowników końcowych i serwery pocztowe innych firm, które są używane do wysyłania wiadomości e-mail w imieniu domeny. Tak więc działania, które musisz wykonać, to:

1. Zrób listę odpowiednich domen i serwerów;
2. Utwórz rekord TXT zawierający wymienione domeny i serwery w tym formacie.

Następnie możesz aktywować SPF, dodając rekord TXT SPF do DNS swojej domeny. Google ma szczegółowe wskazówki, jak skonfigurować SPF.

Po skonfigurowaniu SPF konta e-mail będą mogły weryfikować wszystkie prawidłowe wiadomości e-mail wysyłane w imieniu Twojej domeny. Poprawia to dostarczalność Twoich e-maili, zachowując jednocześnie ochronę, jaką zapewniają filtry antyspamowe przed fałszywymi e-mailami udającymi, że pochodzą z Twojej domeny.

Narzędzie do testowania podpisów e-mail DKIM i SPF

Po zakończeniu konfigurowania DKIM i SPF należy przeprowadzić test, aby upewnić się, że obie technologie działają poprawnie. Zalecamy skorzystanie z bezpłatnego narzędzia ze strony mail-tester.com: Sprawdź swoje klucze SPF i DKIM.

Testowanie środków ostrożności DKIM i SPF jest kluczowe, ponieważ nieprawidłowa konfiguracja może w rzeczywistości zaszkodzić dostarczalności wiadomości e-mail.

Co to jest DMARC?

DMARC to zaawansowany protokół bezpieczeństwa poczty e-mail, który dodaje funkcjonalność raportowania do ochrony oferowanej przez DKIM i SPF. W przypadku domen korzystających z poczty e-mail na szeroką skalę, DMARC może być szczególnie potężnym i skutecznym narzędziem do oznaczania problemów z dostarczalnością i gromadzenia informacji o problematycznych wiadomościach e-mail związanych z domeną.

Kiedy po raz pierwszy uruchomiono DKIM i SPF, oczekiwano, że technologie te będą hermetycznym rozwiązaniem do sprawdzania poprawności wiadomości e-mail. Niestety, DKIM i SPF nie zawsze okazywały się doskonale skuteczne w zapobieganiu oszukańczym e-mailom – zwłaszcza w przypadkach, gdy właściciel domeny używa poczty e-mail na dużą skalę i z wieloma systemami pocztowymi.

W 2012 roku koalicja internetowych gigantów, w tym PayPal, Google, Microsoft i Yahoo! zebrane do pracy nad sposobem na wzmocnienie słabości DKIM i SPF. Opracowali protokół bezpieczeństwa o nazwie DMARC, który dodaje zaawansowane funkcje raportowania do istniejących podpisów DKIM i SPF kont e-mail.

Dzięki DMARC każdy e-mail jest nadal przekazywany, odrzucany lub poddawany kwarantannie na podstawie jego podpisu DKIM lub SPF; różnica pojawia się później. Za każdym razem, gdy wiadomość e-mail zostanie odrzucona lub umieszczona w kwarantannie, DMARC wysyła do domeny raport o niepowodzeniu. Okresowo DMARC wysyła do domeny „zbiorczy raport”, który zawiera informacje o przekazanych, odrzuconych i poddanych kwarantannie wiadomościach e-mail.

Raporty DMARC zawierają szczegółowe informacje o nazwie domeny autora oraz informacje o interakcji między nadawcą a odbiorcą. Daje to właścicielowi domeny bardzo jasny obraz tego, w jaki sposób wykorzystywany jest jego kanał e-mail i kto z niego korzysta – w tym potencjalni oszuści.

Jak korzystać z raportów DMARC

Raporty DMARC mogą być ogromnym atutem pod względem dostarczalności wiadomości e-mail. Niepowodzenia wskazane w raportach pomagają firmom identyfikować i radzić sobie z przypadkami złośliwych wiadomości e-mail powiązanych z ich domeną. Zmniejsza to ilość negatywnych sygnałów związanych z domeną, które są odbierane przez dostawców usług pocztowych, co może mieć pozytywny wpływ na ogólną dostarczalność wiadomości e-mail w domenie.

Usługi poczty e-mail, takie jak Gmail i Outlook, mogą generować szczegółowe raporty DMARC obejmujące wszystkie wiadomości e-mail wysłane z domeny, w tym informacje o wszystkich adresach IP, które użyły domeny do wysłania wiadomości e-mail.

Aby aktywować raporty DMARC, właściciel domeny musi najpierw utworzyć rekord DMARC dla domeny. Błędy w rekordzie DMARC domeny mogą powodować poważne problemy z dostarczaniem wiadomości e-mail, dlatego zawsze zalecamy skorzystanie z usług doświadczonego wykonawcy lub usługi, aby zapewnić bezproblemową konfigurację DMARC.

Gdy rekord DMARC domeny jest aktywny, może zacząć otrzymywać raporty DMARC od dostawców usług poczty e-mail.

Raporty DMARC są trudne do zrozumienia w ich surowym formacie, dlatego zaleca się użycie oprogramowania analizującego DMARC, takiego jak DMARC Analyzer, aby skutecznie skanować każdy raport pod kątem przypadków złośliwego użycia. Jeśli oprogramowanie wykryje coś wyłudzającego informacje, właściciel domeny może podjąć odpowiednie działania, takie jak nakazanie Gmailowi ​​i innym usługom pocztowym odrzucania złośliwych nadawców w przyszłości.

Akronim DMARC oznacza raportowanie i zgodność uwierzytelniania wiadomości oparte na domenie.

Chcielibyśmy powtórzyć, że jeśli jesteś zainteresowany DMARC, naszą radą byłoby skonfigurowanie narzędzia przez eksperta, który może monitorować wydajność i wprowadzać poprawki, aby uzyskać odpowiednią politykę DMARC.

DKIM, SPF i DMARC w ramach higieny dostarczania wiadomości e-mail

DKIM, SPF i DMARC przyczyniają się do zapewniania i bezpieczeństwa poczty e-mail. Jednak, aby uzyskać najlepsze wyniki, należy je stosować w ramach dokładnego schematu higieny poczty e-mail. Oznacza to, że domena regularnie przechodzi szereg procesów – w tym zarządzanie DKIM, SPF i DMARC – w celu zapewnienia optymalnej dostarczalności wiadomości e-mail.

Dla wielu sprzedawców e-maili najważniejszym elementem higieny poczty e-mail jest uporządkowanie listy e-mailowej (czyli listy mailingowej). Może to obejmować przejrzenie listy w celu zidentyfikowania adresatów, którzy nie otwierali wiadomości e-mail od dłuższego czasu, a następnie usunięcie tych adresatów z listy e-mail. Możesz również sprawdzić swoją listę e-mailową pod kątem „niespójności horyzontalnych” – gdzie jedna z informacji o odbiorcy, taka jak imię i nazwisko, wydaje się nie pasować do adresu e-mail (np. imię i nazwisko: dr Norman Whibley-Castle; adres e-mail : bikerchickmartha2001[at]gmail[kropka]com). Więcej wskazówek na temat higieny poczty e-mail można znaleźć w artykule tye.io „10 najważniejszych najlepszych praktyk w zakresie higieny poczty e-mail na rok 2021”.

Zalecamy podjęcie następujących kroków w celu zarządzania DKIM, SPF i DMARC:

• DKIM i SPF : regularnie testuj klucze DKIM i SPF.
• DMARC : jeśli korzystasz z DMARC, poproś członka zespołu ekspertów lub wykonawcę o regularne sprawdzanie raportów DMARC i dostosowanie ustawień domeny, jeśli to konieczne.

Dzięki DKIM, SPF i prawdopodobnie DMARC Twoja domena będzie miała doskonałą podstawę do dostarczania wiadomości e-mail i bezpieczeństwa. Pamiętaj tylko, aby zarządzać tymi technologiami w ramach programu higieny poczty e-mail, ponieważ pomoże to zapewnić ich prawidłowe działanie.

Skonfigurowanie tych technologii bezpieczeństwa poczty e-mail wymaga sporo pracy – ale ostatecznie zostaniesz nagrodzony, widząc zwiększony procent Twoich e-maili trafiających do skrzynki odbiorczej odbiorcy.