Zrozumienie SPF, DKIM i DMARC: Kompletny przewodnik

Blog

Chroń swoją komunikację e-mail za pomocą SPF, DKIM i DMARC. Zabezpiecz się przed fałszowaniem wiadomości e-mail i zapewnij bezpieczne, zaufane interakcje. Zacznij już dziś!

przez Ahona Rudra

Czas odczytu: 9 min
Zrozumienie SPF, DKIM i DMARC: Kompletny przewodnik
Spis treści-

Czym są SPF, DKIM i DMARC?

SPF, DKIM i DMARC to trzy główne protokoły uwierzytelniania poczty elektronicznej. SPF, DMARC i DKIM zapobiegają wykorzystywaniu domeny przez nieautoryzowane źródła do wysyłania fałszywych wiadomości e-mail do potencjalnych klientów, pracowników, zewnętrznych dostawców, interesariuszy itp. SPF i DKIM pomagają wykazać legalność wiadomości e-mail, podczas gdy DMARC instruuje serwer pocztowy odbiorcy, co należy zrobić z wiadomościami e-mail, które nie przeszły pomyślnie kontroli uwierzytelniania.

  • Sender Policy Framework (SPF): Weryfikuje adres IP nadawcy, aby upewnić się, że jest on upoważniony do wysyłania wiadomości e-mail w imieniu Twojej domeny.
  • DomainKeys Identified Mail (DKIM): Dodaje podpis cyfrowy do wiadomości e-mail, weryfikując tożsamość nadawcy i zapobiegając manipulowaniu wiadomościami.
  • Domain-based Message Authentication, Reporting, and Conformance (DMARC): Zapewnia ramy polityki do wymuszania kontroli SPF i DKIM oraz generowania raportów dotyczących wyników uwierzytelniania wiadomości e-mail.

Kluczowe wnioski

  1. SPF, DKIM i DMARC to podstawowe protokoły, które współpracują ze sobą w celu zwiększenia bezpieczeństwa poczty e-mail i zapobiegania nieautoryzowanemu użyciu domeny.
  2. Uwierzytelnianie poczty e-mail ma kluczowe znaczenie dla ochrony przed phishingiem i spoofingiem, które stanowią znaczny odsetek cyberataków.
  3. Wdrożenie tych protokołów może doprowadzić do znacznego zmniejszenia liczby prób spoofingu, poprawiając ogólny stan bezpieczeństwa domeny.
  4. Utrzymywanie i regularne aktualizowanie ustawień SPF, DKIM i DMARC zapewnia ich skuteczność w ochronie komunikacji e-mail.
  5. Zaawansowane techniki, takie jak MTA-STS i BIMI, mogą dodatkowo wzmocnić strategię uwierzytelniania poczty e-mail, zwiększając bezpieczeństwo i widoczność marki.


Zrozumienie uwierzytelniania poczty e-mail

Uwierzytelnianie wiadomości e-mail to proces weryfikacji legalności źródeł wiadomości e-mail. Jest to podstawowy środek bezpieczeństwa podejmowany przez organizacje w celu zapewnienia, że tylko legalni nadawcy mogą wysyłać wiadomości e-mail w imieniu ich domeny. SPF, DKIM i DMARC tworzą filary uwierzytelniania poczty e-mail, weryfikując źródła wysyłania i treść wiadomości e-mail oraz określając sposób reagowania na wiadomości, które nie przeszły uwierzytelnienia.

Raport DBIR firmy Verizon sugeruje, że 94% wszystkich cyberataków rozpoczyna się od wiadomości e-mail! To jeszcze bardziej podkreśla rosnące zagrożenie spoofingiem i jego płodny charakter. 

Dlaczego uwierzytelnianie poczty e-mail ma znaczenie

Uwierzytelnianie poczty e-mail jest pierwszą linią obrony przed spoofingiem poczty e-mail. Email spoofing to proces fałszowania nazw domen i adresów e-mail w złym celu. Podrobione wiadomości e-mail są wysyłane przez atakujących podszywających się pod legalne firmy w celu oszukania niczego niepodejrzewających ofiar. Weryfikując legalność źródeł wysyłania, uwierzytelnianie zapobiega dostarczaniu sfałszowanych wiadomości e-mail. Klienci zgłosili ponad 90% spadek prób spoofingu z własnej domeny po wdrożeniu protokołów uwierzytelniania wiadomości e-mail. 

Rola SPF, DKIM i DMARC

Uwierzytelnianie poczty elektronicznej jest ważne dla ochrony marki przed cyberatakami opartymi na wiadomościach e-mail, próbowanymi przy użyciu technik phishingu i podszywania się pod inne osoby. Uwierzytelnianie poczty e-mail opiera się głównie na protokołach SPF, DKIM i DMARC, a także na dodatkowych protokołach, takich jak MTA-STS, BIMI i ARC, które mogą jeszcze bardziej zwiększyć Twoje bezpieczeństwo! Oto dlaczego należy je wdrożyć:

  • Zapewniają one, że nazwa Twojej domeny nie może być sfałszowana i niewłaściwie wykorzystana.
  • Pomagają one zapobiegać atakom typu phishing, spam, ransomware itp. zaplanowanym i próbowanym w imieniu Twojej firmy.
  • Poprawiają one wskaźnik dostarczalności wiadomości e-mail w domenie. Niski wskaźnik dostarczalności wiadomości e-mail wpływa na komunikację wewnętrzną, kampanie marketingowe i PR, wskaźnik utrzymania klientówitp.

Uprość uwierzytelnianie poczty e-mail dzięki PowerDMARC!

15-dniowy trialZamów demo

Gdzie można przeprowadzić kontrolę SPF, DKIM i DMARC?

Kontrole SPF, DKIM i DMARC można przeprowadzić, sprawdzając, czy rekordy są przechowywane w systemie nazw domen lub DNS. DNS jest popularnie określany jako internetowa książka telefoniczna konwertująca nazwy domen na odpowiadające im adresy IP. DNS jest używany jako baza danych do przechowywania informacji o domenie w postaci rekordów DNS. 

Kontrola SPF, DKIM i DMARC służy do sprawdzania istniejących rekordów DNS, które można publikować i przechowywać w DNS. Podczas kontroli uwierzytelniania poczty elektronicznej, odbierające MTA wysyłają zapytania do DNS w celu wyszukania tych rekordów i podjęcia działań w oparciu o instrukcje lub informacje w nich zdefiniowane. Możesz użyć darmowego narzędzia PowerDMARC do sprawdzania rekordów SPF, DKIM i DMARC, aby natychmiast sprawdzić, czy Twój DNS zawiera te rekordy!

Jak skonfigurować SPF, DKIM i DMARC?

Postępuj zgodnie z tymi instrukcjami, aby skonfigurować SPF, DKIM i DMARC w celu ochrony swojej domeny i wiadomości e-mail.

  1. Utwórz rekord SPF DNS.
  2. Utwórz klucz publiczny DKIM.
  3. Utwórz swoją politykę DMARC Zarejestruj i włącz raportowanie DMARC
  4. Skonfiguruj dedykowaną skrzynkę pocztową do otrzymywania raportów DMARC lub skorzystaj z platformy analizującej raporty DMARC.
  5. Opublikuj rekordy SPF, DKIM i DMARC w DNS.

SPF: Weryfikacja nadawców wiadomości e-mail

Sender Policy Framework lub SPF to protokół uwierzytelniania poczty e-mail, w którym właściciele domen rejestrują wszystkie serwery, które mogą wysyłać wiadomości e-mail przy użyciu ich domeny. Odbywa się to poprzez utworzenie rekordu TXT SPF który jest publikowany w DNS. Jeśli wysyłający adres IP nie znajduje się na liście, uwierzytelnianie nie powiedzie się, a wiadomość e-mail może zostać oznaczona jako spam lub podejrzana. SPF ma jednak kilka ograniczeń; ulega uszkodzeniu, gdy wiadomość jest przekazywana dalej lub przekroczony zostanie limit 10 wyszukiwań DNS.

Jeśli masz już rekord SPF, możesz użyć naszego SPF record checker aby upewnić się, że jest on wolny od błędów.

Konfiguracja SPF 

  1. Zidentyfikuj wszystkie źródła wysyłania wiadomości e-mail (w tym dostawców zewnętrznych).
  2. Utwórz rekord SPF przy użyciu darmowego Generator SPF narzędzie. Rekord powinien autoryzować wszystkie źródła wysyłania.
  3. Skopiuj składnię rekordu.
  4. Zaloguj się do swojej konsoli zarządzania DNS.
  5. .wklej rekord w sekcji rekordów DNS pod typem zasobu "TXT".

Poczekaj kilka godzin na wdrożenie zmian. Po zakończeniu, możesz użyć naszego SPF record lookup narzędzie aby upewnić się, że rekord jest wolny od błędów.

Typowe wyzwania związane z SPF

Zapoznając się z wyzwaniami związanymi z SPF, DKIM i DMARC, warto zauważyć, że istnieje kilka typowych wyzwań, przed którymi stoją właściciele domen, szczególnie przy wdrażaniu SPF. Są one następujące: 

  • Przekroczenie limitu 10 wyszukiwań DNS przerywa SPF
  • Przekroczenie limitu 2 void lookup może złamać SPF
  • Rekordy SPF mają limit długości 255 znaków 
  • SPF nie działa dla przekazanych wiadomości 

Aby rozwiązać te błędy, rekordy SPF powinny być zoptymalizowane za pomocą Makra aby pozostać poniżej zdefiniowanych limitów. Połączenie SPF z DKIM i DMARC zapewnia również płynniejsze uwierzytelnianie i dostarczalność.

DKIM: Ochrona treści wiadomości e-mail

DomainKeys Identified Mail lub DKIM pozwala właścicielom domen automatycznie podpisywać wiadomości e-mail wysyłane z ich domeny. DKIM działa w sposób podobny do podpisywania czeków bankowych w celu potwierdzenia ich autentyczności. Podpisy DKIM zapewniają, że zawartość wiadomości e-mail pozostaje bezpieczna i niezmieniona podczas procesu dostarczania.

Odbywa się to poprzez przechowywanie klucza publicznego w rekordzie DNS DKIM. Odbierający serwer pocztowy może uzyskać dostęp do tego rekordu, aby uzyskać klucz publiczny. Z drugiej strony, istnieje klucz prywatny potajemnie przechowywany przez nadawcę, który podpisuje nim nagłówek wiadomości e-mail. Odbierające serwery pocztowe weryfikują klucz prywatny nadawcy, porównując go z łatwo dostępnym kluczem publicznym.

Konfiguracja DKIM 

  1. Możesz łatwo skonfigurować DKIM poprzez wygenerowanie rekordu DKIM za pomocą darmowego programu PowerDMARC Generator rekordów DKIM.
  2. Wprowadź nazwę domeny w przyborniku i kliknij przycisk Wygeneruj rekord DKIM .
  3. Otrzymasz parę prywatnych i publicznych kluczy DKIM. 
  4. Opublikuj klucz publiczny w DNS swojej domeny.
  5. Skonfiguruj swój serwer pocztowy tak, aby używał klucza prywatnego DKIM do podpisywania nagłówków wszystkich wychodzących wiadomości e-mail. Ten proces podpisywania dodaje podpis DKIM do każdej wiadomości e-mail, który serwery pocztowe odbiorców zweryfikują za pomocą odpowiedniego klucza publicznego DKIM opublikowanego w DNS. Upewnij się, że przechowujesz swój klucz prywatny w bezpiecznym miejscu i nie publikujesz go publicznie ani nie ujawniasz. 

Na koniec zweryfikuj swój klucz publiczny DKIM za pomocą DKIM lookup aby upewnić się, że jest poprawny.

Korzyści z DKIM

Patrząc na dodanie uwierzytelniania SPF, DKIM i DMARC, DKIM ma szczególnie kilka zalet w uwierzytelnianiu wiadomości e-mail, w tym:

  • DKIM w większości przypadków prawidłowo uwierzytelnia przekazywane wiadomości. 
  • DKIM zapobiega modyfikowaniu treści wiadomości e-mail przez cyberprzestępców.
  • DKIM umożliwia każdej domenie niezależne zarządzanie własnymi parami kluczy publiczno-prywatnych, zapewniając organizacjom bardziej szczegółową kontrolę nad bezpieczeństwem poczty e-mail.

DMARC: Zapobieganie phishingowi i spoofingowi w wiadomościach e-mail

Domain-based Message Authentication, Reporting and Conformance lub DMARC instruuje serwer odbiorcy, co zrobić z wiadomościami e-mail, które nie spełniają wymogów SPF, DKIM lub obu. Działanie podejmowane przez odbiorcę zależy od polityki DMARC skonfigurowanej przez nadawcę - brak, kwarantanna lub odrzucenie.

Zasady DMARC są ustawiane w rekordzie rekordzie DMARC który przechowuje również instrukcje wysyłania raportów do administratorów domeny o wszystkich wiadomościach e-mail, które przeszły lub nie przeszły kontroli poprawności. Jeśli wdrożyłeś już politykę politykę DMARCskorzystaj z naszego bezpłatnego Narzędzie do wyszukiwania rekordów DMARC aby zweryfikować jego poprawność.

Konfiguracja DMARC

  1. Rekord DMARC można utworzyć za pomocą bezpłatnego Generator DMARC.
  2. Wybierz politykę DMARC (np. p=kwarantanna) i włącz raportowanie DMARC, definiując adres e-mail w znaczniku "rua" (np. rua=mailto:[email protected]).
  3. Kliknij przycisk Generuj.
  4. Skopiuj rekord TXT do schowka i wklej go w DNS, aby aktywować protokół.

Sprawdź implementację DMARC za pomocą DMARC checker aby sprawdzić poprawność konfiguracji.

Generator rekordów DMARC

Zasady i działania związane z egzekwowaniem DMARC

Istnieją 3 rodzaje polityk DMARC, które właściciele domen mogą skonfigurować w celu podjęcia działań przeciwko nieuwierzytelnionym wiadomościom e-mail. Są one następujące: 

  1. Brak: Oznaczona przez p=none, polityka none jest polityką bez działania, która dostarcza nieuwierzytelnione wiadomości bez podejmowania żadnych działań przeciwko nim. Jest najlepsza dla początkujących.
  2. Kwarantanna: Oznaczona przez p=kwarantanna, polityka kwarantanny jest wymuszoną polityką DMARC, która poddaje kwarantannie nieuwierzytelnione wiadomości e-mail.
  3. Odrzuć: Oznaczona przez p=reject, polityka odrzucania jest maksymalną polityką egzekwowania dla DMARC, która odrzuca nieuwierzytelnione wiadomości.

Twój Polityka DMARC działania odgrywają ważną rolę w zapobieganiu zagrożeniom opartym na poczcie elektronicznej. Dzięki wdrożonym politykom, właściciele domen są lepiej chronieni przed spoofingiem i atakami phishingowymi.

Zaawansowane techniki uwierzytelniania poczty e-mail

Uwierzytelnianie poczty e-mail nie kończy się na SPF, DKIM i DMARC. Aby jeszcze bardziej zwiększyć bezpieczeństwo domeny i poczty e-mail, można wdrożyć zaawansowane techniki uwierzytelniania. Omówmy niektóre z nich: 

MTA-STS, BIMI i ARC

Protokół MTA-STS do uwierzytelniania zapewnia szyfrowane TLS dostarczanie wiadomości e-mail do skrzynki odbiorczej. Zapobiega atakom typu man-the-middle i DNS spoofing, negocjując szyfrowane połączenie SMTP między komunikującymi się serwerami poczty e-mail. 

BIMI, czyli Brand Indicators for Message Identification, pomaga firmom dołączać logo marki do wiadomości e-mail. Działa to jako wizualna weryfikacja i uwierzytelnianie, poprawiając rozpoznawalność i wiarygodność marki. 

ARC(Authenticated Received Chain) tworzy mechanizm awaryjny podczas przekazywania wiadomości e-mail, pomagając zachować oryginalne nagłówki uwierzytelniania SPF i DKIM. Zapobiega to niepotrzebnym awariom uwierzytelniania dla przekazywanych wiadomości. 

Kiedy wdrożyć te techniki?

Po upewnieniu się, że konfiguracja konfiguracji DMARCmożesz wdrożyć te techniki w fazie 2 swojej podróży uwierzytelniania poczty e-mail.

Te zaawansowane konfiguracje są idealne dla wszystkich organizacji, które chcą zwiększyć wiarygodność swojej marki i jeszcze bardziej poprawić reputację poczty e-mail. Pomagają one zapewnić dodatkowe bezpieczeństwo oprócz podstawowej konfiguracji uwierzytelniania - dzięki czemu jesteś lepiej przygotowany do walki z wyrafinowanymi cyberatakami. 

Wdrażanie i utrzymywanie konfiguracji uwierzytelniania poczty e-mail

Po wdrożeniu protokołów SPF, DKIM i DMARC nadszedł czas, aby je monitorować i utrzymywać, aby upewnić się, że wszystko działa poprawnie. Oto kilka sposobów na utrzymanie konfiguracji uwierzytelniania: 

Korzystanie z narzędzi do monitorowania

Monitorowanie DMARC to oparte na sztucznej inteligencji platformy w chmurze, które umożliwiają natychmiastowe i łatwe monitorowanie implementacji uwierzytelniania poczty e-mail z poziomu jednego interfejsu.

Analiza raportów DMARC

Analiza raportów DMARC może dostarczyć wielu informacji na temat wyników uwierzytelniania poczty elektronicznej i źródeł wysyłania domeny. Może to pomóc w wykryciu niespójności i zapobieganiu próbom spoofingu. 

Regularne aktualizacje i konserwacja

Ważne jest, aby regularnie sprawdzać SPF, DKIM i DMARC oraz zaawansowane techniki uwierzytelniania, aby upewnić się, że działają one prawidłowo. SPF może wymagać okresowych aktualizacji w celu uwzględnienia nowych źródeł wysyłania, klucze DKIM muszą być często rotowane w celu poprawy bezpieczeństwa, a zasady DMARC muszą być egzekwowane w celu zapobiegania cyberatakom. Bez aktualizacji lub odpowiedniej konserwacji wdrożenia mogą okazać się nieskuteczne. 

Zakończenie

Po skonfigurowaniu tych protokołów bezpieczeństwa dla swojej domeny, należy rozpocząć monitorowanie raportów, aby zauważyć podejrzane działania. Dzięki odpowiedniej konfiguracji i zarządzaniu tymi protokołami można znacznie poprawić bezpieczeństwo domeny i dostarczalność. 

Pamiętaj, że te protokoły uwierzytelniania mogą zmniejszyć ryzyko phishingu, ale nie chronią przed wszystkimi cyberprzestępstwami opartymi na wiadomościach e-mail. Dlatego ważne jest, aby uzupełnić je edukacją i świadomością pracowników.

Najczęstsze pytania dotyczące SPF, DKIM i DMARC

Czy mogę utworzyć DMARC bez SPF i DKIM?

Odpowiedź brzmi: nie. Aby skonfigurować DMARC, należy najpierw wdrożyć SPF lub DKIM. Bez SPF lub DKIM konfiguracja DMARC nie będzie działać.

Czy DMARC wymaga zarówno SPF, jak i DKIM? 

DMARC nie wymaga zarówno SPF, jak i DKIM. Każdy z tych protokołów może być skonfigurowany przed skonfigurowaniem DMARC. Zalecamy jednak wdrożenie obu w celu zwiększenia bezpieczeństwa.

Czy Gmail używa SPF lub DKIM?

Tak. Zaktualizowane wytyczne dla nadawców Gmaila wymagają od wszystkich nadawców wdrożenia SPF lub DKIM w celu pomyślnego wysyłania wiadomości e-mail do skrzynek odbiorczych Gmaila.

Czy domena może mieć 2 rekordy DKIM?

Domena może mieć 2 lub więcej rekordów DKIM z różnymi selektorami, aby serwery odbierające mogły łatwo zlokalizować właściwy rekord DKIM podczas uwierzytelniania.

Jak sprawdzić, czy protokoły są włączone?

Aby dowiedzieć się, czy protokoły uwierzytelniania są włączone dla Twojej domeny, możesz skorzystać z naszych narzędzi do sprawdzania rekordów DNS w Powertoolbox lub przeanalizować nagłówki wiadomości e-mail.

Latest posts by Ahona Rudra (zobacz wszystkie)
Największe zagrożenia bezpieczeństwa komputerowego i jak zachować bezpieczeństwozagrożenia bezpieczeństwa komputerowegoCzym jest Defense in Depth Security_Co to jest Defense in Depth Security?