Представьте, что вы отправляете клиенту важное письмо, а оно попадает в папку «Спам» или вообще не доходит. Ещё страшнее представить, что кто-то выдаёт себя за ваш домен и рассылает мошеннические письма от вашего имени, что приводит к подмене электронных писем и фишингу.

Такие сценарии могут показаться вам невероятными, но они встречаются на удивление часто. Взгляните на статистику ниже:

  • Почти 45.6% всех отправленных по всему миру электронных писем попали в папки со спамом у получателей.
  • 96%. фишинговых атак совершаются через электронную почту.

Вот почему протоколы аутентификации электронной почты так важны. В этом подробном руководстве мы подробнее рассмотрим четыре ключевых протокола аутентификации электронной почты — DKIM, DMARC, SPF и BIMI — и инструменты валидации, которые можно использовать. Но сначала:

Что такое аутентификация электронной почты?

Аутентификация электронной почты — это процесс проверки подлинности электронного сообщения. Она включает в себя использование нескольких протоколов, которые подтверждают, что электронное письмо пришло от того, от кого оно заявлено, и что его содержимое не было изменено при передаче.

Хотя аутентификация электронной почты необходима всем отправителям, она особенно важна для компаний и организаций, активно использующих электронную переписку. В 2024 году Google и Yahoo потребовать от всех отправителей массовых рассылок настроить методы аутентификации электронной почты SPF, DKIM и DMARC для своих доменов.

Как работает аутентификация электронной почты

Итак, как работает аутентификация электронной почты? Вот краткое описание процесса:

  1. Посылающий: Первый шаг — отправка электронного письма, которая выполняется с определенного адреса. домен или поддоменДомен — это уникальный идентификатор, который следует после символа «@» в адресе электронной почты. При отправке электронного письма сервер отправителя добавляет данные аутентификации к его заголовку. Эти данные представляют собой правила, которые принимающий почтовый сервер будет использовать для аутентификации письма.
  1. Поиск DNS: Получающий сервер выполняет поиск в DNS (системе доменных имен), чтобы получить записи SPF, DKIM и DMARC домена отправителя. Эти записи содержат правила и открытые ключи, необходимые для проверки электронной почты.
  2. Решение о доставке: На основании результатов проверок SPF, DKIM и DMARC принимающий сервер принимает окончательное решение, которое будет относиться к следующим категориям:
  • Доставлять: Если письмо проходит проверки SPF, DKIM и DMARC, оно доставляется в почтовый ящик получателя. Вот пример доставленного письма, прошедшего все три проверки.
  • Карантин: Письмо, не прошедшее проверку подлинности, но не представляющее непосредственной угрозы, помещается в карантин. Например, оно может быть помещено в папку со спамом до рассмотрения администратором электронной почты.
  • Отклонить: Если электронное письмо не проходит проверку подлинности и считается подозрительным или вредоносным, оно сразу же отклоняется. электронные письма возвращаются обратно по адресу отправителя или удаляется.

Процесс аутентификации электронной почты можно просто рассматривать как взаимодействие отправляющего и получающего почтовых серверов, чтобы гарантировать, что сообщение дойдет до получателя в неприкосновенности.

Важные протоколы аутентификации электронной почты

Каждый протокол аутентификации электронной почты отвечает за определённый аспект безопасности электронной почты. Ниже представлен подробный обзор этих столпов аутентификации электронной почты:

1. SPF (инфраструктура политики отправителя)

SPF позволяет владельцам доменов создавать запись DNS (система доменных имен) со списком IP-адресов, авторизованных для отправки электронных писем с этого домена.

При отправке электронного письма принимающий почтовый сервер проверяет запись SPF, чтобы убедиться, что письмо отправлено с авторизованного IP-адреса. Если IP-адрес совпадает, письмо считается подлинным.

• Инструменты валидатора:

Некоторые инструменты, которые можно использовать для проверки компонентов записи SPF, включают проверку записи SPF от MXToolbox, поиск SPF от PowerDMARC, Инструменты Google Postmaster Toolsи средство проверки записей SPF EasyDMARC.

Инструменты измеряют следующие ключевые параметры, чтобы гарантировать правильность настройки и эффективность вашей записи SPF:

  • IP-адреса: В записи указаны авторизованные IP-адреса.
  • Ошибки синтаксиса: Проверяет наличие синтаксических ошибок в записи SPF.
  • Домен отправителя: Домен в адресе отправителя проверяется по записи SPF, чтобы убедиться, что он соответствует авторизованному домену.

Давайте посмотрим, как выглядит базовая запись SPF:

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com ~все

  • v = spf1: Указывает версию SPF.
  • ip4:192.0.2.0/24: Разрешенный диапазон IP-адресов (от 192.0.2.0 до 192.0.2.255).
  • ip4: 198.51.100.123: Конкретный авторизованный IP-адрес (198.51.100.123).
  • включает: _spf.google.com: Этот раздел сообщает серверу, какие сторонние организации могут отправлять электронные письма от имени домена. Например, в нашем примере почтовые серверы Google могут отправлять электронные письма от имени домена.
  • ~все: устанавливает мягкое отклонение для писем, не соответствующих записи SPF. Они будут помечены как спам, но всё равно будут допущены. Альтернативный вариант — -all, который означает, что письма, не указанные в списке, должны быть отклонены.

Несмотря на всю эффективность SPF, у него есть свои ограничения. Например, SPF-аутентификация проверяет домен отправителя, используя Return-Path, а не адрес «От:», который видят получатели. Поэтому фишеры могут обойти проверку, используя поддельный домен в Return-Path и подделывая адрес «От:».

Вот почему вам нужны другие протоколы аутентификации электронной почты, чтобы заполнить пробелы.

2. DKIM (DomainKeys Identified Mail)

DKIM подтверждает, что электронное письмо было отправлено авторизованным почтовым сервером и его содержимое не было изменено во время передачи.

Он работает с использованием криптографических методов для подписи электронных писем. При отправке электронного письма почтовый сервер отправителя генерирует уникальную цифровую подпись на основе его содержимого и закрытого ключа. Эта подпись добавляется в заголовок электронного письма.

Затем почтовый сервер получателя использует соответствующий открытый ключ, опубликованный в DNS-записях отправителя, для проверки подписи. Если подпись действительна и соответствует открытому ключу, письмо проходит проверку DKIM.

• Инструменты валидатора

Несколько инструментов помогут вам проверить конфигурацию DKIM и устранить неполадки. К ним относятся DKIMValidator.com, Site24x7 DKIM Validator, SimpleDMARC DKIM Checker, EasyDMARC DKIM Checker, Unspam DKIM Checker и Dmarcian’s DKIM Inspector.

Ключевые параметры, проверяемые этими инструментами, включают:

  • Подпись - Signature: Цифровая подпись в заголовке сообщения электронной почты проверяется с помощью открытого ключа, опубликованного в записях DNS отправителя.
  • Домен: Домен в подписи DKIM проверяется на соответствие домену в поле «От:» адреса электронной почты.
  • Селектор: Селектор является частью подписи DKIM, которая указывает, какой открытый ключ использовать для проверки.

Вот пример записи DKIM.

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCz4EZLtxhU3jY5EJ/GV6xS…

  • v=DKIM1: Указывает используемую версию DKIM.
  • к=рса: Указывает тип ключа, в данном случае RSA.
  • р=…: Открытый ключ, используемый для проверки подписи DKIM.

Протокол аутентификации электронной почты DKIM, как и SPF, также имеет свои ограничения. Главное из них заключается в том, что, получив ваши ключи DKIM, злоумышленники могут легко использовать их, чтобы выдать себя за вас.

Поэтому регулярно меняйте ключи. Если вы решили получить DKIM-подпись у своего поставщика услуг электронной почты (ESP), избегайте тех, кто предоставляет своим пользователям похожие подписи.

Популярные инструменты электронного маркетинга, такие как Mailchimp, GetResponse или MailerLite упрощают аутентификацию доменов, принадлежащих вам или вашей организации, с помощью DKIM. Эти инструменты предлагают различные наборы функций и цены, поэтому вам стоит зарегистрироваться для получения бесплатных пробных аккаунтов и тщательно протестировать их.

Панель управления GetResponse показывает советы по настройке домена для корректной доставки email-рассылок.

3. DMARC (аутентификация сообщений на основе домена, отчетность и соответствие)

DMARC основан на SPF и DKIM. Это достигается добавлением политики к DNS-записям домена. Эта политика определяет, какие действия следует предпринять, если письмо не проходит проверку SPF или DKIM: оно может быть помещено в карантин, отклонено или просто отслежено, почему оно не прошло проверку.

• Инструменты валидатора

Инструменты проверки DMARC включают PowerDMARC Checker Tool, DMARC-Validator.com, EasyDMARC DMARC Record Checker, DMARC-checker.org и MXToolbox DMARC Check Tool.

Ключевые параметры, проверяемые этими инструментами DMARC, включают:

  • Выравнивание SPF: Гарантирует, что домен в заголовке «Return-Path» совпадает с доменом в адресе «From» или выравнивается с ним.
  • Выравнивание DKIM: проверяет, совпадает ли домен в подписи DKIM с доменом в адресе «От».
  • Домен: Подтверждает, что необходимые записи DNS (DMARC, DKIM, SPF) опубликованы и доступны

Вот пример записи DMARC:

v=DMARC1; р=отклонить; руа = почта:[электронная почта защищена]; adkim=s; aspf=s;

  • v=DMARC1: указывает на наличие политики DMARC
  • p=reject: указывает, что письма, не прошедшие проверку SPF или DKIM, следует отклонять. p=quarantine указывает, что серверы должны помещать в карантин не прошедшие проверку письма, а p=none означает, что даже не прошедшие проверку письма могут быть доставлены.
  • rua = mailto:[электронная почта защищена]: адрес электронной почты, на который будет отправлен отчёт DMARC. Отчёт содержит ценную информацию, которая может помочь администраторам скорректировать свои политики DMARC.
  • adkim=s и aspf=s: указывают на то, что проверки DKIM и SPF установлены на «строгий» уровень. Вы также можете сделать их «мягкими», изменив s на r.

DMARC полагается на правильную аутентификацию SPF и DKIM, поэтому любые проблемы с этими протоколами приведут к тому, что вы не пройдете проверку DMARC.

4. BIMI (индикаторы бренда для идентификации сообщения)

BIMI — это стандарт аутентификации электронной почты, который повышает безопасность электронной почты и удобство использования, позволяя брендам размещать свой логотип рядом с аутентифицированные электронные письма в почтовых ящиках получателей.

Когда письмо проходит проверку подлинности DMARC, поддерживающие её почтовые клиенты, такие как Gmail, Apple Mail и Yahoo, отображают логотип бренда в папке «Входящие». Обратите внимание на разницу между письмами с BIMI и без него.

Источник

Визуальный индикатор помогает получателям распознать ваш бренд в своих входящих сообщениях, а также подтверждает, что вы являетесь законным отправителем.

Конечно, такие письма будут иметь более высокие показатели открываемости и конверсии по сравнению с письмами без аутентификации. Дополните их целевыми страницами, оптимизированными с помощью таких инструментов, как Nostra и Intellimize, для достижения наилучших результатов.

• Инструменты валидатора

Основные инструменты, которые можно использовать для проверки записей BIMI, включают EasyDMARC BIMI Record Checker, SimpleDMARC BIMI Checker, GoDMARC BIMI Record Lookup Tool, Valimail BIMI Validator и VeriMarkCert BIMI Checker.

Эти инструменты валидации BIMI обычно проверяют следующие параметры:

  • Наличие записи BIMI: Они проверяют правильность настройки записи DNS BIMI для доменов.
  • Срок действия логотипа: Убедитесь, что файл логотипа соответствует требуемым спецификациям и доступен по URL-адресу, указанному в записи BIMI.

Вот отличный пример записи BIMI:

v=BIMI1; l=https://your-domain.example/path/to/logo.svg; a=https://your-domain.example/path/to/vmc.pem

  • v=BIMI1: Указывает версию BIMI.
  • l=https://your-domain.example/path/to/logo.svg: Указывает URL вашего логотипа в формате SVG.
  • a=https://your-domain.example/path/to/vmc.pem: Указывает на URL-адрес вашего сертификата проверенной марки (VMC), который подтверждает право собственности на логотип.

Для работы BIMI в домене должны быть установлены строгие политики аутентификации DMARC, настроенные либо на «карантин», либо на «отклонение». Это означает, что BIMI никогда не будет единственным уровнем безопасности.

Заключение

Протоколы аутентификации электронной почты, такие как SPF, DKIM, DMARC и BIMI, работают вместе, предотвращая несанкционированное использование вашего домена и защищая репутацию отправителя вашего бренда. Это помогает улучшить доставку писем.

Поэтому внедряйте эти протоколы аутентификации электронной почты уже сегодня.

Помните, что поставщики электронной почты, такие как Yahoo и Gmail, ужесточают требования к аутентификации электронной почты. Поэтому, если вы всё ещё сомневаетесь, стоит ли вам знакомиться с этими протоколами и их инструментами валидации, ответ — однозначное «ДА».