ADSP lub Author Domain Signing Practices jest opcjonalnym rozszerzeniem DomainKeys Identified Mail, które umożliwia domenie autora określenie praktyk podpisywania. Jako superset of the DKIM praktyki podpisywania, takie jak ta, pomagają określić autorytet wiadomości, które nie zawierają nagłówka podpisu DKIM.
Co to jest ADSP?
Omówiliśmy już, że DKIM jest protokołem bezpieczeństwa, który pozwala nadawcom e-maili na kryptograficzne podpisanie swoich wiadomości w celu potwierdzenia, że pochodzą one z właściwej domeny. Pozwala to odbiorcom zweryfikować, że wiadomość jest autentyczna i nie została zmodyfikowana w tranzycie.
Czasami, gdy ten podpis jest nieobecny, Author Domain SIgning Practices (ADSP) jako dodatek do DKIM, wskakuje do oceny tych niepodpisanych wiadomości. Działa to poprzez zdefiniowanie rekordu w DNS z pewnymi instrukcjami dotyczącymi podpisywania praktyk określonych przez domenę autora.
Odpowiednie terminy i definicje
Zanim zagłębimy się w tajniki praktyk operacyjnych ADSP, przejdźmy przez kilka terminów związanych z tym tematem:
Co to jest adres autora?
Kiedy otworzysz e-mail, w lewej górnej części nagłówka wiadomości, znajdziesz adres Od:. Ten adres zawiera adres e-mail nadawcy (domeny wysyłającej). Jest on również znany jako adres autora. Jest to część widocznego nagłówka.
Nie należy mylić z adresem Return-path, który zawiera informacje o adresie IP serwera nadawcy i jest częścią ukrytego nagłówka.
Czym jest autorski podpis domenowy?
Podpis domeny autora odnosi się do tagu d= w nagłówku emaila, który zawiera podpis DKIM w celu weryfikacji wiadomości. Jeśli podpis jest ważny, najlepiej, aby nazwa domeny wymieniona w nagłówku podpisu odpowiadała nazwie w adresie autora (nagłówek From:).
Jeśli nie pasuje, może to oznaczać, że wiadomość została zmieniona w tranzycie lub domena nadawcy została sfałszowana.
Konfigurowanie praktyk podpisywania domeny autora (ADSP)
Rodzaje możliwych do zdefiniowania praktyk podpisywania
- nieznana: możesz zdefiniować nieznaną praktykę lub wybrać, aby w ogóle nic nie definiować, ponieważ obie będą służyć temu samemu celowi. Nieznana odnosi się do nieujawnionej lub nieokreślonej zasady podpisywania, zapewniającej elastyczność podpisywania dowolnej ilości wiadomości e-mail.
- wszystkie: ta praktyka określa, że wszystkie wiadomości e-mail muszą być podpisane podpisem DKIM.
- discardable: podobnie jak p=reject dla DMARC, praktyka discardable odnosi się do wymuszonej polityki, w której nie tylko cały wolumen poczty pochodzącej z domeny autora będzie podpisany DKIM, ale w przypadku jakiegokolwiek błędu, wiadomość e-mail zostanie odrzucona przez serwer odbierający.
ADSP TXT Record: Definiowanie praktyk w DNS
Aby skonfigurować praktyki podpisywania domen autorskich, należy opublikować następujący rekord TXT w swoim DNS:
_adsp._domainkey.yourdomain.com. IN TXT "dkim=discardable"
Zamień yourdomain.com na nazwę domeny wysyłającej i wartość dkim= na wybraną przez siebie praktykę podpisywania z opcji omówionych powyżej.
Oświadczenie
Na stronie . "unknown" jest zalecaną praktyką dla domen, w których użytkownicy nie są zobowiązani do wysyłania wiadomości e-mail z określonych serwerów pocztowych, które wchodzą w zakres domeny autora. Polityka inna niż "unknown" w takich przypadkach będzie prowadzić do niepowodzeń w uwierzytelnianiu, i/lub niechcianych odrzuceń wiadomości.
ADSP i DMARC: nowoczesne rozwiązanie pozwalające ominąć ograniczenia ADSP
Wszystko, co jest opatrzone zastrzeżeniem, nie może być w 100% niezawodne i skuteczne. ADSP, choć jest skutecznym uzupełnieniem protokołu DKIM, posiada szereg ograniczeń i komplikacji, które w ostatnich czasach zmniejszyły jego znaczenie.
Lepszym sposobem na ominięcie tych wad jest skonfigurowanie DMARC. Nowoczesny, skuteczny i rozwijający się protokół uwierzytelniania poczty elektronicznej, który pomoże Ci:
- zdefiniować zasady w DNS dla wiadomości, które nie spełniają wymogów DKIM
- skonfigurować pożądany poziom egzekwowania przepisów
- skonfigurować mechanizm raportowania, aby wyświetlić wyniki uwierzytelniania, raporty o niepowodzeniach i problemy z dostawą
Potrzebujesz pomocy w konfiguracji narzędzi zabezpieczających pocztę e-mail? Jesteśmy tutaj, aby pomóc! Zespół ekspertów PowerDMARC ds. uwierzytelniania poczty elektronicznej pomoże Ci zmienić Twój stan bezpieczeństwa dzięki kompletnemu zestawowi narzędzi na zautomatyzowanej platformie chmurowej. Skontaktuj się z nami już dziś!
- Przedstawiamy oś czasu DNS i historię wyników bezpieczeństwa - 10 grudnia 2024 r.
- PowerDMARC - automatyczne publikowanie DNS jednym kliknięciem z Entri - 10 grudnia 2024 r.
- Jak skonfigurować markową pocztę Apple za pomocą Apple Business Connect - 3 grudnia 2024 r.