I denne artikkelen vil vi undersøke hvordan du enkelt kan optimalisere SPF -registrering for domenet ditt. For bedrifter så vel som små bedrifter som er i besittelse av et e -postdomene for sending og mottak av meldinger blant sine kunder, partnere og ansatte, er det høyst sannsynlig at det finnes en SPF -post som standard, som er satt opp av leverandøren av innboksen din. . Uansett om du har en eksisterende SPF-post eller du må opprette en ny, må du optimalisere SPF-posten riktig for domenet ditt for å sikre at det ikke forårsaker problemer med levering av e-post.

Noen e -postmottakere krever strengt SPF, noe som indikerer at hvis du ikke har publisert en SPF -post for domenet, kan e -postene dine merkes som spam i mottakerens innboks. Dessuten hjelper SPF med å oppdage uautoriserte kilder som sender e -post på vegne av domenet ditt.

La oss først forstå hva som er SPF og hvorfor trenger du det?

Sender Policy Framework (SPF)

SPF er egentlig en standard e -postgodkjenningsprotokoll som spesifiserer IP -adressene som er autorisert til å sende e -post fra domenet ditt. Den opererer ved å sammenligne avsenderadresser med listen over autoriserte sendende verter og IP -adresser for et bestemt domene som er publisert i DNS for det domenet.

SPF, sammen med DMARC (domenebasert meldingsautentisering, rapportering og samsvar) er designet for å oppdage forfalskede avsenderadresser under e-postlevering og forhindre spoofing-angrep, phishing og svindel via e-post.

Det er viktig å vite at selv om standard SPF som er integrert i domenet ditt av vertsleverandøren din, sikrer at e-postmeldinger som sendes fra domenet ditt, blir godkjent mot SPF hvis du har flere tredjepartsleverandører til å sende e-post fra domenet ditt, denne eksisterende SPF-posten må skreddersys og endres for å passe dine behov. Hvordan kan du gjøre det? La oss utforske to av de vanligste måtene:

  • Lag en helt ny SPF -rekord
  • Optimalisering av en eksisterende SPF -post

Instruksjoner om hvordan du optimaliserer SPF -registrering

Lag en splitter ny SPF -post

Opprette en SPF -post er bare å publisere en TXT -post i domenets DNS for å konfigurere SPF for domenet ditt. Dette er et obligatorisk trinn som kommer før du begynner med hvordan du optimaliserer SPF -posten. Hvis du bare har begynt med autentisering og er usikker på syntaksen, kan du bruke vår gratis SPF -postgenerator for å lage en SPF -post for domenet ditt.

En SPF -postoppføring med riktig syntaks vil se omtrent slik ut:

v = spf1 ip4: 38.146.237 inkluderer: example.com -all

v = spf1Spesifiserer versjonen av SPF som brukes
ip4/ip6Denne mekanismen angir gyldige IP -adresser som er autorisert til å sende e -post fra domenet ditt.
inkludereDenne mekanismen forteller mottaker -serverne å inkludere verdiene for SPF -posten til det angitte domenet.
-alleDenne mekanismen spesifiserer at e -postmeldinger som ikke er SPF -kompatible, vil bli avvist. Dette er den anbefalte taggen du kan bruke mens du publiserer SPF -posten. Imidlertid kan den erstattes med ~ for SPF Soft Fail (ikke-kompatible e-poster vil bli merket som soft fail, men vil fortsatt bli akseptert) Eller + som angir at enhver server vil få lov til å sende e-post på vegne av domenet ditt, som er sterkt motløs.

Hvis du allerede har konfigurert SPF for domenet ditt, kan du også bruke vår gratis SPF -postkontroll for å slå opp og validere SPF -posten og oppdage problemer.

Vanlige utfordringer og feil ved konfigurering av SPF

1) 10 DNS -oppslagsgrense 

Den vanligste utfordringen domeneeierne står overfor når de konfigurerer og vedtar SPF-godkjenningsprotokoll for domenet sitt, er at SPF kommer med en grense for antall DNS-oppslag, som ikke kan overstige 10. For domener som er avhengige av flere tredjepartsleverandører, er de 10 DNS -oppslagsgrensen overstiger lett, noe som igjen bryter SPF og returnerer en SPF PermError. Mottaker -serveren ugyldiggjør automatisk SPF -posten i slike tilfeller og blokkerer den.

Mekanismer som starter DNS -oppslag: MX, A, INCLUDE, REDIRECT modifier

2) SPF ugyldig oppslag 

Ugyldige oppslag refererer til DNS -oppslag som enten returnerer NOERROR -svar eller NXDOMAIN -svar (ugyldig svar). Mens du implementerer SPF, anbefales det å sikre at DNS -oppslag ikke gir et ugyldig svar i utgangspunktet.

3) SPF rekursiv sløyfe

Denne feilen indikerer at SPF -posten for det angitte domenet inneholder rekursive problemer med en eller flere av INCLUDE -mekanismene. Dette skjer når et av domenene som er angitt i INCLUDE -taggen inneholder et domene hvis SPF -post inneholder INCLUDE -taggen til det opprinnelige domenet. Dette fører til en uendelig sløyfe som får e-postservere til kontinuerlig å utføre DNS-oppslag for SPF-postene. Dette fører til slutt til å overskride grensen på 10 DNS -oppslag, noe som resulterer i at e -postmeldinger ikke klarer SPF.

4) Syntaksfeil 

Det kan finnes en SPF -post i domenets DNS, men den er ikke til nytte hvis den inneholder syntaksfeil. Hvis SPF TXT -posten inneholder unødvendige hvite mellomrom mens du skriver domenenavnet eller mekanismens navn, vil strengen som går foran det ekstra plassen bli fullstendig ignorert av den mottakende serveren mens du utfører et oppslag, og dermed ugyldiggjøre SPF -posten.

5) Flere SPF -poster for samme domene

Et enkelt domene kan bare ha en SPF TXT -oppføring i DNS. Hvis domenet ditt inneholder mer enn én SPF -post, ugyldiggjør den mottakende serveren alle, noe som forårsaker at e -postmeldinger mislykkes i SPF.

6) Lengden på SPF -posten 

Maksimal lengde på en SPF -post i DNS er begrenset til 255 tegn. Imidlertid kan denne grensen overskrides, og en TXT -post for SPF kan inneholde flere strenger sammenkoblet, men ikke utover en grense på 512 tegn, for å passe til DNS -spørringssvaret (i henhold til RFC 4408 ). Selv om dette senere ble revidert, ville mottakere som stoler på eldre DNS -versjoner ikke kunne validere e -postmeldinger sendt fra domener som inneholder en lang SPF -post.

Optimalisering av SPF -oppføringen

For å raskt endre SPF -posten kan du bruke følgende gode fremgangsmåter for SPF:

  • Prøv å skrive ned e -postkildene dine i synkende rekkefølge fra venstre til høyre i SPF -posten
  • Fjern foreldede e -postkilder fra DNS
  • Bruk IP4/IP6 -mekanismer i stedet for A og MX
  • Hold antallet INCLUDE -mekanismer så lavt som mulig, og unngå nestede inkludert
  • Ikke publiser mer enn én SPF -post for det samme domenet i DNS
  • Sørg for at SPF -posten ikke inneholder redundante hvite mellomrom eller syntaksfeil

Merk: SPF-utflating anbefales ikke siden det ikke er en engangsavtale. Hvis e -posttjenesteleverandøren endrer infrastrukturen sin, må du endre SPF -postene tilsvarende hver gang.

Optimalisering av SPF -oppføringen din er enkel med PowerSPF

Du kan fortsette og prøve å implementere alle de ovennevnte modifikasjonene for å optimalisere SPF-posten manuelt, eller du kan glemme bryet og stole på vår dynamiske PowerSPF for å gjøre alt det for deg automatisk! PowerSPF hjelper deg med å optimalisere SPF -oppføringen din med et enkelt klikk, der du kan:

  • Legg til eller fjern sendekilder enkelt
  • Oppdater poster enkelt uten å måtte gjøre endringer i DNS manuelt
  • Få en optimalisert automatisk SPF -post med et enkelt klikk på en knapp
  • Hold deg til enhver tid under grensen på 10 DNS -oppslag
  • Lett PermError
  • Glem SPF -post syntaksfeil og konfigurasjonsproblemer
  • Vi tar bort byrden med å løse SPF -begrensninger på dine vegne

Registrer deg hos PowerDMARC i dag for å by på adferd til SPF -begrensninger for alltid!  

Hastigheten med hvilken e -post kommer til mottakernes innbokser kalles leveringshastigheten for e -post. Denne hastigheten kan bli redusert eller forsinket eller til og med føre til feil i leveringen når e -poster havner i spam -mappen eller blir blokkert av mottak av servere. Det er i hovedsak en viktig parameter for å måle suksessen til e -postene dine når ønsket mottakeres innbokser uten å bli merket som søppelpost. E -postgodkjenning er definitivt et av alternativene for autentisering som nybegynnere der ute kan ty til, for å se en betydelig forbedring i leveransen av e -post over tid.

I denne bloggen er vi her for å snakke med deg om hvordan du enkelt kan forbedre leveringsgraden for e -post og også diskutere den beste bransjepraksis for å sikre jevn flyt av meldinger på tvers av alle dine e -postkanaler!

Hva er e -postautentisering?

E -postautentisering er teknikken som brukes for å validere e -posten din for ektheten mot alle autoriserte kilder som har lov til å sende e -post fra domenet ditt. Det hjelper videre med å validere eierskapet til alle e -postoverføringsagenter (MTA) som er involvert i overføring eller endring av en e -post.

Hvorfor trenger du e -postautentisering?

Simple Mail Transfer Protocol (SMTP), som er internettstandarden for e -postoverføring, inneholder ingen funksjoner for å autentisere inngående og utgående e -post, slik at nettkriminelle kan utnytte mangelen på sikre protokoller i SMTP. Dette kan brukes av trusselaktører for å begå phishing -svindel via e -post, BEC og domenespoofing -angrep der de kan etterligne merkevaren din og skade omdømmet og troverdigheten. E -postautentisering forbedrer sikkerheten til domenet ditt mot etterligning og svindel, noe som indikerer for mottakende servere at e -postene dine er DMARC -kompatible og kommer fra gyldige og autentiske kilder. Det fungerer også som et sjekkpunkt for uautoriserte og ondsinnede IP -adresser som sender e -post fra domenet ditt.

For å beskytte merkevaren din, minimer cybertrusler, BEC og sikre forbedret leveringsrate, er e -postautentisering et must!

E -postautentisering Best Practices

Sender Policy Framework (SPF)

SPF er tilstede i DNS som en TXT -post, og viser alle gyldige kilder som er autorisert til å sende e -post fra domenet ditt. Hver e -post som forlater domenet ditt har en IP -adresse som identifiserer serveren din og e -posttjenesteleverandøren som brukes av domenet ditt, som er oppført i DNS som en SPF -post. Mottakerens e -postserver validerer e -posten mot SPF -posten for å autentisere den og markerer derfor e -posten som SPF -passering eller mislykket.

Vær oppmerksom på at SPF har en 10 DNS -oppslagsgrense, som overskrider et PermError -resultat og kan føre til SPF -feil. Dette kan reduseres ved å bruke PowerSPF til å holde deg under oppslagsgrensen til enhver tid!

DomainKeys Identified Mail (DKIM)

DKIM er en standard e -postgodkjenningsprotokoll som tilordner en kryptografisk signatur , opprettet ved hjelp av en privat nøkkel, for å validere e -postmeldinger på den mottakende serveren, der mottakeren kan hente den offentlige nøkkelen fra avsenderens DNS for å autentisere meldingene. I likhet med SPF, eksisterer DKIMs offentlige nøkkel også som en TXT -post i domeneeierens DNS.

Domenebasert meldingsautentisering, rapportering og samsvar (DMARC)

Bare implementering av SPF og DKIM er bare ikke nok siden det ikke er mulig for domeneeiere å kontrollere hvordan mottakende servere reagerer på e -postmeldinger som ikke klarer autentiseringskontroller.

DMARC er den mest brukte e -postgodkjenningsstandarden for tiden, som er utformet for å gi domeneeiere muligheten til å spesifisere overfor mottakende servere hvordan de skal håndtere meldinger som ikke klarer SPF eller DKIM eller begge deler. Dette hjelper igjen med å beskytte domenet sitt mot uautorisert tilgang og e -postforfalskningsangrep.

Hvordan kan DMARC forbedre leveransen av e -post?

  • Når du publiserer en DMARC -post i domenets DNS, ber domeneeieren om å motta servere som støtter DMARC, om å sende tilbakemelding på e -postene de mottar for det domenet, og automatisk indikere for mottakende servere at domenet ditt utvider støtte mot sikre protokoller og godkjenningsstandarder for e -post , som DMARC, SPF og DKIM.
  • DMARCs samlede rapporter hjelper deg med å få større synlighet i e -postøkosystemet ditt, slik at du kan se e -postautentiseringsresultatene dine, oppdage autentiseringsfeil og redusere leveringsproblemer.
  • Ved å håndheve DMARC -retningslinjene dine kan du blokkere ondsinnede e -poster som etterligner merkevaren din, fra å havne i innboksen til mottakerne.

Ytterligere tips for å forbedre leveransen av e -post:

  • Aktiver visuell identifisering av merkevaren din i mottakernes innbokser med BIMI
  • Sørg for TLS-kryptering av e-post under overføring med MTA-STS
  • Finn og svar på leveringsproblemer via e-post ved å aktivere omfattende rapporteringsmekanisme med TLS-RPT

PowerDMARC er en enkelt SaaS-plattform for e-postautentisering som kombinerer alle beste praksis for e-postautentisering som DMARC, SPF, DKIM, BIMI, MTA-STS og TLS-RPT, under samme tak. Registrer deg i dag med PowerDMARC og opplev en betydelig forbedring i leveransen av e -post med vår forbedrede e -postsikkerhet og autentiseringspakke.

Business Email Compromise eller BEC er en form for brudd på e-postsikkerhet eller etterligningsangrep som påvirker kommersielle, offentlige, ideelle organisasjoner, små bedrifter og oppstart, så vel som multinationale selskaper og foretak for å hente ut konfidensielle data som kan påvirke merkevaren eller organisasjonen negativt. Spyd phishing -angrep, fakturasvindel og spoofing -angrep er alle eksempler på BEC.

Cyberkriminelle er ekspertplanleggere som bevisst retter seg mot bestemte personer i en organisasjon, spesielt de i autoritære stillinger som administrerende direktør eller noen lignende, eller til og med en pålitelig kunde. Den verdensomspennende økonomiske effekten på grunn av BEC er enorm, spesielt i USA som har dukket opp som det viktigste knutepunktet. Les mer om det globale BEC -svindelvolumet . Løsningen? Bytt til DMARC !

Hva er DMARC?

Domenebasert meldingsautentisering, rapportering og samsvar (DMARC) er en industristandard for e-postautentisering. Denne godkjenningsmekanismen spesifiserer for mottak av servere hvordan de skal svare på e -postmeldinger som ikke klarer SPF- og DKIM -godkjenningskontroller. DMARC kan minimere sjansene for at merkevaren ditt faller byttedyr BEC -angrep med en betydelig prosentandel, og bidra til å beskytte merkevarens omdømme, konfidensiell informasjon og økonomiske eiendeler.

Vær oppmerksom på at før du publiserer en DMARC -post, må du implementere SPF og DKIM for domenet ditt siden DMARC -autentisering bruker disse to standard godkjenningsprotokollene for å validere meldinger sendt på vegne av domenet ditt.

Du kan bruke vår gratis SPF Record Generator og DKIM Record Generator til å generere poster som skal publiseres i domenets DNS.

Hvordan optimalisere DMARC -posten din for å beskytte mot BEC?

For å beskytte domenet ditt mot Business Email Compromise, samt muliggjøre en omfattende rapporteringsmekanisme for å overvåke autentiseringsresultater og få full oversikt over e -postens økosystem, anbefaler vi deg å publisere følgende DMARC -postsyntaks i domenets DNS:

v = DMARC1; p = avvise; rua = mailto: [email protected]; ruf = mailto: [email protected]; fo = 1;

Forstå taggene som ble brukt under generering av en DMARC -post:

v (obligatorisk)Denne mekanismen spesifiserer versjonen av protokollen.
p (obligatorisk)Denne mekanismen spesifiserer DMARC -retningslinjene som brukes. Du kan sette DMARC -retningslinjene til å:

p = none (DMARC for overvåking bare der e -postmeldinger som ikke godkjenner kontroller fortsatt vil havne i mottakernes innbokser). p = karantene (DMARC ved håndhevelse, der e -post som ikke godkjenner kontroller, blir satt i karantene eller lagt inn i spam -mappen).

p = refusere (DMARC ved maksimal håndhevelse, der e -postmeldinger som ikke godkjenner kontroller, blir kastet eller ikke blir levert i det hele tatt).

For nybegynnere av autentisering, anbefales det å begynne med retningslinjene dine kun for å overvåke (p = none) og deretter sakte gå over til håndhevelse. Men for denne bloggen, hvis du vil beskytte domenet ditt mot BEC, er p = reject anbefalte retningslinjer for å sikre maksimal beskyttelse.

sp (valgfritt)Denne taggen angir retningslinjene for underdomener som kan settes til sp = none/karantene/avvis og ber om retningslinjer for alle underdomener der e -postmeldinger ikke klarer DMARC -godkjenning.

Denne taggen er bare nyttig hvis du ønsker å angi en annen policy for hoveddomenet og underdomenene. Hvis den ikke er spesifisert, blir den samme politikken som standard pålagt alle underdomenene dine.

adkim (valgfritt)Denne mekanismen spesifiserer DKIM -identifikasjonsjusteringsmodus som kan settes til s (streng) eller r (avslappet).

Streng justering spesifiserer at d = -feltet i DKIM -signaturen til e -posthodet må samsvare og matche nøyaktig med domenet som finnes i fra -overskriften.

For avslappet justering må imidlertid de to domenene bare dele det samme organisasjonsdomenet.

aspf (valgfritt) Denne mekanismen spesifiserer SPF -identifikatorjusteringsmodus som kan settes til s (streng) eller r (avslappet).

Streng justering angir at domenet i "Return-path" -overskriften må justere og matche nøyaktig med domenet som finnes i from-headeren.

For avslappet justering må imidlertid de to domenene bare dele det samme organisasjonsdomenet.

rua (valgfritt, men anbefalt)Denne taggen angir DMARC -aggregatrapportene som sendes til adressen som er angitt etter mailto: -feltet, og gir innsikt i e -post som sendes og DMARC som ikke fungerer.
ruf (valgfritt, men anbefalt)Denne taggen angir de rettsmessige rapportene DMARC som skal sendes til adressen som er angitt etter feltet mailto: :. Rettsmedisinske rapporter er rapporter på meldingsnivå som gir mer detaljert informasjon om autentiseringsfeil. Siden disse rapportene kan inneholde e -postinnhold, er det best å kryptere dem.
pct (valgfritt)Denne taggen angir prosentandelen e -poster som DMARC -retningslinjene gjelder for. Standardverdien er satt til 100.
fo (valgfritt, men anbefalt)De rettsmedisinske alternativene for din DMARC -post kan settes til:

-> DKIM og SPF passerer eller justerer ikke (0)

-> DKIM eller SPF passerer eller justerer ikke (1)

-> DKIM passerer eller justerer ikke (d)

-> SPF passerer eller justerer ikke

Den anbefalte modusen er fo = 1 som angir at rettsmedisinske rapporter skal genereres og sendes til domenet ditt når e -postmeldinger mislykkes med enten DKIM- eller SPF -godkjenningskontroll.

Du kan generere din DMARC -post med PowerDMARCs gratis DMARC Record Generator, der du kan velge feltene i henhold til håndhevelsesnivået du ønsker.

Vær oppmerksom på at bare en håndhevelsespolicy for avvisning kan minimere BEC og beskytte domenet ditt mot spoofing og phishing -angrep.

Selv om DMARC kan være en effektiv standard for å beskytte virksomheten din mot BEC, krever implementering av DMARC riktig innsats og ressurser. Enten du er en nybegynner av autentisering eller en autentisering, som pionerer innen e-postautentisering, er PowerDMARC en enkelt SaaS-plattform for e-postautentisering som kombinerer alle beste praksis for e-postautentisering som DMARC, SPF, DKIM, BIMI, MTA-STS og TLS-RPT, under samme tak for deg. Vi hjelper deg:

  • Skift fra overvåking til håndhevelse på kort tid for å holde BEC i sjakk
  • Våre samlede rapporter genereres i form av forenklede diagrammer og tabeller for å hjelpe deg med å forstå dem enkelt uten å måtte lese komplekse XML -filer
  • Vi krypterer dine rettsmedisinske rapporter for å ivareta personvernet til informasjonen din
  • Se godkjenningsresultatene dine i 7 forskjellige formater (per resultat, per sendekilde, per organisasjon, per vert, detaljert statistikk, geolokaliseringsrapporter, per land) på vårt brukervennlige dashbord for optimal brukeropplevelse
  • Få 100% DMARC -samsvar ved å justere e -postene dine mot både SPF og DKIM, slik at e -postmeldinger som ikke feiler noen av godkjenningskontrollpunktene, ikke kommer til mottakernes innbokser

Hvordan beskytter DMARC mot BEC?

Så snart du setter DMARC -retningslinjene til maksimal håndhevelse (p = avslå), beskytter DMARC merkevaren din mot e -postsvindel ved å redusere sjansen for etterligningsangrep og domenemishandling. Alle innkommende meldinger valideres mot SPF og DKIM e -postautentiseringskontroller for å sikre at de kommer fra gyldige kilder.

SPF er tilstede i DNS som en TXT -post, og viser alle gyldige kilder som er autorisert til å sende e -post fra domenet ditt. Mottakerens e -postserver validerer e -posten mot SPF -posten for å autentisere den. DKIM tildeler en kryptografisk signatur, opprettet ved hjelp av en privat nøkkel, for å validere e -postmeldinger på den mottakende serveren, der mottakeren kan hente den offentlige nøkkelen fra avsenderens DNS for å autentisere meldingene.

Med avvisningspolicyen din blir det ikke sendt e -post til mottakerens postboks i det hele tatt når godkjenningskontrollene mislykkes, noe som indikerer at merket ditt etterlignes. Dette holder til slutt BEC som spoofing og phishing -angrep i sjakk.

PowerDMARCs grunnplan for små bedrifter

Vår grunnplan starter fra bare 8 USD per måned, så små bedrifter og oppstart som prøver å vedta sikre protokoller som DMARC, kan enkelt benytte seg av den. Fordelene du vil ha til rådighet med denne planen er som følger:

Registrer deg hos PowerDMARC i dag og beskytt merkevarenes domene ved å minimere sjansene for kompromisser med e -post og bedrageri på e -post!

I 1982, da SMTP først ble spesifisert, inneholdt den ingen mekanisme for å gi sikkerhet på transportnivå for å sikre kommunikasjon mellom postoverføringsagentene. I 1999 ble imidlertid STARTTLS-kommandoen lagt til SMTP som igjen støttet kryptering av e-post mellom serverne, noe som gir muligheten til å konvertere en usikker tilkobling til en sikker som er kryptert ved hjelp av TLS-protokoll.

Kryptering er imidlertid valgfri i SMTP, noe som innebærer at e -post kan sendes selv i ren tekst. Mail Transfer Agent-Strict Transport Security (MTA-STS) er en relativt ny standard som gir e-postleverandører muligheten til å håndheve Transport Layer Security (TLS) for å sikre SMTP-tilkoblinger, og angi om de sender SMTP-serverne skal nekte å levere e-post til MX -verter som ikke tilbyr TLS med et pålitelig serversertifikat. Det har vist seg å lykkes med å redusere TLS-nedgraderingsangrep og Man-In-The-Middle (MITM) -angrep. SMTP TLS-rapportering (TLS-RPT) er en standard som muliggjør rapportering av problemer i TLS-tilkobling som oppleves av applikasjoner som sender e-post og oppdager feilkonfigurasjoner. Det muliggjør rapportering av e -postleveringsproblemer som oppstår når en e -post ikke er kryptert med TLS. I september 2018 ble standarden først dokumentert i RFC 8460.

Hvorfor krever e -postene dine kryptering i transitt?

Hovedmålet er å forbedre transportnivået under SMTP-kommunikasjon og sikre personvernet til e-posttrafikk. Videre forbedrer kryptering av innkommende og utgående meldinger informasjonssikkerheten ved å bruke kryptografi for å beskytte elektronisk informasjon. Videre har kryptografiske angrep som Man-In-The-Middle (MITM) og TLS Downgrade blitt stadig mer populær i nyere tid og har blitt en vanlig praksis blant cyberkriminelle, som kan unngås ved å håndheve TLS-kryptering og utvide støtten til sikre protokoller.

Hvordan startes et MITM -angrep?

Siden kryptering måtte ettermonteres i SMTP -protokollen, må oppgraderingen for kryptert levering stole på en STARTTLS -kommando som sendes i klar tekst. En MITM -angriper kan enkelt utnytte denne funksjonen ved å utføre et nedgraderingsangrep på SMTP -tilkoblingen ved å manipulere oppgraderingskommandoen, og tvinge klienten til å gå tilbake til å sende e -posten i ren tekst.

Etter å ha snappet opp kommunikasjonen kan en MITM -angriper enkelt stjele den dekrypterte informasjonen og få tilgang til innholdet i e -posten. Dette er fordi SMTP er bransjestandarden for postoverføring, bruker opportunistisk kryptering, noe som innebærer at kryptering er valgfri og e -post fortsatt kan leveres i klartekst.

Hvordan starter et TLS -nedgraderingsangrep?

Siden kryptering måtte ettermonteres i SMTP -protokollen, må oppgraderingen for kryptert levering stole på en STARTTLS -kommando som sendes i klar tekst. En MITM -angriper kan utnytte denne funksjonen ved å utføre et nedgraderingsangrep på SMTP -tilkoblingen ved å manipulere oppgraderingskommandoen. Angriperen kan ganske enkelt erstatte STARTTLS med en streng som klienten ikke klarer å identifisere. Derfor faller klienten lett tilbake til å sende e -posten i ren tekst.

Kort sagt, et nedgraderingsangrep blir ofte lansert som en del av et MITM -angrep, for å lage en vei for å muliggjøre et angrep som ikke ville være mulig i tilfelle en forbindelse som er kryptert over den siste versjonen av TLS -protokollen, ved å erstatte eller slette STARTTLS -kommandoen og tilbakestille kommunikasjonen til klar tekst.

Bortsett fra å forbedre informasjonssikkerheten og dempe gjennomgripende overvåkingsangrep, løser kryptering av meldinger i transitt også flere SMTP -sikkerhetsproblemer.

Oppnå tvungen TLS-kryptering av e-post med MTA-STS

Hvis du ikke klarer å transportere e -postene dine over en sikker tilkobling, kan dataene dine bli kompromittert eller endret og manipulert av en cyberangriper. Her er det hvor MTA-STS går inn og løser dette problemet, noe som muliggjør trygg transitt for e-postene dine, samt vellykket lindring av kryptografiske angrep og forbedring av informasjonssikkerheten ved å håndheve TLS-kryptering. Enkelt sagt, MTA-STS håndhever e-postene som skal overføres via en TLS-kryptert bane, og hvis en kryptert forbindelse ikke kan opprettes, blir e-posten ikke levert i det hele tatt, i stedet for å bli levert i klartekst. Videre lagrer MTAer MTA-STS policy-filer, noe som gjør det vanskeligere for angriperne å starte et DNS-spoofing-angrep.

 

MTA-STS gir beskyttelse mot:

  • Nedgrader angrep
  • Man-In-The-Middle (MITM) angrep
  • Det løser flere SMTP -sikkerhetsproblemer, inkludert utløpte TLS -sertifikater og mangel på støtte for sikre protokoller.

Store e-postleverandører som Microsoft, Oath og Google støtter MTA-STS. Google, som er den største aktøren i bransjen, oppnår midtpunktet mens den tar i bruk en hvilken som helst protokoll, og vedtakelsen av MTA-STS av google indikerer utvidet støtte til sikre protokoller og fremhever viktigheten av e-postkryptering under transport.

Feilsøking av problemer i e-postlevering med TLS-RPT

SMTP TLS Reporting gir domeneeiere diagnostiske rapporter (i JSON -filformat) med detaljerte detaljer om e -postmeldinger som har blitt sendt til domenet ditt og står overfor leveringsproblemer, eller som ikke kunne leveres på grunn av et nedgraderingsangrep eller andre problemer, slik at du kan løse problemet proaktivt. Så snart du aktiverer TLS-RPT, vil godkjente e-postoverføringsagenter begynne å sende diagnoserapporter angående e-postleveringsproblemer mellom kommunikasjonsservere til det angitte e-postdomenet. Rapportene sendes vanligvis en gang om dagen, og dekker og formidler MTA-STS-retningslinjene observert av avsendere, trafikkstatistikk samt informasjon om feil eller problemer ved levering av e-post.

Behovet for å distribuere TLS-RPT:

  • Hvis en e -post ikke blir sendt til mottakeren på grunn av et problem med leveringen, vil du bli varslet.
  • TLS-RPT gir forbedret synlighet på alle e-postkanalene dine, slik at du får bedre innsikt i alt som skjer på domenet ditt, inkludert meldinger som ikke blir levert.
  • TLS-RPT gir grundige diagnostiske rapporter som lar deg identifisere og komme til roten til e-postleveringsproblemet og fikse det uten forsinkelse.

Vedta MTA-STS og TLS-RPT gjort enkelt og raskt av PowerDMARC

MTA-STS krever en HTTPS-aktivert webserver med et gyldig sertifikat, DNS-poster og konstant vedlikehold. PowerDMARC gjør livet ditt mye enklere ved å håndtere alt dette for deg, helt i bakgrunnen- fra generering av sertifikater og MTA-STS policy-filer til håndhevelse av politikk, hjelper vi deg med å unngå de enorme kompleksitetene som er involvert i vedtakelsen av protokollen. Når vi hjelper deg med å konfigurere det med bare noen få klikk, trenger du ikke engang tenke på det igjen.

Ved hjelp av PowerDMARCs e- postautentiseringstjenester kan du distribuere Hosted MTA-STS i organisasjonen din uten problemer og i et veldig raskt tempo, ved hjelp av hvilken du kan håndheve e-post som skal sendes til domenet ditt via en TLS-kryptert tilkobling, og dermed gjøre tilkoblingen din sikker og holde MITM -angrep i sjakk.

PowerDMARC gjør livet ditt enklere ved å gjøre implementeringsprosessen for SMTP TLS Reporting (TLS-RPT) lett og rask, lett tilgjengelig. Så snart du registrerer deg hos PowerDMARC og aktiverer SMTP TLS -rapportering for domenet ditt, tar vi smerten av å konvertere de kompliserte JSON -filene som inneholder rapportene dine om e -postleveringsproblemer, til enkle, lesbare dokumenter (per resultat og per sendingskilde), som du kan enkelt gå gjennom og forstå! PowerDMARCs plattform oppdager og videreformidler automatisk problemene du står overfor i e -postlevering, slik at du raskt kan løse og løse dem på kort tid!

Registrer deg for å få din gratis DMARC i dag!

Hvis du er her og leser denne bloggen, er det sannsynlig at du har støtt på en av de tre vanlige meldingene:

  • Ingen DMARC -registrering 
  • Fant ingen DMARC -post 
  • DMARC -post mangler
  • DMARC -posten ble ikke funnet 
  • Ingen DMARC -rekord publisert 
  • DMARC -retningslinjene er ikke aktivert
  • Kan ikke finne DMARC -posten

Uansett betyr dette bare at domenet ditt ikke er konfigurert med den mest anerkjente og populært brukte e- postgodkjenningsstandarden- Domenebasert meldingsautentisering, rapportering og samsvar eller DMARC. La oss se på hva det er:

Hva er DMARC og hvorfor trenger du e -postautentisering for domenet ditt?

For å lære om hvordan du løser problemet "Ingen DMARC -registrering funnet", la oss lære hva DMARC handler om. DMARC er den mest brukte e -postgodkjenningsstandarden for tiden, som er designet for å gi domeneeiere muligheten til å spesifisere overfor mottakende servere hvordan de skal håndtere meldinger som mislykkes godkjenningskontroller. Dette hjelper igjen med å beskytte domenet sitt mot uautorisert tilgang og e -postforfalskningsangrep. DMARC bruker populære standard godkjenningsprotokoller for å validere innkommende og utgående meldinger fra domenet ditt.

Beskytt bedriften din mot etterligningsangrep og spoofing med DMARC

Visste du at e -post er den enkleste måten cyberkriminelle kan misbruke merkenavnet ditt?

Ved å bruke domenet ditt og etterligne merkevaren din, kan hackere sende ondsinnet phishing -e -post til dine egne ansatte og kunder. Siden SMTP ikke er utstyrt med sikre protokoller mot falske "From" -felt, kan en angriper smi e -postoverskrifter til å sende falske e -poster fra domenet ditt. Dette vil ikke bare kompromittere sikkerheten i organisasjonen din, men det vil skade merkevarenes rykte alvorlig.

E -postforfalskning kan føre til BEC (Business Email Compromise), tap av verdifull bedriftsinformasjon, uautorisert tilgang til konfidensielle data, økonomisk tap og reflektere dårlig om merkevarens image. Selv etter at du har implementert SPF og DKIM for domenet ditt, kan du ikke forhindre cyberkriminelle i å etterligne domenet ditt. Dette er grunnen til at du trenger en e -postgodkjenningsprotokoll som DMARC, som autentiserer e -post med både de nevnte protokollene og spesifiserer for mottak av servere til dine klienter, ansatte og partnere hvordan du svarer hvis en e -post er fra en uautorisert kilde og ikke godkjenner kontroller. Dette gir deg maksimal beskyttelse mot eksakte domeneangrep og hjelper deg med å ha full kontroll over bedriftens domene.

Videre kan du ved hjelp av en effektiv e -postgodkjenningsstandard som DMARC forbedre e -postleveringshastigheten, rekkevidden og tilliten din.

 


Legger til den manglende DMARC -posten for domenet ditt

Det kan være irriterende og forvirrende å komme over meldinger som sier "Vertsnavn returnerte en manglende eller ugyldig DMARC -post" når du leter etter et domenes DMARC -post mens du bruker elektroniske verktøy.

For å fikse problemet "Ingen DMARC -post funnet" for domenet ditt, er alt du trenger å gjøre å legge til en DMARC -post for domenet ditt. Når du legger til en DMARC -post, publiseres i hovedsak en tekst (TXT) -post i domenets DNS, i _ dmarc.example.com -underdomenet i samsvar med DMARC -spesifikasjonene. En DMARC TXT -post i DNS kan se slik ut:

v = DMARC1; p = ingen; rua = mailto: [email protected]

Og Voila! Du har løst meldingen "Ingen DMARC -post funnet" ettersom domenet ditt nå er konfigurert med DMARC -godkjenning og inneholder en DMARC -post.

Men er dette nok? Svaret er nei. Bare å legge til en DMARC TXT -post til DNS kan løse den manglende DMARC -ledeteksten, men det er ganske enkelt ikke nok til å dempe etterligningsangrep og forfalskning.

Implementer DMARC på riktig måte med PowerDMARC

PowerDMARC hjelper organisasjonen din med å oppnå 100% DMARC -samsvar ved å tilpasse autentiseringsstandarder, og hjelpe deg med å bytte fra overvåking til håndhevelse på kort tid, ved å løse meldingen "ingen DMARC -rekord funnet" på kort tid! Videre genererer vårt interaktive og brukervennlige dashbord automatisk:

  • Samlede rapporter (RUA) for alle dine registrerte domener, som er forenklet og konvertert til lesbare tabeller og diagrammer fra komplekse XML -filformater for din forståelse.
  • Rettsmedisinske rapporter (RUF) med kryptering

For å redusere "ingen DMARC -registrering funnet" er alt du trenger å gjøre:

DMARC -retningslinjene kan settes til:

  • p = none (DMARC er bare satt til overvåking, der e -postmeldinger som ikke godkjenner godkjenning fremdeles vil bli levert til mottakerens innbokser, men du vil motta samlede rapporter som informerer deg om autentiseringsresultatene)
  • p = karantene (DMARC er satt på håndhevelsesnivå, der e -postmeldinger som ikke godkjenner autentisering vil bli levert til spam -boksen i stedet for mottakerens innboks)
  • p = refusere (DMARC er satt til maksimalt håndhevelsesnivå, der e -postmeldinger som ikke godkjennes enten vil bli slettet eller ikke levert i det hele tatt)

Hvorfor PowerDMARC?

PowerDMARC er en enkelt SaaS-plattform for e-postautentisering som kombinerer alle beste praksis for e-postautentisering som DMARC, SPF, DKIM, BIMI, MTA-STS og TLS-RPT, under samme tak. Vi gir optimal synlighet i ditt e -postøkosystem ved hjelp av våre detaljerte samlede rapporter og hjelper deg med å automatisk oppdatere endringer i dashbordet ditt uten at du trenger å oppdatere DNS -en manuelt.

Vi skreddersyr løsninger for domenet ditt og håndterer alt for deg helt i bakgrunnen, helt fra konfigurasjon til oppsett til overvåking. Vi hjelper deg med å implementere DMARC riktig for å holde etterligningsangrep i sjakk!

registrer deg hos PowerDMARC for å konfigurere DMARC for domenet ditt riktig i dag!

Domenebasert meldingsautentisering, rapportering og samsvar er den mest anerkjente e-postautentiseringsprotokollen i nyere tid, som kan hjelpe små bedrifter, så vel som multinasjonale virksomheter, å redusere etterligning, e-postforfalskningsangrep og BEC. DMARC bruker to av de eksisterende eksisterende protokollene på arenaen for e -postautentisering, nemlig SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail). DMARC-løsninger kan hjelpe til med å validere hver inngående og utgående e-post for autentisitet og dempe e-postbaserte angrep og sikkerhetsbrudd.

Når du velger den beste DMARC -programvareløsningen for virksomheten din, må du se etter noen få grunnleggende funksjoner som løsningen må inneholde! La oss diskutere hva de er:

Et brukervennlig oversikt

Et brukervennlig dashbord som gir deg full oversikt over e-postens økosystem og effektivt viser rapporter om e-post som passerer og svikter DMARC-godkjenning fra domenet ditt i et lesbart og forståelig format, er avgjørende. Dette er et av de viktigste punktene du må passe på når du velger den beste DMARC -programvareløsningen for din bedrift.

Detaljert samlet og rettsmedisinsk rapportering

Det er uunnværlig at din DMARC -løsning har en omfattende rapporteringsmekanisme. Aggregerte og rettsmedisinske rapporter er både avgjørende for å overvåke trusler og konfigurere godkjenningsprotokoller.

Detaljerte DMARC -aggregatrapporter genereres i et XML -filformat. For en ikke-teknisk person kan disse postene virke uutslettelige. Den beste DMARC -programvareløsningen for organisasjonen din vil skjule disse uforståelige samlede rapportene fra komplekse XML -filer til informasjon du enkelt kan forstå som lar deg analysere resultatene og gjøre nødvendige endringer

For små og mellomstore bedrifter så vel som MNC -er gir rettsmedisinske rapporter verdifull innsikt i e -postøkosystemet ditt, som genereres hver gang en e -post sendt fra domenet ditt mislykkes med DMARC. De gir detaljert informasjon om individuelle e -poster som mislyktes med autentisering for å oppdage forfalskningsforsøk og fikse problemer i e -postlevering i et raskt tempo.

DMARC rettsmedisinske rapporter kryptering

DMARC Rettsmedisinske rapporter inneholder data om hver enkelt e -post som mislyktes med DMARC. Dette innebærer at de potensielt kan inneholde konfidensiell informasjon som var tilstede i disse e -postene. Dette er grunnen til at når du velger den beste DMARC -programvareløsningen for virksomheten din, bør du velge en tjenesteleverandør som verdsetter personvernet ditt, og lar deg kryptere de rettsmedisinske rapportene slik at bare autoriserte brukere har tilgang til dem.

SPF og DKIM -justering

Selv om DMARC -samsvar kan oppnås ved SPF- eller DKIM -justering, er det å foretrekke å justere e -postene dine mot begge godkjenningsstandardene. Med mindre e -postene dine er justert og autentisert mot både SPF- og DKIM -godkjenningsprotokoller og bare er avhengige av SPF for validering, er det en sjanse for at legitime e -poster fortsatt kan mislykkes med DMARC -godkjenning (som for videresendte meldinger). Dette er fordi IP -adressen til mellomserveren ikke er inkludert i SPF -posten på domenet ditt, og dermed svikter SPF.

Imidlertid, med mindre e -postteksten blir endret under videresending, beholdes DKIM -signaturen av e -posten, som kan brukes til å validere ektheten. Den beste DMARC -programvareløsningen for virksomheten din vil sørge for at alle innkommende og utgående meldinger er justert mot både SPF og DKIM.

Holder deg under 10 DNS -oppslagsgrense

SPF -poster har en grense på 10 DNS -oppslag. Hvis organisasjonen din har en bred operasjonsbase eller du er avhengig av tredjepartsleverandører for å sende e-post på dine vegne, kan SPF-posten din lett overskride grensen og treffe permerror. Dette ugyldiggjør implementeringen av SPF, og gjør at e -postene dine uunngåelig mislykkes i SPF. Dette er grunnen til at du bør søke etter en løsning som hjelper deg med å optimalisere SPF -posten din for alltid å holde deg under 10 DNS -oppslagsgrensen for å redusere SPF -permerror!

En interaktiv og effektiv installasjonsveiviser

Når du velger den beste DMARC -programvareløsningen for organisasjonen din, bør du ikke glemme installasjonsprosessen. En interaktiv og effektiv installasjonsveiviser som er designet med enkelhet og brukervennlighet i tankene, og som tar deg gjennom prosessen med å skrive inn domenenavnet ditt til å sette DMARC -policyen din til å generere din egen DMARC -post på en synkronisert og metodisk måte, er behovet for timen! Det vil hjelpe deg med å sette deg ned sømløst og forstå alle innstillinger og funksjoner på dashbordet innen minst mulig tid.

Planlegge Executive PDF -rapporter

Med en effektiv DMARC -løsning for organisasjonen din, kan du konvertere DMARC -rapportene dine til praktiske PDF -lesbare dokumenter som kan deles med hele teamet ditt. Avhengig av dine behov, kan du få dem til å bli sendt til e -posten din regelmessig eller bare generere dem på forespørsel.

 

Arrangerte BIMI -post

Brand Indicators for Message Identification eller BIMI, lar e -postmottakerne visuelt identifisere din unike merkevarelogo i innboksen, og være trygg på at e -posten er fra en autentisk kilde. En effektiv tjenesteleverandør kan koble deg til BIMI -implementering sammen med standard autentiseringsprotokoller som DMARC, SPF og DKIM, og dermed forbedre merkevarens tilbakekalling og opprettholde merkevarens rykte og integritet.

Plattformsikkerhet og konfigurasjon

En effektiv DMARC-løsning vil gjøre arbeidet ditt enkelt ved å oppdage alle underdomenene dine automatisk, i tillegg til å tilby tofaktorautentisering for å muliggjøre absolutt sikkerhet for autentiseringsplattformen.

Trusselintelligens

For bedre synlighet og innsikt er det du trenger en AI-drevet Threat Intelligence (TI) -motor som aktivt forankrer mistenkelige IP-adresser og sjekker dem mot en live, oppdatert svarteliste med kjente overgripere, slik at du kan få dem fjernet. Dette vil beskytte deg mot ondsinnede aktiviteter og gjentatte tilfeller av domenemishandling i fremtiden.

Et proaktivt støtteteam

Når du implementerer DMARC i organisasjonen din og genererer samlede rapporter, trenger du et proaktivt støtteteam som er tilgjengelig døgnet rundt for å hjelpe deg med å redusere problemer i konfigurasjonen selv etter ombordstigning, hele tiden du bruker tjenestene deres.

PowerDMARC analyseverktøy

Vårt DMARC Analyzer Tool er effektivt nok til å ta deg gjennom hele implementeringsprosessen og hjelpe deg med å gå fra overvåking til DMARC -håndhevelse og 100% DMARC -samsvar på minst mulig tid. Vår avanserte DMARC -programvareløsning vil hjelpe deg med å konfigurere domenet ditt, DMARC -retningslinjene og samlede rapporter og hjelpe deg med å få fullstendig oversikt over e -postøkosystemet ditt tidligst. Fra hostet BIMI-rekordgenerering, til rettsmedisinsk rapportering med kryptering, PowerDMARC er din eneste destinasjon for den ultimate e-postsikkerhetspakken.

Når du velger en DMARC -løsning for organisasjonen din, er det viktig å betro til en tjenesteleverandør som tilbyr førsteklasses teknologi til rimelige priser. Registrer deg for å få din gratis DMARC -prøveperiode i dag med PowerDMARC!