Gdy wiadomość e-mail jest wysyłana z serwera wysyłającego bezpośrednio do serwera odbierającego, SPF i DKIM (jeśli są poprawnie skonfigurowane) normalnie uwierzytelniają wiadomość e-mail i zazwyczaj skutecznie weryfikują ją jako legalną lub nieautoryzowaną. Nie dzieje się tak jednak w przypadku, gdy wiadomość e-mail przechodzi przez pośredniczący serwer pocztowy, zanim zostanie dostarczona do odbiorcy, na przykład w przypadku wiadomości przekazywanych dalej. Ten blog ma na celu przedstawienie wpływu przekazywania wiadomości e-mail na wyniki uwierzytelniania DMARC.
Jak już wiemy, DMARC wykorzystuje dwa standardowe protokoły uwierzytelniania emaili, mianowicie SPF (Sender Policy Framework) oraz DKIM (DomainKeys Identified Mail), do walidacji przychodzących wiadomości. Omówmy je w skrócie, aby lepiej zrozumieć, jak działają, zanim przejdziemy do tego, jak przekazywanie może na nie wpłynąć.
Ramy polityki nadawcy
SPF jest obecny w Twoim DNS jako rekord TXT, wyświetlający wszystkie ważne źródła, które są upoważnione do wysyłania emaili z Twojej domeny. Każdy email, który opuszcza Twoją domenę ma adres IP, który identyfikuje Twój serwer i dostawcę usług email używanych przez Twoją domenę, który jest zapisany w Twoim DNS jako rekord SPF. Serwer pocztowy odbiorcy sprawdza poprawność emaila względem Twojego rekordu SPF, aby go uwierzytelnić i odpowiednio oznacza email jako SPF pass lub fail.
DomainKeys Identified Mail
DKIM jest standardowym protokołem uwierzytelniania emaili, który przypisuje podpis kryptograficzny, utworzony przy użyciu klucza prywatnego, do walidacji emaili w serwerze odbiorczym, gdzie odbiorca może pobrać klucz publiczny z DNS nadawcy w celu uwierzytelnienia wiadomości. Podobnie jak SPF, klucz publiczny DKIM również istnieje jako rekord TXT w DNS właściciela domeny.
Wpływ przekazywania wiadomości e-mail na wyniki uwierzytelniania DMARC
Podczas przekazywania emaili, email przechodzi przez serwer pośredniczący zanim zostanie ostatecznie dostarczony do serwera odbierającego. Po pierwsze ważne jest, aby zdać sobie sprawę, że przekazywanie emaili może odbywać się na dwa sposoby - albo emaile mogą być przekazywane ręcznie, co nie ma wpływu na wyniki uwierzytelniania, albo mogą być przekazywane automatycznie, w którym to przypadku procedura uwierzytelniania ucierpi, jeśli domena nie posiada rekordu pośredniczącego źródła wysyłającego w swoim SPF.
Oczywiście, zazwyczaj podczas przekazywania wiadomości e-mail sprawdzanie SPF kończy się niepowodzeniem, ponieważ adres IP serwera pośredniczącego nie jest zgodny z adresem serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest uwzględniany w rekordzie SPF oryginalnego serwera. Wręcz przeciwnie, przekazywanie wiadomości e-mail zazwyczaj nie wpływa na uwierzytelnianie wiadomości e-mail DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.
Zauważ, że aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie. Ponieważ wiemy, że SPF nieuchronnie zawodzi podczas przekazywania emaili, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazany email zostanie uznany za nieautentyczny podczas uwierzytelniania DMARC.
Rozwiązanie? Proste. Powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez dostosowanie i uwierzytelnienie wszystkich przychodzących wiadomości zarówno w stosunku do SPF jak i DKIM!
Osiąganie zgodności z DMARC za pomocą PowerDMARC
Ważne jest, aby pamiętać, że w celu osiągnięcia zgodności z DMARC, wiadomości e-mail muszą być uwierzytelniane za pomocą SPF lub DKIM lub obu. Jednakże, jeśli przekazywane wiadomości nie zostaną zweryfikowane pod kątem DKIM i nie będą polegać tylko na SPF w celu uwierzytelnienia, DMARC nieuchronnie zawiedzie, jak omówiono w poprzedniej sekcji. Dlatego PowerDMARC pomaga osiągnąć pełną zgodność z DMARC poprzez skuteczne dostosowanie i uwierzytelnianie wiadomości e-mail zarówno w oparciu o protokoły uwierzytelniania SPF, jak i DKIM. W ten sposób, nawet jeśli autentyczne wiadomości przekazane dalej nie przejdą SPF, podpis DKIM może być użyty do ich walidacji jako legalnych, a e-mail przejdzie uwierzytelnienie DMARC, lądując następnie w skrzynce odbiorczej odbiorcy.
Wyjątkowe przypadki: Błąd DKIM i jak go rozwiązać?
W niektórych przypadkach, podmiot przekazujący może zmienić treść wiadomości poprzez wprowadzenie poprawek w granicach MIME, wdrożenie programów antywirusowych lub ponowne zakodowanie wiadomości. W takich przypadkach zarówno uwierzytelnianie SPF jak i DKIM zawodzi, a legalne e-maile nie zostają dostarczone.
W przypadku niepowodzenia zarówno SPF, jak i DKIM, PowerDMARC jest w stanie zidentyfikować i wyświetlić to w naszych szczegółowych zagregowanych widokach, a protokoły takie jak Authenticated Received Chain mogą być wykorzystywane przez serwery pocztowe do uwierzytelniania takich wiadomości e-mail. W ARC, nagłówek Authentication-Results może być przekazany do następnego "hopu" w linii dostarczania wiadomości, aby skutecznie złagodzić kwestie uwierzytelniania podczas przekazywania wiadomości e-mail.
W przypadku przekazanej wiadomości, gdy serwer poczty elektronicznej odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje zatwierdzić wiadomość e-mail po raz drugi, w odniesieniu do dostarczonego Uwierzytelnionego Łańcucha Odbioru dla wiadomości e-mail poprzez wyodrębnienie ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbierającego.
Zarejestruj się więc w PowerDMARC już dziś i osiągnij zgodność z DMARC w swojej organizacji!
- DMARC staje się obowiązkowy dla branży kart płatniczych od 2025 roku - 12 stycznia 2025 r.
- Zmiany w NCSC Mail Check i ich wpływ na bezpieczeństwo poczty elektronicznej w brytyjskim sektorze publicznym - 11 stycznia 2025 r.
- Przewodnik objaśniający znacznik DMARC aspf - 7 stycznia 2025 r.