ADSP of Author Domain Signing Practices is een optionele uitbreiding van DomainKeys Identified Mail, die het auteursdomein in staat stelt ondertekeningspraktijken te specificeren. Als een superset van de DKIM ondertekeningsbeleid, helpen ondertekeningspraktijken zoals deze bij het bepalen van de autoriteit van berichten die geen DKIM ondertekeningsheader bevatten.
Wat is ADSP?
We hebben al besproken dat DKIM een beveiligingsprotocol is waarmee verzenders van e-mail hun berichten cryptografisch kunnen ondertekenen om te bevestigen dat ze van het juiste domein afkomstig zijn. Zo kunnen ontvangers controleren of het bericht authentiek is en niet onderweg is gewijzigd.
Soms, wanneer deze handtekening ontbreekt, springt Author Domain SIgning Practices (ADSP), een accessoire van DKIM, bij om deze niet-ondertekende berichten te evalueren. Het werkt door een record in de DNS te definiëren met bepaalde instructies over ondertekeningspraktijken die door het auteursdomein worden bepaald.
Relevante termen en definities
Voordat we ons gaan bezighouden met de operationele praktijken van ADSP, zullen we eerst een paar termen met betrekking tot dit onderwerp doornemen:
Wat is het adres van de auteur?
Wanneer u een e-mail opent, vindt u linksboven in de koptekst van het bericht het adres Van:. Dit adres bevat het e-mailadres van de afzender van de e-mail (het verzendende domein). Het wordt ook wel het auteursadres genoemd. Dit is een deel van de zichtbare header.
Niet te verwarren met het Return-path adres dat informatie bevat over het IP-adres van de server van de afzender, en dat deel uitmaakt van de hidden header.
Wat is een Author Domain Handtekening?
De auteurs domein handtekening verwijst naar de d= tag in de e-mail header, die de DKIM handtekening voor berichtverificatie. Als de handtekening geldig is, zou de domeinnaam in de header van de handtekening idealiter overeen moeten komen met de naam in het adres van de auteur (From: header).
Als het niet overeenkomt, kan dit betekenen dat het bericht onderweg is gewijzigd, of dat het domein van de afzender is vervalst.
Author Domain Signing Practices (ADSP) configureren
Soorten Definieerbare Ondertekeningspraktijken
- onbekend: U kunt een onbekende praktijk definiëren, of ervoor kiezen om helemaal niets te definiëren, aangezien ze beide hetzelfde doel zullen dienen. Onbekend verwijst naar een niet bekendgemaakte of niet gespecificeerde ondertekeningsregel die de flexibiliteit biedt om om het even welke hoeveelheid e-mail te ondertekenen.
- alle: Deze praktijk schrijft voor dat alle e-mails moeten worden ondertekend met een DKIM-handtekening.
- afwerpbaar: vergelijkbaar met p=reject voor DMARC, verwijst de discardable praktijk naar een afgedwongen beleid waarin niet alleen het totale mailvolume afkomstig van het auteursdomein wordt ondertekend met DKIM, maar in het geval van enig verzuim wordt de e-mail geweigerd (weggegooid) door de ontvangende server.
ADSP TXT Record: Het definiëren van praktijken in de DNS
Om de ondertekeningspraktijken voor auteursdomeinen in te stellen, moet u het volgende TXT-record in uw DNS publiceren:
_adsp._domainkey.yourdomain.com. IN TXT "dkim=discardable"
Vervang yourdomain.com door de verzenddomeinnaam en dkim= waarde door een ondertekeningspraktijk naar keuze uit de hierboven besproken opties.
Disclaimer
De "onbekend" specificatie is de aanbevolen praktijk voor domeinen waar gebruikers niet gebonden zijn aan het verzenden van e-mails van specifieke mailservers die binnen de reikwijdte van het auteursdomein vallen. Een ander beleid dan "onbekend" zal in dergelijke gevallen leiden tot mislukte authenticatie en/of ongewenste afwijzing van berichten.
ADSP en DMARC: een moderne oplossing om ADSP-beperkingen te omzeilen
Alles wat vergezeld gaat van een disclaimer kan niet 100% waterdicht en effectief worden genoemd. ADSP is weliswaar een effectieve aanvulling op het DKIM-protocol, maar heeft een aantal beperkingen en complicaties waardoor het de laatste tijd minder relevant is geworden.
Een betere manier om deze nadelen te omzeilen is het instellen van DMARC. Een modern, effectief en evoluerend e-mail authenticatieprotocol dat u zal helpen:
- Definieer beleid in de DNS voor berichten die DKIM niet doorstaan
- het gewenste niveau van handhaving instellen
- een rapportagemechanisme opzetten om authenticatieresultaten, foutenrapporten en leveringsproblemen weer te geven
Hulp nodig bij het instellen van uw e-mailbeveiligingsprogramma 's? Wij zijn er om u te helpen! Het PowerDMARC-team van e-mailverificatie-experts zal u helpen uw beveiligingsposture opnieuw uit te vinden met een complete suite van tools op een geautomatiseerd cloudplatform. Neem vandaag nog contact met ons op!
- Introductie van DKIM2: de toekomst van e-mailbeveiliging - 20 november 2024
- BreekSPF-aanvallen: Wees hackers te slim af en bescherm uw e-mail - 13 november 2024
- PowerDMARC integreert met ConnectWise - 31 oktober 2024