Hvad er ADSP? Praksis for signering af forfatterdomæner i DKIM
ADSP eller Author Domain Signing Practices er en valgfri udvidelse af DomainKeys Identified Mail, som gør det muligt for forfatterdomænet at angive signeringspraksis. Som en overordnet del af DKIM signeringspolitik hjælper signeringspraksis som denne med at fastslå autoriteten af meddelelser, der ikke indeholder en DKIM-signaturhovedrubrik.
Hvad er ADSP?
Vi har allerede talt om, at DKIM er en sikkerhedsprotokol, der gør det muligt for afsendere af e-mails at underskrive deres meddelelser med kryptografisk signatur for at bekræfte, at de kommer fra det rigtige domæne. Dette gør det muligt for modtagerne at kontrollere, at meddelelsen er autentisk og ikke er blevet ændret undervejs.
Nogle gange, når denne signatur mangler, træder Author Domain Sgning Practices (ADSP), som er et supplement til DKIM, til for at evaluere disse usignerede meddelelser. Det fungerer ved at definere en post i DNS med visse instrukser om signeringspraksis, der er fastlagt af forfatterdomænet.
Relevante begreber og definitioner
Før vi går ind i de praktiske detaljer om ADSP's operationelle praksis, skal vi gennemgå nogle få termer i forbindelse med dette emne:
Hvad er forfatteradressen?
Når du åbner en e-mail, finder du adressen Fra: øverst til venstre i meddelelseshovedet. Denne adresse indeholder e-mail-afsenderens (det afsendende domænes) e-mail-adresse. Den er også kendt som forfatteradressen. Dette er en del af den synlige overskrift.
Må ikke forveksles med Return-path-adressen, der indeholder oplysninger om afsenderens server-IP-adresse og er en del af den skjulte header.
Hvad er en signatur for et forfatterdomæne?
Forfatterdomænesignaturen henviser til d=-tagget i e-mailhovedet, som indeholder DKIM-signatur til verifikation af meddelelser. Hvis signaturen er gyldig, skal det domænenavn, der er nævnt i signaturhovedet, ideelt set stemme overens med navnet i forfatteradressen (From:-hovedet).
Hvis der ikke er et match, kan det betyde, at meddelelsen er blevet ændret under transporten, eller at afsenderens domæne er blevet forfalsket.
Konfiguration af ADSP (Author Domain Signing Practices)
Typer af definerbare signeringspraksis
- ukendt: Du kan definere en ukendt praksis eller vælge ikke at definere noget overhovedet, da de begge tjener det samme formål. Ukendt refererer til en ikke-offentliggjort eller uspecificeret signeringsregel, der giver fleksibilitet til at signere enhver mængde e-mail.
- alle: Denne praksis angiver, at alle e-mails skal være underskrevet med en DKIM-signatur.
- kan kasseres: I lighed med p=reject for DMARC henviser discardable-praksis til en håndhævet politik, hvor ikke kun den samlede mailvolumen, der stammer fra forfatterdomænet, er signeret med DKIM, men i tilfælde af en fejl vil e-mailen blive afvist (kasseret) af den modtagende server.
ADSP TXT Record: Definition af praksis i DNS
Hvis du vil konfigurere signeringspraksis for forfatterdomæner, skal du offentliggøre følgende TXT-post i din DNS:
_adsp._domainkey.yourdomain.com. IN TXT "dkim=discardable"
Erstat yourdomain.com med det afsendelsesdomæne, du sender, og dkim=-værdien med en signeringspraksis efter eget valg blandt de muligheder, der er beskrevet ovenfor.
Ansvarsfraskrivelse
"ukendte" er den anbefalede praksis for domæner, hvor brugerne ikke er bundet til at sende e-mails fra specifikke mailservere, der falder inden for forfatterdomænets område. En anden politik end "unknown" vil i sådanne tilfælde føre til fejl i godkendelsen og/eller uønskede afvisninger af meddelelser.
ADSP og DMARC: En moderne løsning til at omgå ADSP-begrænsninger
Alt, hvad der er ledsaget af en ansvarsfraskrivelse, kan ikke betegnes som 100 % idiotsikret og effektivt. ADSP er et effektivt supplement til DKIM-protokollen, men har en række begrænsninger og komplikationer, som har reduceret dens relevans i den senere tid.
En bedre måde at omgå disse ulemper på er at opsætte DMARC. En moderne, effektiv og udviklende protokol til autentificering af e-mail, som vil hjælpe dig:
- definere politikker i DNS for meddelelser, der ikke opfylder DKIM
- konfigurere det ønskede håndhævelsesniveau
- oprette en rapporteringsmekanisme til at vise godkendelsesresultater, fejlrapporter og leveringsproblemer
Har du brug for hjælp til at konfigurere dine e-mail-sikkerhedsværktøjer? Vi er her for at hjælpe! PowerDMARC's team af eksperter i e-mail-godkendelse hjælper dig med at genopfinde din sikkerhed med en komplet pakke af værktøjer på en automatiseret cloud-platform. Kontakt os i dag!
- SubdoMailing og fremkomsten af subdomæne-phishing - 18. marts 2024
- Mailchimp DMARC, SPF og DKIM opsætningsguide - 26. februar 2024
- Hvad er SMTP TLS-rapportering? - 20. februar 2024