Gdy wiadomość e-mail jest wysyłana z serwera wysyłającego bezpośrednio do serwera odbierającego, SPF i DKIM (jeśli są poprawnie skonfigurowane) normalnie uwierzytelniają wiadomość e-mail i zazwyczaj skutecznie weryfikują ją jako legalną lub nieautoryzowaną. Nie dzieje się tak jednak w przypadku, gdy wiadomość e-mail przechodzi przez pośredniczący serwer pocztowy, zanim zostanie dostarczona do odbiorcy, na przykład w przypadku wiadomości przekazywanych dalej. Ten blog ma na celu przedstawienie wpływu przekazywania wiadomości e-mail na wyniki uwierzytelniania DMARC.
Jak już wiemy, DMARC wykorzystuje dwa standardowe protokoły uwierzytelniania emaili, mianowicie SPF (Sender Policy Framework) oraz DKIM (DomainKeys Identified Mail), do walidacji przychodzących wiadomości. Omówmy je w skrócie, aby lepiej zrozumieć, jak działają, zanim przejdziemy do tego, jak przekazywanie może na nie wpłynąć.
Ramy polityki nadawcy
SPF jest obecny w Twoim DNS jako rekord TXT, wyświetlający wszystkie ważne źródła, które są upoważnione do wysyłania emaili z Twojej domeny. Każdy email, który opuszcza Twoją domenę ma adres IP, który identyfikuje Twój serwer i dostawcę usług email używanych przez Twoją domenę, który jest zapisany w Twoim DNS jako rekord SPF. Serwer pocztowy odbiorcy sprawdza poprawność emaila względem Twojego rekordu SPF, aby go uwierzytelnić i odpowiednio oznacza email jako SPF pass lub fail.
DomainKeys Identified Mail
DKIM jest standardowym protokołem uwierzytelniania emaili, który przypisuje podpis kryptograficzny, utworzony przy użyciu klucza prywatnego, do walidacji emaili w serwerze odbiorczym, gdzie odbiorca może pobrać klucz publiczny z DNS nadawcy w celu uwierzytelnienia wiadomości. Podobnie jak SPF, klucz publiczny DKIM również istnieje jako rekord TXT w DNS właściciela domeny.
Wpływ przekazywania wiadomości e-mail na wyniki uwierzytelniania DMARC
Podczas przekazywania emaili, email przechodzi przez serwer pośredniczący zanim zostanie ostatecznie dostarczony do serwera odbierającego. Po pierwsze ważne jest, aby zdać sobie sprawę, że przekazywanie emaili może odbywać się na dwa sposoby - albo emaile mogą być przekazywane ręcznie, co nie ma wpływu na wyniki uwierzytelniania, albo mogą być przekazywane automatycznie, w którym to przypadku procedura uwierzytelniania ucierpi, jeśli domena nie posiada rekordu pośredniczącego źródła wysyłającego w swoim SPF.
Oczywiście, zazwyczaj podczas przekazywania wiadomości e-mail sprawdzanie SPF kończy się niepowodzeniem, ponieważ adres IP serwera pośredniczącego nie jest zgodny z adresem serwera wysyłającego, a ten nowy adres IP zazwyczaj nie jest uwzględniany w rekordzie SPF oryginalnego serwera. Wręcz przeciwnie, przekazywanie wiadomości e-mail zazwyczaj nie wpływa na uwierzytelnianie wiadomości e-mail DKIM, chyba że serwer pośredniczący lub podmiot przekazujący dokona pewnych zmian w treści wiadomości.
Zauważ, że aby email przeszedł uwierzytelnienie DMARC, email będzie musiał przejść albo uwierzytelnienie SPF albo DKIM i wyrównanie. Ponieważ wiemy, że SPF nieuchronnie zawodzi podczas przekazywania emaili, jeśli w przypadku, gdy źródło wysyłające jest neutralne w stosunku do DKIM i polega wyłącznie na SPF w celu walidacji, przekazany email zostanie uznany za nieautentyczny podczas uwierzytelniania DMARC.
Rozwiązanie? Proste. Powinieneś natychmiast zdecydować się na pełną zgodność z DMARC w swojej organizacji poprzez dostosowanie i uwierzytelnienie wszystkich przychodzących wiadomości zarówno w stosunku do SPF jak i DKIM!
Osiąganie zgodności z DMARC za pomocą PowerDMARC
Ważne jest, aby zauważyć, że w celu osiągnięcia zgodności z DMARC, emaile muszą być uwierzytelnione albo SPF albo DKIM lub obydwoma. Jednakże, jeśli przekazywane wiadomości nie zostaną zweryfikowane względem DKIM i nie będą opierać się tylko na SPF w celu uwierzytelnienia, DMARC nieuchronnie zawiedzie, jak to zostało omówione w poprzedniej sekcji. Dlatego PowerDMARC pomaga osiągnąć pełną zgodność z DMARC poprzez efektywne dopasowywanie i uwierzytelnianie wiadomości e-mail w oparciu o oba protokoły uwierzytelniania SPF i DKIM. W ten sposób, nawet jeśli autentyczna wiadomość przekazana dalej nie przejdzie SPF, podpis DKIM może być użyty do jej walidacji jako legalnej i email przechodzi uwierzytelnienie DMARC, lądując następnie w skrzynce odbiorczej odbiorcy.
Wyjątkowe przypadki: Błąd DKIM i jak go rozwiązać?
W niektórych przypadkach, podmiot przekazujący może zmienić treść wiadomości poprzez wprowadzenie poprawek w granicach MIME, wdrożenie programów antywirusowych lub ponowne zakodowanie wiadomości. W takich przypadkach zarówno uwierzytelnianie SPF jak i DKIM zawodzi, a legalne e-maile nie zostają dostarczone.
W przypadku, gdy zarówno SPF jak i DKIM zawiodą, PowerDMARC jest w stanie zidentyfikować i wyświetlić to w naszym szczegółowym widoku zbiorczym, a protokoły takie jak Authenticated Received Chain mogą być wykorzystywane przez serwery pocztowe do uwierzytelniania takich emaili. W ARC, nagłówek Authentication-Results może być przekazany do następnego 'hopu' w linii dostarczania wiadomości, aby skutecznie złagodzić problemy z uwierzytelnianiem podczas przekazywania emaili.
W przypadku przekazanej wiadomości, gdy serwer poczty elektronicznej odbiorcy otrzymuje wiadomość, która nie przeszła uwierzytelnienia DMARC, próbuje zatwierdzić wiadomość e-mail po raz drugi, w odniesieniu do dostarczonego Uwierzytelnionego Łańcucha Odbioru dla wiadomości e-mail poprzez wyodrębnienie ARC Authentication-Results z początkowego skoku, aby sprawdzić, czy została ona zatwierdzona jako zgodna z prawem, zanim serwer pośredniczący przekazał ją do serwera odbierającego.
Zarejestruj się więc w PowerDMARC już dziś i osiągnij zgodność z DMARC w swojej organizacji!
- Wzrost liczby oszustw podatkowych i ataków podszywania się pod IRS w sezonie podatkowym - 2 maja 2024 r.
- Bezpieczeństwo poczty e-mail 101 w walce z oszustwami kryptograficznymi - 30 kwietnia 2024 r.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.