Innlegg

Standarder for e -postgodkjenning: SPF, DKIM og DMARC viser løfte om å kutte ned på e -postforfalskning og forbedre e -postleveransen. Mens du skiller falske (falske) e -poster fra legitime, går standarder for e -postgodkjenning videre når det gjelder å skille mellom om en e -post er legitim ved å verifisere avsenderens identitet.

Etter hvert som flere organisasjoner vedtar disse standardene, vil det overordnede budskapet om tillit og autoritet i e -postkommunikasjon begynne å gjøre seg gjeldende. Hver virksomhet som er avhengig av e -postmarkedsføring, prosjektforespørsler, finansielle transaksjoner og generell utveksling av informasjon i eller på tvers av bedrifter, må forstå det grunnleggende om hva disse løsningene er designet for å oppnå og hvilke fordeler de kan få ut av dem.

Hva er e -postforfalskning?

E -postforfalskning er et vanlig problem med cybersikkerhet som virksomheter opplever i dag. I denne artikkelen vil vi forstå hvordan spoofing fungerer og de forskjellige metodene for å bekjempe det. Vi vil lære om de tre godkjenningsstandardene som brukes av e -postleverandører - SPF, DKIM og DMARC for å stoppe det.

E -postforfalskning kan klassifiseres som et avansert sosialteknisk angrep som bruker en kombinasjon av sofistikerte teknikker for å manipulere meldingsmiljøet og utnytte legitime funksjoner i e -post. Disse e -postene vil ofte virke helt legitime, men de er designet med den hensikt å få tilgang til informasjonen og/eller ressursene dine. E -postforfalskning brukes til en rekke formål, alt fra forsøk på å begå svindel, brudd på sikkerheten og til og med for å prøve å få tilgang til konfidensiell forretningsinformasjon. Som en veldig populær form for forfalskning av e -post, har spoofing -angrep som mål å lure mottakere til å tro at en e -post ble sendt fra en virksomhet de bruker og kan stole på, i stedet for den faktiske avsenderen. Ettersom e -poster stadig blir sendt og mottatt i bulk, har denne ondsinnede formen for e -post -svindel økt dramatisk de siste årene.

Hvordan kan e -postautentisering forhindre spoofing?

E -postautentisering hjelper deg med å bekrefte kilder til å sende e -post med protokoller som SPF, DKIM og DMARC for å forhindre at angriperne forfalsker domenenavn og starter spoofing -angrep for å lure intetanende brukere. Den gir verifiserbar informasjon om e -postavsendere som kan brukes til å bevise sin legitimitet og spesifisere for mottak av MTAs hva de skal gjøre med e -postmeldinger som ikke klarer autentisering.

Derfor, for å få de forskjellige fordelene med e -postautentisering, kan vi bekrefte at SPF, DKIM og DMARC hjelper til med:

  • Beskytt domenet ditt mot phishing -angrep, domenespoofing og BEC
  • Tilbyr detaljert informasjon og innsikt i kilder til å sende e -post
  • Forbedring av domeneromdømme og leveringspriser på e -post
  • Forhindre at din legitime e -post blir merket som søppelpost

Hvordan jobber SPF, DKIM og DMARC sammen for å stoppe forfalskning?

Avsenderpolitikkramme

SPF er en e -postautentiseringsteknikk som brukes for å forhindre at spammere sender meldinger på vegne av domenet ditt. Med den kan du publisere autoriserte e -postservere, slik at du kan angi hvilke e -postservere som har lov til å sende e -post på vegne av domenet ditt. En SPF -post er lagret i DNS, som viser alle IP -adressene som er autorisert til å sende e -post til organisasjonen din.

Hvis du vil utnytte SPF på en måte som sikrer at den fungerer som den skal, må du sørge for at SPF ikke går i stykker for e -postene dine. Dette kan skje i tilfelle du overskrider grensen for 10 DNS -oppslag og forårsaker SPF -permerror . SPF -utflating kan hjelpe deg med å holde deg under grensen og autentisere e -postene dine sømløst.

DomainKeys Identified Mail

Å etterligne en pålitelig avsender kan brukes til å lure mottakeren til å svikte sin vakt. DKIM er en sikkerhetsløsning for e -post som legger til en digital signatur for hver melding som kommer fra kundens innboks, slik at mottakeren kan bekrefte at den faktisk var godkjent av domenet ditt og gå inn på nettstedets pålitelige liste over avsendere.

DKIM fester en unik hash -verdi, knyttet til et domenenavn, til hver utgående e -postmelding, slik at mottakeren kan kontrollere at en e -post som hevder å ha kommet fra et bestemt domene, faktisk var autorisert av eieren av domenet eller ikke. Dette hjelper til slutt med å ta opp forfalskningsforsøk.

Domenebasert meldingsautentisering, rapportering og samsvar

Bare implementering av SPF og DKIM kan hjelpe til med å verifisere sendekilder, men er ikke effektivt nok til å stoppe spoofing på egen hånd. For å stoppe cyberkriminelle fra å levere falske e -poster til mottakerne dine, må du implementere DMARC i dag. DMARC hjelper deg med å justere e -postoverskrifter for å bekrefte e -post fra adresser, avsløre forfalskningsforsøk og uredelig bruk av domenenavn. Videre gir det domeneeiere makt til å spesifisere for e -postmottakende servere hvordan de skal svare på e -postmeldinger som ikke gir SPF- og DKIM -godkjenning. Domeneeiere kan velge å levere, karantene og avvise falske e -poster basert på graden av DMARC -håndhevelse de trenger.

Merk: Bare en DMARC -retningslinje for avvisning lar deg stoppe forfalskning.

I tillegg tilbyr DMARC også en rapporteringsmekanisme for å gi domeneeiere synlighet på e -postkanalene og autentiseringsresultater. Ved å konfigurere DMARC -rapportanalysatoren kan du regelmessig overvåke e -postdomenene dine med detaljert informasjon om kilder til e -post, e -postautentiseringsresultater, geolokaliseringer av uredelige IP -adresser og den generelle ytelsen til e -postene dine. Det hjelper deg med å analysere DMARC -dataene dine i et organisert og lesbart format, og iverksette tiltak mot angripere raskere.

Til syvende og sist kan SPF, DKIM og DMARC samarbeide for å hjelpe deg med å katapulere organisasjonens e -postsikkerhet til nye høyder, og stoppe angriperne fra å falske domenenavnet ditt for å ivareta organisasjonens omdømme og troverdighet.

Før vi går inn på hvordan du konfigurerer DKIM for domenet ditt, la oss snakke litt om hva som er DKIM . DKIM, eller DomainKeys Identified Mail, er en e -postgodkjenningsprotokoll som brukes til å verifisere ektheten til utgående e -post. Prosessen innebærer bruk av en privat kryptografisk nøkkel generert av din e -postserver som signerer hver utgående e -postmelding. Dette sikrer at mottakerne dine kan bekrefte at e -postene de mottar ble sendt fra e -postserveren din og ikke er forfalsket. Dette kan forbedre leveransen og hjelpe til med å kvitte seg med spam. For å plassere det ganske enkelt inneholder en e -post fra en DKIM -aktivert postserver en digital signatur eller mer riktig, en kryptografisk signatur, som kan valideres av mottakerens e -postserver.

DKIM ble opprettet ved å kombinere eksisterende teknologier som DomainKeys (fra Yahoo) og Identified Internet Mail (fra Cisco). Den har utviklet seg til en allment godkjent autentiseringsmetode, som er kjent som DKIM, og den er også registrert som en RFC (Request for Comments) av IETF (Internet Engineering Task Force). Alle de store Internett -leverandørene som Google, Microsoft og Yahoo lager en digital signatur som er innebygd i e -posthodet til utgående e -post og bekrefter innkommende e -post med sine egne retningslinjer.

I bloggen skal vi fordype oss i mekanismen som brukes i DKIM for å validere e -postene dine og dens forskjellige fordeler, samt lære om hvordan du konfigurerer DKIM for ditt eget domene.

Hvordan konfigurere DKIM for å beskytte domenet ditt mot forfalskning?

DKIM -signaturen genereres av MTA og lagres i listedomenet. Etter å ha mottatt e -posten, kan du bekrefte DKIM ved å bruke den offentlige nøkkelen. DKIM som en autentiseringsmekanisme som kan bevise identiteten til en melding. Denne signaturen viser at meldingen er generert av en legitim server.

Dette er spesielt nødvendig siden domenespoofing -angrep er på vei oppover den siste tiden.

Hva er en DKIM -signatur?

For å bruke DKIM må du bestemme hva som skal inkluderes i signaturen. Vanligvis er dette e -postens brødtekst og noen standardoverskrifter. Du kan ikke endre disse elementene når de er satt, så velg dem nøye. Når du har bestemt deg for hvilke deler av e -posten som skal inkluderes i DKIM -signaturen, må disse elementene forbli uendret for å opprettholde en gyldig DKIM -signatur.

For ikke å forveksle med DKIM -velgeren, er DKIM -signaturen ikke annet enn et konsortium av vilkårlige strengverdier, også kjent som "hash -verdier". Når domenet ditt er konfigurert med DKIM, krypterer e -postserveren din denne verdien med en privat nøkkel som bare du har tilgang til. Denne signaturen sikrer at e -posten du sender ikke har blitt endret eller manipulert etter at den ble sendt. For å validere DKIM -signaturen, vil e -postmottakeren kjøre en DNS -spørring for å søke etter den offentlige nøkkelen. Den offentlige nøkkelen vil ha blitt levert av organisasjonen som eier domenet. Hvis de stemmer overens, er e -posten din klassifisert som autentisk.

Hvordan sette opp DKIM i 3 enkle trinn?

For å implementere DKIM enkelt med PowerDMARC er alt du trenger å gjøre å generere DKIM -posten din ved hjelp av vår gratis DKIM -registreringsgenerator. DKIM -posten din er en DNS TXT -post som er publisert i domenets DNS. Deretter kan du utføre et gratis DKIM -oppslag ved å bruke vårt DKIM -oppslagsverktøy. Dette gratisverktøyet gir en ett-klikk DKIM-sjekk, som sikrer at DKIM-posten din er feilfri og gyldig. For å generere posten må du imidlertid først identifisere DKIM -velgeren din.

Hvordan identifiserer jeg DKIM -velgeren min?

Et vanlig spørsmål som ofte reises av domeneeiere er hvordan finner jeg DKIM -en min? Alt du trenger å gjøre er å finne DKIM -velgeren din:

1) Send en testmail til gmail -kontoen din 

2) Klikk på de 3 prikkene ved siden av e -posten i gmail -innboksen din

3) Velg “vis original” 

4) På "Original Message" -siden navigerer du til bunnen av siden til DKIM -signaturdelen og prøver å finne "s =" -taggen, verdien av denne taggen er DKIM -velgeren din. 

DMARC og DKIM

Et vanlig spørsmål som du ofte kan stille deg selv er om implementering av DKIM er nok? Svaret er nei. Selv om DKIM hjelper deg med å kryptere e -postmeldingene dine med en kryptografisk signatur for å validere avsendernes legitimitet, gir det ikke en måte for e -postmottakere å svare på meldinger som mislykkes med DKIM. Det er her DMARC går inn!

Domenebasert meldingsautentisering, rapportering og samsvar (DMARC) er en e-postgodkjenningsprotokoll som hjelper domeneeiere til å iverksette tiltak mot meldinger som ikke klarer SPF/DKIM-godkjenning. Dette minimerer igjen sjansene for domenespoofing -angrep og BEC. DMARC sammen med SPF og DKIM kan forbedre leveransen av e -post med 10% over tid og øke domenenes omdømme.

Registrer deg hos PowerDMARC i dag for å benytte deg av din gratis DMARC -analyserprøve i dag!

Hvorfor trenger jeg DKIM? Er ikke SPF nok?

Fjernarbeid har spesielt introdusert folk for et økt antall phishing og cyberangrep. Stort sett er den verste mengden phishing -angrep de man ikke kan ignorere. Uansett mengden arbeids -e -postmeldinger som mottas og sendes, og til tross for økningen i chat og apper for direktemeldinger, fortsetter e -post å dominere forretningskommunikasjonen både internt og eksternt for de fleste som jobber på kontorer.

Det er imidlertid ikke en hemmelighet at e -post vanligvis er det vanligste inngangspunktet for cyberangrep, som innebærer å snike malware og utnytter seg inn i nettverket og legitimasjon, og avsløre sensitive data. Ifølge data fra SophosLabs i september 2020 var rundt 97% av den ondsinnede spam som ble fanget av spamfellene phishing -e -post, jakt etter legitimasjon eller annen informasjon.

Ut av dette bar de resterende 3% en blandet pose med meldinger som hadde hatt lenker til ondsinnede nettsteder eller med de som var hengende vedlegg. Disse håpet for det meste å installere bakdører, fjerntilgangstrojanere (RAT), informasjonsstjeller, bedrifter eller kanskje laste ned andre ondsinnede filer.

Uansett kilde, forblir phishing en ganske skremmende effektiv taktikk for angriperne, uansett hva deres endelige mål er. Det er noen robuste tiltak alle organisasjoner kan bruke for å bekrefte om en e -post har kommet fra personen og kilden som den hevder å ha kommet fra.

Hvordan kommer DKIM til unnsetning?

Det må sikres at en organisasjons e -postsikkerhet skal kunne kontrollere hver e -post som kommer, noe som ville være i mot at autentiseringsreglene blir satt av domenet som det ser ut til at e -posten kommer fra. DomainKeys Identified Mail (DKIM) er en som hjelper deg med å se på en innkommende e -post for å kontrollere om ingenting er endret. I tilfelle av de legitime e -postene, ville DKIM definitivt finne en digital signatur som ville være knyttet til et bestemt domenenavn.

Dette domenenavnet vil være vedlagt overskriften på e -posten, og det ville være en tilsvarende krypteringsnøkkel tilbake på kildedomenet. Den største fordelen med DKIM er at den gir en digital signatur på e -posthodene dine, slik at serverne som mottar den kan autentisere disse overskriftene kryptografisk, og anser den for å være gyldig og original.

Disse overskriftene er vanligvis signert som "Fra", "Til", "Emne" og "Dato".

Hvorfor trenger du DKIM?

Eksperter innen cybersikkerhet sier at DKIM er ganske mye nødvendig i det daglige scenariet for å sikre offisielle e -poster. I DKIM genereres signaturen av MTA (Mail Transfer Agent) , som lager en unik tegnrekke som kalles Hash -verdien.

Videre blir hash -verdien lagret i det oppførte domenet, som etter mottak av e -posten kunne mottakeren bekrefte DKIM -signaturen ved å bruke den offentlige nøkkelen som registreres i domenenavnsystemet (DNS) . Etter dette blir denne nøkkelen brukt til å dekryptere Hash -verdien i overskriften, og også beregne hash -verdien på nytt fra e -posten den mottok.

Etter dette ville ekspertene finne ut at hvis disse to DKIM -signaturene er en match, ville MTA vite at e -posten ikke er blitt endret. I tillegg får brukeren ytterligere bekreftelse på at e -posten faktisk ble sendt fra det oppførte domenet.

DKIM, som opprinnelig ble dannet ved å slå sammen to stasjonsnøkler, domenenøkler (den som ble opprettet av Yahoo) og Identified Internet Mail (av Cisco) i 2004, og har utviklet seg til en ny allment godkjent autentiseringsteknikk som gjør en organisasjons e -postprosedyre ganske pålitelig, og det er spesielt derfor ledende teknologiselskaper som Google, Microsoft og Yahoo alltid sjekker innkommende e -post for DKIM -signaturer.

DKIM vs. SPF

Sender Policy Framework (SPF) er en form for e -postautentisering som definerer en prosess for å validere en e -postmelding, en som er sendt fra en autorisert e -postserver for å oppdage forfalskning og for å forhindre svindel.

Mens de fleste mener at både SPF og DKIM må brukes i organisasjoner, men DKIM har absolutt en ekstra fordel i forhold til de andre. Årsakene er som følger:

  • I DKIM publiserer domeneeieren en kryptografisk nøkkel, som spesifikt blir formatert som en TXT -post i den generelle DNS -posten
  • Den unike DKIM -signaturen som er festet til overskriften på meldingen, gjør den mer autentisk
  • Å bruke DKIM viser seg å være mer fruktbart fordi DKIM -nøkkelen som brukes av innkommende e -postservere til å oppdage og dekryptere meldingenes signatur, viser at meldingen er mer autentisk og uendret.

For å konkludere

For de fleste bedriftsorganisasjoner ville ikke bare DKIM beskytte virksomheten mot angrep mot phishing og spoofing, men DKIM ville også hjelpe til med å beskytte kundeforhold og merkevarens rykte.

Dette er spesielt viktig ettersom DKIM gir en krypteringsnøkkel og en digital signatur som dobbelt beviser at en e -post ikke ble forfalsket eller endret. Denne praksisen vil hjelpe organisasjoner og bedrifter med å gå et skritt nærmere å forbedre leveransen av e -post og sende en sikker e -post, noe som vil hjelpe til med å generere inntekter. Stort sett avhenger det av organisasjoner om hvordan de vil bruke det og implementere det samme. Dette er det viktigste og relatable som de fleste organisasjoner ville ønske å frigjøre seg fra cyberangrep og trusler.

Som leverandør av DMARC -tjenester får vi dette spørsmålet mye: “Hvis DMARC bare bruker SPF- og DKIM -godkjenning, hvorfor skal vi bry oss om DMARC? Er det ikke bare unødvendig? "

På overflaten kan det se ut til å gjøre liten forskjell, men virkeligheten er veldig annerledes. DMARC er ikke bare en kombinasjon av SPF- og DKIM -teknologier, det er en helt ny protokoll i seg selv. Den har flere funksjoner som gjør den til en av de mest avanserte standardene for e -postgodkjenning i verden, og en absolutt nødvendighet for bedrifter.

Men vent litt. Vi har ikke svart nøyaktig hvorfor du trenger DMARC. Hva tilbyr det som SPF og DKIM ikke gjør? Vel, det er et ganske langt svar; for lenge for bare ett blogginnlegg. Så la oss dele det opp og snakke om SPF først. Hvis du ikke er kjent med det, her er en rask introduksjon.

Hva er SPF?

SPF, eller Sender Policy Framework, er en e -postgodkjenningsprotokoll som beskytter e -postmottakeren mot falske e -poster. Det er egentlig en liste over alle IP -adresser som er autorisert til å sende e -post via kanalene dine (domeneieren). Når den mottakende serveren ser en melding fra domenet ditt, sjekker den SPF -posten som er publisert på DNS -en din. Hvis avsenderens IP er i denne 'listen', blir e -posten levert. Hvis ikke, avviser serveren e -posten.

Som du kan se, gjør SPF en ganske god jobb med å holde unna mange uønskede e -postmeldinger som kan skade enheten din eller kompromittere organisasjonens sikkerhetssystemer. Men SPF er ikke på langt nær så bra som noen tror. Det er fordi det har noen veldig store ulemper. La oss snakke om noen av disse problemene.

Begrensninger av SPF

SPF -poster gjelder ikke fra -adressen

E -poster har flere adresser for å identifisere avsenderen: Fra -adressen du normalt ser, og returbaneadressen som er skjult og krever ett eller to klikk for å vise. Med SPF aktivert, ser den mottakende e -postserveren på returbanen og kontrollerer SPF -postene til domenet fra den adressen.

Problemet her er at angriperne kan utnytte dette ved å bruke et falskt domene i returvei-adressen og en legitim (eller legitim utseende) e-postadresse i Fra-delen. Selv om mottakeren skulle kontrollere avsenderens e -post -ID, ville de se Fra -adressen først, og vanligvis gidder de ikke å sjekke returbanen. Faktisk er de fleste ikke engang klar over at det er noe som heter Returbane -adresse.

SPF kan ganske enkelt omgås ved å bruke dette enkle trikset, og det etterlater til og med domener sikret med SPF stort sett sårbare.

SPF -poster har en DNS -oppslagsgrense

SPF -poster inneholder en liste over alle IP -adressene som domeneeieren har autorisert til å sende e -post. Imidlertid har de en avgjørende ulempe. Den mottakende serveren må sjekke posten for å se om avsenderen er autorisert, og for å redusere belastningen på serveren har SPF -poster en grense på 10 DNS -oppslag.

Dette betyr at hvis organisasjonen din bruker flere tredjepartsleverandører som sender e -post via domenet ditt, kan SPF -posten ende opp med å overskride denne grensen. Med mindre den er riktig optimalisert (noe som ikke er lett å gjøre selv), vil SPF -poster ha en veldig restriktiv grense. Når du overskrider denne grensen, anses SPF -implementeringen som ugyldig, og e -posten din mislykkes med SPF. Dette kan potensielt skade leveringsprisen på e -post.

 

SPF fungerer ikke alltid når e -posten videresendes

SPF har et annet kritisk feilpunkt som kan skade leveransen av e -post. Når du har implementert SPF på domenet ditt og noen videresender e -posten din, kan den videresendte e -posten bli avvist på grunn av SPF -retningslinjene dine.

Det er fordi den videresendte meldingen har endret e -postens mottaker, men e -postens avsenderadresse forblir den samme. Dette blir et problem fordi meldingen inneholder den opprinnelige avsenderens Fra -adresse, men den mottakende serveren ser en annen IP. IP -adressen til videresendings -e -postserveren er ikke inkludert i SPF -posten til den originale avsenderens domene. Dette kan føre til at e -posten blir avvist av den mottakende serveren.

Hvordan løser DMARC disse problemene?

DMARC bruker en kombinasjon av SPF og DKIM for å autentisere e -post. En e -post må passere enten SPF eller DKIM for å bestå DMARC og bli levert med hell. Og den legger også til en nøkkelfunksjon som gjør den langt mer effektiv enn SPF eller DKIM alene: Rapportering.

Med DMARC -rapportering får du daglig tilbakemelding på statusen til e -postkanalene dine. Dette inkluderer informasjon om DMARC -justeringen, data om e -postmeldinger som mislyktes med autentisering, og detaljer om potensielle spoofing -forsøk.

Hvis du lurer på hva du kan gjøre for å ikke bli forfalsket, kan du se vår praktiske guide om de fem beste måtene å unngå e -postforfalskning.