przekierowanie poczty elektronicznej

Kiedy email jest wysyłany z serwera wysyłającego, bezpośrednio do serwera odbierającego, SPF i DKIM (jeśli są poprawnie skonfigurowane) normalnie uwierzytelniają email i zazwyczaj skutecznie walidują go jako legalny lub nieautoryzowany. Jednakże, nie jest tak w przypadku, gdy email przechodzi przez pośredniczący serwer pocztowy zanim zostanie dostarczony do odbiorcy, tak jak w przypadku wiadomości przekazywanych dalej. Ten blog ma na celu przedstawienie wpływu przekierowania wiadomości e-mail na wyniki uwierzytelniania DMARC.

Jak już wiemy, DMARC wykorzystuje dwa standardowe protokoły uwierzytelniania emaili, mianowicie SPF (Sender Policy Framework) oraz DKIM (DomainKeys Identified Mail), do walidacji przychodzących wiadomości. Omówmy je w skrócie, aby lepiej zrozumieć, jak działają, zanim przejdziemy do tego, jak przekazywanie może na nie wpłynąć.

Ramy polityki nadawcy

SPF jest obecny w Twoim DNS jako rekord TXT, wyświetlający wszystkie ważne źródła, które są upoważnione do wysyłania emaili z Twojej domeny. Każdy email, który opuszcza Twoją domenę ma adres IP, który identyfikuje Twój serwer i dostawcę usług email używanych przez Twoją domenę, który jest zapisany w Twoim DNS jako rekord SPF. Serwer pocztowy odbiorcy sprawdza poprawność emaila względem Twojego rekordu SPF, aby go uwierzytelnić i odpowiednio oznacza email jako SPF pass lub fail.

DomainKeys Identified Mail

DKIM jest standardowym protokołem uwierzytelniania emaili, który przypisuje podpis kryptograficzny, utworzony przy użyciu klucza prywatnego, do walidacji emaili w serwerze odbiorczym, gdzie odbiorca może pobrać klucz publiczny z DNS nadawcy w celu uwierzytelnienia wiadomości. Podobnie jak SPF, klucz publiczny DKIM również istnieje jako rekord TXT w DNS właściciela domeny.

Wpływ przekazywania wiadomości e-mail na wyniki uwierzytelniania DMARC

Podczas przekazywania emaili, email przechodzi przez serwer pośredniczący zanim zostanie ostatecznie dostarczony do serwera odbierającego. Po pierwsze ważne jest, aby zdać sobie sprawę, że przekazywanie emaili może odbywać się na dwa sposoby - albo emaile mogą być przekazywane ręcznie, co nie ma wpływu na wyniki uwierzytelniania, albo mogą być przekazywane automatycznie, w którym to przypadku procedura uwierzytelniania ucierpi, jeśli domena nie posiada rekordu pośredniczącego źródła wysyłającego w swoim SPF.

Oczywiście, zazwyczaj podczas przekazywania emaili sprawdzanie SPF kończy się niepowodzeniem, ponieważ adres IP serwera pośredniczącego nie zgadza się z adresem serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest uwzględniony w rekordzie SPF serwera oryginalnego. Z drugiej strony, przekazywanie emaili zazwyczaj nie ma wpływu na uwierzytelnianie emaili DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.

Zauważ, że aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie. Ponieważ wiemy, że SPF nieuchronnie zawodzi podczas przekazywania emaili, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazany email zostanie uznany za nieautentyczny podczas uwierzytelniania DMARC.

Rozwiązanie? Proste. Powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez dostosowanie i uwierzytelnienie wszystkich przychodzących wiadomości zarówno w stosunku do SPF jak i DKIM!

Osiąganie zgodności z DMARC za pomocą PowerDMARC

Ważne jest, aby zauważyć, że w celu osiągnięcia zgodności z DMARC, emaile muszą być uwierzytelnione albo SPF albo DKIM lub obydwoma. Jednakże, jeśli przekazywane wiadomości nie zostaną zweryfikowane względem DKIM i nie będą opierać się tylko na SPF w celu uwierzytelnienia, DMARC nieuchronnie zawiedzie, jak to zostało omówione w poprzedniej sekcji. Dlatego PowerDMARC pomaga osiągnąć pełną zgodność z DMARC poprzez efektywne dopasowywanie i uwierzytelnianie wiadomości e-mail w oparciu o oba protokoły uwierzytelniania SPF i DKIM. W ten sposób, nawet jeśli autentyczna wiadomość przekazana dalej nie przejdzie SPF, podpis DKIM może być użyty do jej walidacji jako legalnej i email przechodzi uwierzytelnienie DMARC, lądując następnie w skrzynce odbiorczej odbiorcy.

Wyjątkowe przypadki: Błąd DKIM i jak go rozwiązać?

W niektórych przypadkach, podmiot przekazujący może zmienić treść wiadomości poprzez wprowadzenie poprawek w granicach MIME, wdrożenie programów antywirusowych lub ponowne zakodowanie wiadomości. W takich przypadkach zarówno uwierzytelnianie SPF jak i DKIM zawodzi, a legalne e-maile nie zostają dostarczone.

W przypadku, gdy zarówno SPF jak i DKIM zawiodą, PowerDMARC jest w stanie zidentyfikować i wyświetlić to w naszym szczegółowym widoku zbiorczym, a protokoły takie jak Authenticated Received Chain mogą być wykorzystywane przez serwery pocztowe do uwierzytelniania takich emaili. W ARC, nagłówek Authentication-Results może być przekazany do następnego 'hopu' w linii dostarczania wiadomości, aby skutecznie złagodzić problemy z uwierzytelnianiem podczas przekazywania emaili.

W przypadku przekazanej wiadomości, gdy serwer poczty elektronicznej odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje zatwierdzić wiadomość e-mail po raz drugi, w odniesieniu do dostarczonego Uwierzytelnionego Łańcucha Odbioru dla wiadomości e-mail poprzez wyodrębnienie ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbierającego.

Zarejestruj się więc w PowerDMARC już dziś i osiągnij zgodność z DMARC w swojej organizacji!