Uwierzytelnianie wiadomości e-mail jest procesem weryfikacji tożsamości nadawcy wiadomości e-mail i zapewnienia, że wiadomość e-mail nie została naruszona podczas transmisji. Jako programista, bardzo ważne jest zrozumienie różnych metod uwierzytelniania wiadomości e-mail i ich prawidłowe wdrożenie, aby zapobiec oszustwom i zwiększyć dostarczalność wiadomości. W tym blogu poznamy różne metody uwierzytelniania wiadomości e-mail i dowiemy się, jak je wdrożyć jako deweloper.
Dlaczego uwierzytelnianie poczty elektronicznej jest ważne?
Uwierzytelnianie wiadomości e-mail dla programistów to proces, który zapewnia, że wiadomości e-mail wysyłane z Twojej domeny są uzasadnione. Sprawdźmy 5 najważniejszych powodów, dla których warto zainwestować w te protokoły-.
1. Zmniejszony współczynnik odrzuceń
Uwierzytelnianie emaili pomaga poprawić współczynnik dostarczalności emaili poprzez sprawdzanie adresów email w bazie danych i wykonywanie testów w czasie rzeczywistym, aby wiedzieć czy konta są aktywne czy nieaktywne. Zmniejsza to prawdopodobieństwo, że Twoje emaile wylądują w skrzynkach odbiorczych pożądanych odbiorców.
2. Dokładne spostrzeżenia
Ponieważ Twoja lista mailingowa jest oczyszczana za pomocą narzędzi, otrzymujesz wiarygodną i możliwą do wykonania analizę swoich kampanii marketingowych.
3. Oszczędność pieniędzy
Musisz wydać pieniądze na przechowywanie e-maili i zarządzanie bazą danych, aby wysłać wiadomości. W miarę jak programiści wdrażają protokoły w swoich aplikacjach, lista e-maili zostaje wyczyszczona, a rozmiar Twojej bazy danych maleje, co pozwala zaoszczędzić pieniądze.
4.Wysoki ROI
Szczegółowe zrozumienie uwierzytelniania wiadomości e-mail dla programistów pomaga zmniejszyć współczynnik odrzuceń, co w konsekwencji daje lepszy ROI. Odbicia emaili oznaczają marnowanie kwot zainwestowanych w email marketing.
5. Redukcja skarg na spam od klientów i prospektów
W 2022 r. aż 49% maili zostało oznaczonych jako spam w skali globalnej. W idealnej sytuacji skargi na spam muszą być mniejsze niż pięć na każde 5000 wiadomości e-mail wysłanych z konta. Proces weryfikacji wiadomości e-mail flaguje wiadomości spamowe i powiadamia Cię, abyś mógł podjąć w odpowiednim czasie działania, aby to kontrolować.
Co to jest SPF?
Uwierzytelnianie poczty elektronicznej dla programistów zaczyna się od zrozumienia i wdrożenia SPF lub Sender Policy Framework. Działanie tego protokołu polega na tym, że użytkownik jest proszony o stworzenie i aktualizację listy serwerów dopuszczonych do wysyłania wiadomości e-mail przy użyciu nazwy domeny. Lista ta jest dodawana do serwera DNS, skąd serwery odbiorców weryfikują, czy serwer nadawcy jest częścią listy czy nie. Wszystkie e-maile wysyłane z adresów IP spoza listy nie przechodzą uwierzytelnienia SPF.
Wszystko to wymaga rekordu SPF, który jest rekordem TXT pozwalającym administratorom wprowadzać do DNS dowolne teksty.
Czym są znaczniki rekordów SPF?
Tag | Cel |
Wersja (v) | Reprezentuje on wersje SPF i powinien być pierwszym znacznikiem w rekordzie SPF. |
mx | Rekord mx określa, który serwer jest odpowiedzialny za przyjmowanie wiadomości e-mail w imieniu domeny. Posiada on adres IP oraz wartość priorytetu dla każdego serwera w zakresie przyjmowania wiadomości. |
a | Używa się go w przypadku zapytania o rekord A lub AAAA w domenie posiadającej adres IP nadawcy. |
ptr | Znacznik Ptr używa odwrotnej nazwy hosta lub subdomeny wysyłającego adresu IP do określenia docelowej nazwy domeny. Jest on używany tylko wtedy, gdy istnieje jeden rekord MX. Ten tag NIE jest zalecany do użycia zgodnie z RFC 7208. |
ip4 | Mówi on o adresie IPv4 lub IP CIDR Range, który jest dozwolony do wysyłania poczty z Twojej domeny. |
ip6 | Informuje o adresie IPv6 lub IP CIDR Range dozwolonym do wysyłania maili z Twojej domeny |
zamieścić | Używając tego tagu, twórcy aplikacji mogą dołączyć całą domenę lub subdomenę innego rekordu SPF. Musisz go użyć, gdy usługa strony trzeciej wysyła wiadomości e-mail w Twoim imieniu. |
istnieje | Ten tag wykonuje wyszukiwanie rekordu A, aby sprawdzić, czy taki istnieje. Widzisz wyniki 'pass' jeśli jest tam. |
wszystkie | Ten znacznik jest dodawany na końcu rekordu SPF TXT. Określa on instrukcje jak ma być traktowany email jeśli nie ma dopasowania do rekordu SPF. Istnieją 3 powszechnie stosowane opcje, które pozwalają nadawcy powiedzieć użytkownikowi, aby odrzucił pocztę, która pasuje do rekordu (-all), potraktował pocztę jako podejrzaną (~all), oraz wydał neutralne zalecenie (?all), które pozostawia odbiorcy decyzję. |
Ograniczenia i wyzwania związane z SPF
SPF nie jest wystarczający do zwalczania wszystkich rodzajów phishingu i spamu ataków phishingowych i spamowych podejmowanych w imieniu Twojej firmy. Tak więc, ucząc się o uwierzytelnianiu poczty elektronicznej dla programistów, musisz skupić się na zrozumieniu ograniczeń Ograniczenia SPF.
Istnieje ograniczenie w postaci 10-lookupów, które zostało wprowadzone, aby uniknąć przeciążenia zasobów serwera DNS, takich jak pasmo i procesor. Gdy limit zostanie osiągnięty, Twój serwer pocztowy nie będzie przetwarzał dalej, a Ty natkniesz się na SPF Permerror. Przekroczenie tego limitu powoduje problemy z dostarczalnością emaili poprzez zmniejszenie prawdopodobieństwa, że email wyląduje w skrzynce odbiorcy. Możesz pozostać w granicach limitu poprzez:
- Usuwanie nieużywanych usług
- Usuwanie domyślnych wartości SPF
- Unikanie stosowania mechanizmu ptr
- Unikanie stosowania mechanizmu mx
- Używanie IPv6 lub IPv4
- Nie spłaszczanie rekordu SPF
Innym ograniczeniem jest to, że rekordy SPF są stosowane do konkretnych domen Return-Path, a nie do adresu From. Podmioty odpowiedzialne za zagrożenia wykorzystują tę lukę w cyberbezpieczeństwie do przeprowadzania ataków phishingowych poprzez fałszowanie adresu From.
Co to jest DKIM?
DKIM oznacza DomainKeys Identified Mail, protokół, który uwierzytelnia e-maile za pomocą metody szyfrowania. Administrator domeny dodaje rekord DKIM do DNS i otrzymuje parę kluczy publicznych i prywatnych. Pochodzący serwer pocztowy posiada tajne prywatne klucze DKIM, które są weryfikowane przez odbierający serwer pocztowy za pomocą drugiej połowy pary kluczy zwanej publicznym kluczem DKIM. Te podpisy DKIM przenoszą się wraz z wiadomościami e-mail i działają również na przekazanych łańcuchach pocztowych.
Kiedy wyrównanie DKIM nie powiedzie się, wskaźnik dostarczalności wiadomości e-mail w Twojej domenie ma negatywny wpływ, powodując, że wiadomości lądują w folderze spamu lub są odrzucane przez skrzynkę odbiorcy.
Czym są znaczniki DKIM?
W ramach klastra znaczników DKIM istnieje wiele nieformalnych elementów. Są one klasyfikowane jako wymagane i opcjonalne znaczniki. Omawiamy tutaj zastosowania wymaganych znaczników; kliknij tutaj aby dowiedzieć się szczegółowo o innych znacznikach.
Wymagane znaczniki
Tagi te są wymagane do weryfikacji, gdyż skrzynki odbiorców odrzucają maile bez nich.
- v= Znacznik wersji, który reprezentuje używany standard DKIM. Jego wartość jest zawsze ustawiona na 1.
- a= Ten tag DKIM reprezentuje algorytm kryptograficzny użyty do stworzenia podpisu. generalnie jego wartość to rsa-sha256. Jeśli twój komputer ma zmniejszone możliwości procesora, możesz użyć rsa-sha1. Eksperci nie zachęcają do jego stosowania ze względu na luki w bezpieczeństwie.
- s= ten znacznik określa nazwę rekordu selektora używanego do znalezienia klucza publicznego w DNS domeny. Administratorzy domen lub twórcy aplikacji muszą wpisać w tym polu nazwę lub liczbę.
- d= Widać domenę używaną z rekordem selektora do lokalizowania kluczy publicznych. Używa tej samej wartości, co nazwa domeny używanej przez nadawcę.
- b= Ten tag DKIM jest używany dla danych hash nagłówka. Jest zwykle sparowany z tagiem h= dla sporządzenia podpisu DKIM. Jest on zawsze zakodowany w Base64.
- bh= Ten wymagany tag DKIM ma obliczony hash wiadomości e-mail, którego wartość jest ciągiem znaków oznaczających hash określony przez algorytm.
- h= Ten znacznik zawiera nagłówki widziane w algorytmie podpisywania, aby wygenerować hash w znaczniku b=. Jego wartość nie może być ani usunięta, ani zmieniona.
Ograniczenia i wyzwania związane z DKIM
Legalne wiadomości e-mail wysyłane z Twojej domeny mogą czasami zostać odrzucone przez urządzenia mobilne, jeśli wiadomość zostanie przekazana dalej. Serwer odbiorcy identyfikuje je jako sfałszowane wiadomości, gdy czyta instrukcje uwierzytelniania.
Co to jest DMARC?
Ostatnim etapem zrozumienia uwierzytelniania poczty elektronicznej dla programistów jest poznanie DMARC czyli Domain-based Message Authentication, Reporting, and Conformance. Działa on w zgodzie z wynikami SPF i/lub DKIM aby zdecydować jak postępować z emailami, które nie przejdą kontroli uwierzytelniania emaili. Możesz zdecydować się na ustawienie swojej politykę DMARC na p=none (żadne działanie nie jest podejmowane przeciwko nieudanym emailom), p=quarantine (nieudane emaile są oznaczane jako spam), lub p=reject (wejście nieudanych emaili jest odrzucane).
Możesz zacząć od ustawienia polityki na 'none', aby monitorować czy wszystkie legalne emaile przechodzą kontrolę weryfikacyjną. Później możesz ustawić ją na 'kwarantannę' lub 'odrzucenie'.
Czym są tagi DMARC?
Jako właściciel domeny, możesz określić tagi DMARC w swoim rekordzie DMARC-
- v: Oznacza wersję protokołu DMARC i zawsze ma wartość v=DMARC1.
- pct: Ten tag określa jaki procent maili jest zgodny z trybem polityki.
- p: Znacznik p odnosi się do trybu polityki DMARC. Można wybrać spośród odrzucenia, kwarantanny i braku.
- rua: Ten opcjonalny tag wskazuje adres e-mail lub serwer internetowy, na który organizacje raportujące mogą wysyłać swoje dane DMARC aggregate rua.
- ruf: Informuje o adresie, na który ma zostać wysłany raport DMARC forensic ruf.
- fo: jest to opcjonalny tag, który katalizuje dostępne opcje raportowania awarii/forensic, które właściciele domen mogą wybrać.
- aspf: Pozwala ustawić tryb wyrównania SPF. Wartość może być ścisła(s) lub zrelaksowana(r)
- adkim: Pozwala ustawić tryb wyrównania DKIM, którego wartością może być strict(s) lub relaxed(r)
- rf: Ten tag określa różne formaty raportowania Forensic.
- ri: Ten opcjonalny tag DMARC ma domyślną wartość 86400 i mówi o odstępie czasowym w sekundach pomiędzy dwoma kolejnymi raportami zbiorczymi wysłanymi przez organizację raportującą do właściciela domeny.
Słowa końcowe
Uwierzytelnianie wiadomości e-mail dla deweloperów jest krytyczne, aby być na bieżąco z atakami phishingowymi i spamowymi podejmowanymi w Twoim imieniu. Zacznij od wygenerowania rekordów SPF, DKIM i DMARC dla swojej oficjalnej domeny wysyłającej wiadomości e-mail za pomocą naszego PowerToolbox.