Co to jest ADSP? Praktyki podpisywania domen autorskich w DKIM

Blog

ADSP lub Author Domain Signing Practices jest opcjonalnym rozszerzeniem DomainKeys Identified Mail, które umożliwia domenie autora określenie praktyk podpisywania.

YunesTarada

Czas odczytu: 4 min
Co to jest ADSP? Praktyki podpisywania domen autorskich w DKIM
Spis treści-
  • ADSP i DMARC: nowoczesne rozwiązanie pozwalające ominąć ograniczenia ADSP

    • ADSP lub Author Domain Signing Practices jest opcjonalnym rozszerzeniem DomainKeys Identified Mail, które umożliwia domenie autora określenie praktyk podpisywania. Jako superset of the DKIM praktyki podpisywania, takie jak ta, pomagają określić autorytet wiadomości, które nie zawierają nagłówka podpisu DKIM.

    Kluczowe wnioski

    1. ADSP jest opcjonalnym rozszerzeniem DKIM, które pozwala domenom na określenie ich praktyk podpisywania.
    2. Adres autora jest niezbędny do weryfikacji autentyczności domeny nadawcy wiadomości e-mail.
    3. Nieznane, wszystkie i odrzucane to trzy typy definiowalnych praktyk podpisywania w ADSP.
    4. Opublikowanie rekordu ADSP TXT w DNS jest niezbędne do skutecznego wdrożenia praktyk podpisywania.
    5. DMARC to rozwijający się protokół, który oferuje rozszerzone możliwości w porównaniu do ADSP w zakresie uwierzytelniania poczty e-mail.

    Co to jest ADSP? 

    Omówiliśmy już, że DKIM jest protokołem bezpieczeństwa, który pozwala nadawcom e-maili na kryptograficzne podpisanie swoich wiadomości w celu potwierdzenia, że pochodzą one z właściwej domeny. Pozwala to odbiorcom zweryfikować, że wiadomość jest autentyczna i nie została zmodyfikowana w tranzycie.

    Czasami, gdy ten podpis jest nieobecny, Author Domain SIgning Practices (ADSP) jako dodatek do DKIM, wskakuje do oceny tych niepodpisanych wiadomości. Działa to poprzez zdefiniowanie rekordu w DNS z pewnymi instrukcjami dotyczącymi podpisywania praktyk określonych przez domenę autora. 

    Uprość ADSP dzięki PowerDMARC!

    15-dniowy trialZamów demo

    Odpowiednie terminy i definicje

    Zanim zagłębimy się w tajniki praktyk operacyjnych ADSP, przejdźmy przez kilka terminów związanych z tym tematem: 

    Co to jest adres autora?

    Kiedy otworzysz e-mail, w lewej górnej części nagłówka wiadomości, znajdziesz adres Od:. Ten adres zawiera adres e-mail nadawcy (domeny wysyłającej). Jest on również znany jako adres autora. Jest to część widocznego nagłówka. 

    Nie należy mylić z adresem Return-path, który zawiera informacje o adresie IP serwera nadawcy i jest częścią ukrytego nagłówka. 

    Czym jest autorski podpis domenowy?

    Podpis domeny autora odnosi się do tagu d= w nagłówku emaila, który zawiera podpis DKIM w celu weryfikacji wiadomości. Jeśli podpis jest ważny, najlepiej, aby nazwa domeny wymieniona w nagłówku podpisu odpowiadała nazwie w adresie autora (nagłówek From:).

    Jeśli nie pasuje, może to oznaczać, że wiadomość została zmieniona w tranzycie lub domena nadawcy została sfałszowana. 

    Konfigurowanie praktyk podpisywania domeny autora (ADSP)

    Rodzaje możliwych do zdefiniowania praktyk podpisywania 

    • nieznana: możesz zdefiniować nieznaną praktykę lub wybrać, aby w ogóle nic nie definiować, ponieważ obie będą służyć temu samemu celowi. Nieznana odnosi się do nieujawnionej lub nieokreślonej zasady podpisywania, zapewniającej elastyczność podpisywania dowolnej ilości wiadomości e-mail.
    • wszystkie: ta praktyka określa, że wszystkie wiadomości e-mail muszą być podpisane podpisem DKIM.
    • discardable: podobnie jak p=reject dla DMARC, praktyka discardable odnosi się do wymuszonej polityki, w której nie tylko cały wolumen poczty pochodzącej z domeny autora będzie podpisany DKIM, ale w przypadku jakiegokolwiek błędu, wiadomość e-mail zostanie odrzucona przez serwer odbierający.

     

    ADSP TXT Record: Definiowanie praktyk w DNS

    Aby skonfigurować praktyki podpisywania domen autorskich, należy opublikować następujący rekord TXT w swoim DNS: 

    _adsp._domainkey.yourdomain.com. IN TXT "dkim=discardable"

    Zamień yourdomain.com na nazwę domeny wysyłającej i wartość dkim= na wybraną przez siebie praktykę podpisywania z opcji omówionych powyżej.

    Oświadczenie 

    Na stronie . "unknown" jest zalecaną praktyką dla domen, w których użytkownicy nie są zobowiązani do wysyłania wiadomości e-mail z określonych serwerów pocztowych, które wchodzą w zakres domeny autora. Polityka inna niż "unknown" w takich przypadkach będzie prowadzić do niepowodzeń w uwierzytelnianiu, i/lub niechcianych odrzuceń wiadomości.

    ADSP i DMARC: nowoczesne rozwiązanie pozwalające ominąć ograniczenia ADSP

    Wszystko, co jest opatrzone zastrzeżeniem, nie może być w 100% niezawodne i skuteczne. ADSP, choć jest skutecznym uzupełnieniem protokołu DKIM, posiada szereg ograniczeń i komplikacji, które w ostatnich czasach zmniejszyły jego znaczenie. 

    Lepszym sposobem na ominięcie tych wad jest skonfigurowanie DMARC. Nowoczesny, skuteczny i rozwijający się protokół uwierzytelniania poczty elektronicznej, który pomoże Ci:

    • zdefiniować zasady w DNS dla wiadomości, które nie spełniają wymogów DKIM
    • skonfigurować pożądany poziom egzekwowania przepisów
    • skonfigurować mechanizm raportowania, aby wyświetlić wyniki uwierzytelniania, raporty o niepowodzeniach i problemy z dostawą 

    Potrzebujesz pomocy w konfiguracji narzędzi zabezpieczających pocztę e-mail? Jesteśmy tutaj, aby pomóc! Zespół ekspertów PowerDMARC ds. uwierzytelniania poczty elektronicznej pomoże Ci zmienić Twój stan bezpieczeństwa dzięki kompletnemu zestawowi narzędzi na zautomatyzowanej platformie chmurowej. Skontaktuj się z nami już dziś!

    Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
    Dlaczego cyberprzestępcy często stosują inżynierię społeczną?Dlaczego cyberprzestępcy często korzystają z ataków socjotechnicznychCzym jest zapobieganie utracie danych DLPCzym jest zapobieganie utracie danych (DLP): DLP dla początkujących [2022]