Inlägg

Standarder för e-postautentisering: SPF, DKIM och DMARC visar lovande sätt att minska e-postförfalskningsförsök och förbättra e-postsäkerheten. Även om du skiljer falska (falska) e-postmeddelanden från legitima, går e-postautentiseringsstandarder längre för att skilja om ett e-postmeddelande är legitimt genom att verifiera avsändarens identitet.

När fler organisationer antar dessa standarder börjar det övergripande budskapet om förtroende och auktoritet i e-postkommunikation att bekräfta sig själv. Varje företag som är beroende av e-postmarknadsföring, projektförfrågningar, finansiella transaktioner och det allmänna informationsutbytet inom eller mellan företag måste förstå grunderna i vad dessa lösningar är utformade för att uppnå och vilka fördelar de kan få ut av dem.

Vad är E-postförfalskning?

E-postförfalskning är en vanlig cybersäkerhetsfråga som möter företag idag. I den här artikeln kommer vi att förstå hur förfalskning fungerar och de olika metoderna för att bekämpa det. Vi kommer att lära oss om de tre autentiseringsstandarder som används av e-postleverantörer − SPF, DKIM och DMARC för att förhindra att det händer.

E-postförfalskning kan klassificeras som en avancerad social ingenjörsattack som använder en kombination av sofistikerade tekniker för att manipulera meddelandemiljön och utnyttja legitima funktioner i e-post. Dessa e-postmeddelanden kommer ofta att verka helt legitima, men de är utformade i syfte att få tillgång till din information och / eller resurser. E-postförfalskning används för en mängd olika ändamål, allt från försök att begå bedrägeri, för att bryta mot säkerheten och till och med för att försöka få tillgång till konfidentiell affärsinformation. Som en mycket populär form av e-postförfalskning syftar falska attacker till att lura mottagare att tro att ett e-postmeddelande skickades från ett företag de använder och kan lita på, istället för den faktiska avsändaren. Eftersom e-postmeddelanden alltmer skickas och tas emot i bulk har denna skadliga form av e-postbedrägeri ökat dramatiskt under de senaste åren.

Hur kan e-postautentisering förhindra förfalskning?

E-postautentisering hjälper dig att verifiera e-post som skickar källor med protokoll som SPF, DKIM och DMARC för att förhindra att angripare förfalskar domännamn och startar falska attacker för att lura intet ont anande användare. Den ger verifierbar information om e-postavsändare som kan användas för att bevisa deras legitimitet och ange för att ta emot MTA vad man ska göra med e-postmeddelanden som misslyckas med autentisering.

För att ta del av de olika fördelarna med e-postautentisering kan vi därför bekräfta att SPF, DKIM och DMARC hjälper till med:

  • Skydda din domän från nätfiskeattacker, domänförfalskning och BEC
  • Tillhandahålla detaljerad information och insikter om e-post som skickar källor
  • Förbättra domänens rykte och e-postens leveranshastigheter
  • Förhindra att dina legitima e-postmeddelanden markeras som skräppost

Hur arbetar SPF, DKIM och DMARC tillsammans för att stoppa förfalskning?

Policyram för avsändare

SPF är en e-postautentiseringsteknik som används för att förhindra spammare från att skicka meddelanden för din domäns räkning. Med den kan du publicera auktoriserade e-postservrar, vilket ger dig möjlighet att ange vilka e-postservrar som får skicka e-post för din domäns räkning. En SPF-post lagras i DNS och listar alla IP-adresser som har behörighet att skicka e-post till din organisation.

Om du vill utnyttja SPF på ett sätt som säkerställer att det fungerar korrekt måste du se till att SPF inte bryts för dina e-postmeddelanden. Detta kan inträffa om du överskrider gränsen för 10 DNS-sökning, vilket orsakar SPF-permerror. SPF-förenkling kan hjälpa dig att hålla dig under gränsen och autentisera dina e-postmeddelanden sömlöst.

Domäntangenter identifierad e-post

Att utge sig för att vara en betrodd avsändare kan användas för att lura mottagaren att släppa garden. DKIM är en e-postsäkerhetslösning som lägger till en digital signatur till varje meddelande som kommer från kundens inkorg, så att mottagaren kan verifiera att den verkligen har godkänts av din domän och ange webbplatsens betrodda lista över avsändare.

DKIM fäster ett unikt hash-värde, länkat till ett domännamn, på varje utgående e-postmeddelande, så att mottagaren kan kontrollera att ett e-postmeddelande som påstår sig ha kommit från en viss domän faktiskt godkändes av domänens ägare eller inte. Detta hjälper i slutändan till att plocka upp falska försök.

Domänbaserad meddelandeautentisering, rapportering och konformation

Att bara implementera SPF och DKIM kan hjälpa till att verifiera sändningskällor men är inte tillräckligt effektivt för att sluta förfalska på egen hand. För att stoppa cyberbrottslingar från att leverera falska e-postmeddelanden till dina mottagare måste du implementera DMARC idag. DMARC hjälper dig att justera e-postrubriker för att verifiera e-post från adresser, avslöja falska försök och bedräglig användning av domännamn. Dessutom ger det domänägare möjlighet att ange till e-post som tar emot servrar hur man svarar på e-postmeddelanden som misslyckas med SPF- och DKIM-autentisering. Domänägare kan välja att leverera, sättas i karantän och avvisa falska e-postmeddelanden baserat på graden av DMARC-verkställighet de behöver.

Endast en DMARC-policy för avslag tillåter dig att sluta förfalska.

Dessutom erbjuder DMARC också en rapporteringsmekanism för att ge domänägare synlighet på sina e-postkanaler och autentiseringsresultat. Genom att konfigurera DMARC-rapportanalysatornkan du regelbundet övervaka dina e-postdomäner med detaljerad information om e-post som skickar källor, e-postautentiseringsresultat, geolokaliseringar av bedrägliga IP-adresser och den övergripande prestandan för dina e-postmeddelanden. Det hjälper dig att tolka dina DMARC-data i ett organiserat och läsbart format och vidta åtgärder mot angripare snabbare.

I slutändan kan SPF, DKIM och DMARC arbeta tillsammans för att hjälpa dig att katapultera organisationens e-postsäkerhet till nya höjder och stoppa angripare från att förfalska ditt domännamn för att skydda din organisations rykte och trovärdighet.

Innan vi går in på hur du ställer in DKIM för din domän, låt oss prata lite om vad som är DKIM. DKIM, eller DomainKeys Identified Mail, är ett e-postautentiseringsprotokoll som används för att verifiera äktheten hos utgående e-postmeddelanden. Processen innebär att använda en privat kryptografisk nyckel som genereras av din e-postserver som signerar varje utgående e-postmeddelande. Detta säkerställer att mottagarna kan verifiera att e-postmeddelandena de tar emot har skickats från din e-postserver och inte förfalskats. Detta kan förbättra leveransbarheten och hjälpa till att få bort skräppost. För att placera det helt enkelt innehåller ett e-postmeddelande från en DKIM-aktiverad e-postserver en digital signatur eller mer korrekt, en kryptografisk signatur, som kan valideras av mottagarens e-postserver.

DKIM skapades genom att kombinera befintliga tekniker som DomainKeys (från Yahoo) och Identified Internet Mail (från Cisco). Det har utvecklats till en allmänt antagen autentiseringsmetod, som kallas DKIM och den är också registrerad som en RFC (Request for Comments) av IETF (Internet Engineering Task Force). Alla större isp-adresser som Google, Microsoft och Yahoo skapar en digital signatur som är inbäddad i e-posthuvudet för utgående e-postmeddelanden och validerar inkommande e-post med sina egna policyer.

I bloggen kommer vi att gräva i mekanismen som används i DKIM för att validera dina e-postmeddelanden och dess olika fördelar, samt lära oss om hur du ställer in DKIM för din egen domän.

Hur ställer jag in DKIM för att skydda din domän från förfalskning?

DKIM-signaturen genereras av MTA och lagras i listdomänen. När du har tagit emot e-postmeddelandet kan du verifiera DKIM med hjälp av den offentliga nyckeln. DKIM som en autentiseringsmekanism som kan bevisa ett meddelandes identitet. Signaturen bevisar att meddelandet genereras av en legitim server.

Detta är särskilt nödvändigt eftersom domänförfalskningsattacker ökar på senare tid.

Vad är en DKIM-signatur?

För att kunna använda DKIM måste du bestämma vad som ska ingå i signaturen. Vanligtvis är detta brödtexten i e-postmeddelandet och några standardrubriker. Du kan inte ändra dessa element när de har ställts in, så välj dem noggrant. När du har bestämt vilka delar av e-postmeddelandet som ska inkluderas i DKIM-signaturen måste dessa element förbli oförändrade för att upprätthålla en giltig DKIM-signatur.

För att inte förväxlas med DKIM-väljare är DKIM-signatur inget annat än ett konsortium av godtyckliga strängvärden även känd som "hash-värden". När din domän är konfigurerad med DKIM krypterar den sändande e-postservern det här värdet med en privat nyckel som bara du har åtkomst till. Den här signaturen säkerställer att e-postmeddelandet du skickar inte har ändrats eller manipulerats efter att det skickades. För att validera DKIM-signaturen kör e-postmottagaren en DNS-fråga för att söka efter den offentliga nyckeln. Den offentliga nyckeln kommer att ha tillhandahållits av organisationen som äger domänen. Om de matchar klassificeras din e-post som äkta.

Hur ställer jag in DKIM i 3 enkla steg?

För att enkelt implementera DKIM med PowerDMARC behöver du bara generera din DKIM-post med vår gratis DKIM-skivgenerator. Din DKIM-post är en DNS TXT-post som publiceras i domänens DNS. Därefter kan du utföra en gratis DKIM-sökning, med hjälp av vårt DKIM-inspelningsverktyg. Detta gratisverktyg ger en DKIM-kontroll med ett klick, vilket säkerställer att din DKIM-post är felfri och giltig. Men för att generera posten måste du först identifiera din DKIM-väljare.

Hur identifierar jag min DKIM-väljare?

En vanlig fråga som ofta tas upp av domänägare är hur jag hittar min DKIM? För att hitta din DKIM-väljare behöver du bara:

1) Skicka ett testmeddelande till ditt Gmail-konto 

2) Klicka på de 3 punkterna bredvid e-postmeddelandet i din Gmail-inkorg

3) Välj "visa original" 

4) På sidan "Original Message" navigerar du längst ner på sidan till DKIM-signaturavsnittet och försöker hitta taggen "s=" och värdet på den här taggen är din DKIM-väljare. 

DMARC och DKIM

En vanlig fråga som du ofta kan ställa dig själv är om det räcker med att implementera DKIM? Svaret är nej. Medan DKIM hjälper dig att kryptera dina e-postmeddelanden med en kryptografisk signatur för att validera dina avsändares legitimitet, ger det inte ett sätt för e-postmottagare att svara på meddelanden som misslyckas med DKIM. Det är här DMARC kliver in!

Domänbaserad meddelandeautentisering, rapportering och konformering (DMARC) är ett e-postautentiseringsprotokoll som hjälper domänägare att vidta åtgärder mot meddelanden som misslyckas med SPF/DKIM-autentisering. Detta minimerar i sin tur risken för domänförfalskningsattacker och BEC. DMARC tillsammans med SPF och DKIM kan förbättra e-postns leveransbarhet med 10% över tid och öka ditt domänrykte.

Registrera dig hos PowerDMARC idag för att utnyttja din kostnadsfria DMARC-analysversion idag!

Varför behöver jag DKIM? Räcker inte SPF?

Distansarbete har specifikt introducerat människor till ett ökat antal phishing och cyberattacker. För det mesta är den värsta mängden phishing-attacker de som man inte kan ignorera. Oavsett hur mycket jobbmejl som tas emot och skickas, och trots ökningen av chatt- och snabbmeddelandeappar på arbetsplatsen, för de flesta som arbetar på kontor, fortsätter e-post att dominera affärskommunikationen både internt och externt.

Det är dock inte en hemlighet att e-postmeddelanden vanligtvis är den vanligaste startpunkten för cyberattacker, vilket innebär att smyga skadlig programvara och utnyttja in i nätverket och referenser och avslöja känsliga data. Enligt data från SophosLabs i september 2020var cirka 97% av den skadliga skräpposten som fångades av spamfällorna phishing-e-postmeddelanden, jakt på referenser eller annan information.

Av detta bar de återstående 3% en blandad påse med meddelanden som hade burit länkar till skadliga webbplatser eller med de som var försåtminerade bilagor. Dessa hoppades mest på att installera bakdörrar, fjärråtkomst trojaner (RATs), informationstjuv, bedrifter eller kanske ladda ner andra skadliga filer. 

Oavsett källa förblir phishing en ganska skrämmande effektiv taktik för angriparna, oavsett deras slutliga mål kanske. Det finns några robusta åtgärder som alla organisationer kan använda för att verifiera om ett e-postmeddelande har kommit från den person och källa som det påstår sig ha kommit från.

Hur kommer DKIM till undsättning?

Det måste säkerställas att en organisations e-postsäkerhet ska kunna hålla koll på varje e-postmeddelande som är inkommande, vilket skulle vara emot de autentiseringsregler som ställs in av domänen som e-postmeddelandet verkar ha kommit från. DomainKeys Identified Mail (DKIM) är en som hjälper till att undersöka ett inkommande e-postmeddelande för att kontrollera om ingenting har ändrats. Vid de e-postmeddelanden som är legitima skulle DKIM definitivt hitta en digital signatur som skulle vara kopplad till ett specifikt domännamn.

Det här domännamnet skulle kopplas till e-postmeddelandets huvud och det skulle finnas en motsvarande krypteringsnyckel tillbaka på källdomänen. Den största fördelen med DKIM är att den ger en digital signatur i dina e-posthuvuden så att servrarna som tar emot den kan kryptografiskt autentisera dessa rubriker och anser att den är giltig och original.

Dessa rubriker signeras vanligtvis som "Från", "Till", "Ämne" och "Datum".

Varför behöver du DKIM?

Experter inom cybersäkerhet säger att DKIM är ganska välbehövligt i det dagliga scenariot för att säkra officiella e-postmeddelanden. I DKIM genereras signaturen av MTA (Mail Transfer Agent), som skapar en unik teckensträng som kallas hash-värdet.

Dessutom lagras hash-värdet i den listade domänen, som mottagaren efter att ha tagit emot e-postmeddelandet kan verifiera DKIM-signaturen med hjälp av den offentliga nyckeln som registreras i DNS (Domain Name System). Därefter används den här nyckeln för att dekryptera hash-värdet i huvudet och även beräkna om hash-värdet från e-postmeddelandet som den tog emot.

Efter detta skulle experterna ta reda på att om dessa två DKIM-signaturer är en matchning, skulle MTA veta att e-postmeddelandet inte har ändrats. Dessutom får användaren ytterligare bekräftelse på att e-postmeddelandet faktiskt skickades från den listade domänen.

DKIM, som ursprungligen bildades genom sammanslagning av två stationsnycklar, domännycklar (den som skapats av Yahoo) och Identifierad Internet Mail (av Cisco) 2004, och har utvecklats till en ny allmänt antagen autentiseringsteknik som gör en organisations e-postprocedur ganska pålitlig, och det är specifikt därför ledande teknikföretag som Google, Microsoft och Yahoo alltid kontrollerar inkommande e-post för DKIM-signaturer.

DKIM jämfört med SPF

Sender Policy Framework (SPF) är en form av e-postautentisering som definierar en process för att validera ett e-postmeddelande, ett som har skickats från en auktoriserad e-postserver för att upptäcka förfalskning och förhindra bedrägeri.

Medan de flesta anser att både SPF och DKIM måste användas i organisationer, men DKIM har verkligen en extra fördel jämfört med de andra. Skälen är följande:

  • I DKIM publicerar domänägaren en kryptografisk nyckel, som specifikt formateras som en TXT-post i den övergripande DNS-posten
  • Den unika DKIM-signaturen som bifogas meddelandets huvud gör den mer autentisk
  • Att använda DKIM visar sig vara mer givande eftersom DKIM-nyckeln som används av inkommande e-postservrar för att upptäcka och dekryptera meddelandets signatur bevisar att meddelandet är mer autentiskt och oförändrad.

Sammanfattningsvis

För de flesta affärsorganisationer skulle DKIM inte bara skydda sina företag från phishing och förfalska attacker, utan DKIM skulle också hjälpa till att skydda kundrelationer och varumärkesrykte.

Detta är särskilt viktigt eftersom DKIM tillhandahåller en krypteringsnyckel och en digital signatur som dubbelt bevisar att ett e-postmeddelande inte förfalskades eller ändrades. Dessa metoder skulle hjälpa organisationer och företag att gå ett steg närmare att förbättra sin e-posthantering och skicka ett säkert e-postmeddelande, vilket skulle hjälpa till att generera intäkter. För det mesta beror det på organisationer om hur de skulle använda det och implementera samma. Detta är viktigast och relatabelt eftersom de flesta organisationer skulle vilja frigöra sig från cyberattacker och hot.

Som DMARC-tjänsteleverantör får vi frågan mycket: "Om DMARC bara använder SPF- och DKIM-autentisering, varför ska vi bry oss om DMARC? Är inte det bara onödigt?"

På ytan kan det tyckas göra liten skillnad, men verkligheten är väldigt annorlunda. DMARC är inte bara en kombination av SPF- och DKIM-teknik, det är ett helt nytt protokoll i sig. Den har flera funktioner som gör det till en av de mest avancerade e-postautentiseringsstandarderna i världen och en absolut nödvändighet för företag.

Men vänta lite. Vi har inte svarat exakt varför du behöver DMARC. Vad erbjuder det att SPF och DKIM inte gör det? Det är ett ganska långt svar. för länge för bara ett blogginlägg. Så låt oss dela upp det och prata om SPF först. Om du inte känner till det, här är ett snabbt intro.

Vad är SPF?

SPF, eller Sender Policy Framework, är ett e-postautentiseringsprotokoll som skyddar e-postmottagaren från falska e-postmeddelanden. Det är i huvudsak en lista över alla IP-adresser som är auktoriserade att skicka e-post via dina (domänägarens) kanaler. När den mottagande servern ser ett meddelande från din domän kontrollerar den din SPF-post som publiceras på din DNS. Om avsändarens IP finns i denna "lista" levereras e-postmeddelandet. Om inte, avvisar servern e-postmeddelandet.

Som du kan se gör SPF ett ganska bra jobb med att hålla många obehagliga e-postmeddelanden som kan skada din enhet eller äventyra din organisations säkerhetssystem. Men SPF är inte alls så bra som vissa kanske tror. Det beror på att det har några mycket stora nackdelar. Låt oss prata om några av dessa problem.

Begränsningar för SPF

SPF-poster gäller inte för från-adressen

E-postmeddelanden har flera adresser för att identifiera avsändaren: från-adressen som du normalt ser och retursökvägens adress som är dold och kräver ett eller två klick för att visa. När SPF är aktiverat tittar den mottagande e-postservern på retursökvägen och kontrollerar SPF-posterna för domänen från den adressen.

Problemet här är att angripare kan utnyttja detta genom att använda en falsk domän i sin return path-adress och en legitim (eller legitim) e-postadress i avsnittet Från. Även om mottagaren skulle kontrollera avsändarens e-post-ID skulle de se från-adressen först och bryr sig vanligtvis inte om att kontrollera retursökvägen. Faktum är att de flesta människor inte ens är medvetna om att det finns något sådant som Return Path-adress.

SPF kan ganska enkelt kringgås genom att använda detta enkla trick, och det lämnar även domäner säkrade med SPF till stor del sårbara.

SPF-poster har en DNS-uppslagsgräns

SPF-poster innehåller en lista över alla IP-adresser som domänägaren har godkänt för att skicka e-post. Men de har en avgörande nackdel. Den mottagande servern måste kontrollera posten för att se om avsändaren har behörighet och för att minska belastningen på servern har SPF-poster en gräns på 10 DNS-sökningar.

Detta innebär att om din organisation använder flera tredjepartsleverantörer som skickar e-post via din domän kan SPF-posten sluta överskrida den gränsen. Om du inte är korrekt optimerad (vilket inte är lätt att göra själv) kommer SPF-poster att ha en mycket restriktiv gräns. När du överskrider den här gränsen anses SPF-implementeringen vara ogiltig och din e-post misslyckas med SPF. Detta kan potentiellt skada dina e-postleveranskostnader.

 

SPF fungerar inte alltid när e-postmeddelandet vidarebefordras

SPF har en annan kritisk felpunkt som kan skada din e-post leveransbarhet. När du har implementerat SPF på din domän och någon vidarebefordrar din e-post kan den vidarebefordrade e-postmeddelandet avvisas på grund av din SPF-policy.

Det beror på att det vidarebefordrade meddelandet har ändrat e-postmeddelandets mottagare, men e-postavsändarens adress förblir densamma. Detta blir ett problem eftersom meddelandet innehåller den ursprungliga avsändarens Från-adress men den mottagande servern ser en annan IP. IP-adressen för vidarebefordran av e-postservern ingår inte i SPF-posten för den ursprungliga avsändarens domän. Detta kan leda till att e-postmeddelandet avvisas av den mottagande servern.

Hur löser DMARC dessa problem?

DMARC använder en kombination av SPF och DKIM för att autentisera e-post. Ett e-postmeddelande måste passera antingen SPF eller DKIM för att passera DMARC och levereras framgångsrikt. Och det lägger också till en nyckelfunktion som gör den mycket effektivare än SPF eller DKIM ensam: Rapportering.

Med DMARC-rapportering får du daglig feedback om statusen för dina e-postkanaler. Detta inkluderar information om din DMARC-justering, data om e-postmeddelanden som misslyckades med autentisering och information om potentiella förfalskningsförsök.

Om du undrar vad du kan göra för att inte bli förfalskad, kolla in vår praktiska guide på de 5 bästa sätten att undvika e-postförfalskning.