Dostarczalność 101: Prawdziwa historia uwierzytelniania poczty e-mail.

Nie możemy tak naprawdę zakończyć rozmowy o DNS, subdomenach i adresach IP bez naturalnego przejścia do uwierzytelniania poczty e-mail. Czemu? Uwierzytelnianie składa się ze wszystkich tych tematów i trochę więcej. To fajny element konstrukcyjny w wieży odpowiedzialnego e-mail marketingu.

We wczesnych dniach e-mail marketingu na Dzikim Zachodzie, na początku XXI wieku, nie było żadnych zasad. Nadawcy obsługiwali pocztę e-mail tak, jakby była usługą pocztową, ale o wiele taniej. Kupowali listy, wysyłali w wielu niepowiązanych domenach, wysyłali e-maile w trybie „batch-and-blast” i tak dalej. Potem pojawiły się spoofing, phishing i oszustwa.

Wtedy dostawcy usług internetowych (ISP) powiedzieli: „Wystarczy”, ponieważ to złe zachowanie wpływało na ich sieci i sprawiało, że konsumenci byli niezadowoleni. Tak narodziło się wiele najlepszych praktyk, które obecnie stosujemy, w tym uwierzytelnianie poczty e-mail.

Nadszedł nowy świt…

W ciągu następnych kilku lat kilka grup, w tym Anti-Spam Research Group, Yahoo i Cisco, opracowało podstawę, na której opierają się wszystkie standardy uwierzytelniania poczty elektronicznej. Te podstawowe zasady stworzyły nowe, ulepszone zasady, a dziś mamy pięć różnych technologii uwierzytelniania, aby lepiej chronić pocztę e-mail w drodze do skrzynki odbiorczej. Po ponad 20 latach od powstania poczty e-mail jest jasne: e-mail nie jest już taki prosty.

Przyjrzyjmy się tym zasadom, aby lepiej zrozumieć, jak wszystkie działają i dlaczego tak ważne jest ich wdrożenie.

Zasady dotyczące nadawców (SPF)
SPF to rekord DNS txt umożliwiający serwerowi odbierającemu pocztę weryfikację, czy adres IP wysyłającego serwera pocztowego jest zatwierdzony do dostarczania poczty w imieniu tej domeny. Weryfikuje nagłówek nadawcy, którym może być Twoja domena lub domena ESP. Co może zawierać rekord SPF? Możesz skonfigurować je tak, aby zawierały pojedynczy adres IP lub wiele zakresów adresów IP, rekordy SPF innej sieci mogą być uwzględnione jako zatwierdzone źródła lub pojedyncze rekordy, takie jak rekord A lub MX. SPF pozwala również na zastosowanie serii lub akcji egzekucyjnych („+” dla podania, „-” dla niepowodzenia, „~” dla „miękkiego” niepowodzenia i „?” dla neutralnego). Większość nadawców pocztowych powinna używać w swoich rekordach „~” lub „-”.

Oto przykład:

+all (lub pass) informuje domenę odbierającą, że nawet jeśli rekord się nie powiedzie, powinna przejść test SPF. To najmniej bezpieczne ustawienie.
-all (lub fail) poinformuje domenę odbierającą, aby nie przeszła testu, jeśli poczta pochodzi z adresu IP spoza zatwierdzonych sieci wymienionych w rekordzie.

Funkcja „włącz” jest powszechnie używana w rekordach SPF w celu dodania domeny. Działa to jako osobne wyszukiwanie w tym samym rekordzie SPF w celu zweryfikowania wymienionych powyżej informacji o adresie IP. Dowolne ponad 10 wyszukiwań na rekord SPF i prawdopodobnie napotkasz problemy. Przetestuj swoje rekordy SPF za pomocą naszego bezpłatnego narzędzia SPF Analyzer: po prostu wprowadź swoją domenę pocztową i zobacz wyniki.

Zidentyfikowana poczta DomainKeys (DKIM)
Konfiguracja DKIM jest nieco bardziej skomplikowana niż SPF, ponieważ wymaga programu szyfrującego, takiego jak OpenDKIM, do tworzenia zaszyfrowanych tokenów dla wysyłanej poczty e-mail i weryfikowania ich na serwerach odbiorców. Będziesz także potrzebować całej masy kluczy: pary kluczy szyfrujących, klucza publicznego umieszczonego w Twoim DNS oraz prywatnego klucza znajdującego się na Twoich serwerach pocztowych. Program szyfrujący sprawdzi poprawność zawartości źródłowej i wybrane nagłówki (określone podczas konfiguracji) nie zostały zmodyfikowane podczas transmisji między źródłowym a docelowym systemem pocztowym. Zazwyczaj obejmują one między innymi elementy takie jak adres nadawcy, identyfikator wiadomości i treść wiadomości e-mail.

Uwierzytelnianie wiadomości, raportowanie i zgodność w domenie (DMARC)
DMARC jest częścią procesu uwierzytelniania, ale tak naprawdę jest to polityka publikowana przez nadawcę dla wiadomości e-mail, które nie przeszły uwierzytelnienia. DMARC współpracuje z SPF i DKIM, aby zażądać podjęcia działania przez sieć odbierającą, jeśli oba rozwiązania uwierzytelniania zawiodą. Istnieje wielopoziomowe podejście do działań DMARC, zaczynając od nie robienia niczego (p=brak), do żądania umieszczenia wiadomości w folderze śmieci (p=kwarantanna) lub wreszcie do niepowodzenia wiadomości i nawet jej nie zaakceptowania (p=odrzuć ).

Kolejną cechą, która naprawdę zapewnia wartość dla marek i właścicieli domen, są opinie otrzymane od dostawców skrzynek pocztowych, którzy weryfikują za pomocą DMARC. Na określony adres e-mail wysyłany jest codzienny plik opinii, który zawiera informacje o tym, ile wiadomości przeszło lub nie udało się uwierzytelnić, źródłowe adresy IP tych wiadomości oraz wyrównanie domeny w wiadomościach. Co to jest wyrównanie domeny? To, czy domena nadawcy i rekordy SPF/DKIM używają tych samych domen. Wszystkie te codzienne dane pozwalają marce monitorować nadużycia w swoich domenach i identyfikować zdarzenia spoofingu lub phishingu skierowane na jej użytkowników.

Uwierzytelniony łańcuch odebrany (ARC)
ARC różni się nieco od innych narzędzi uwierzytelniających, ponieważ nie jest to coś, co musi skonfigurować nadawca. Całkowicie koncentruje się na serwerze odbiorcy, który dodaje serię punktów danych pokazujących, że wykonali oni pracę weryfikacyjną na oryginalnej wiadomości, którą otrzymali przed przekazaniem poczty do innego systemu lub domeny. Pomaga to rozwiązać szereg problemów zidentyfikowanych podczas pierwotnego projektowania DMARC, gdy niektóre systemy pocztowe modyfikowały wiadomości e-mail w celu przekazania lub ponownego wysłania wiadomości na listę dyskusyjną lub alternatywną skrzynkę pocztową zdefiniowaną przez pierwotnego odbiorcę.

Wskaźniki marki do identyfikacji wiadomości (BIMI)
BIMI ma na celu zapewnienie wizualnego wskaźnika legalnej i dobrze uwierzytelnionej komunikacji e-mail od marki. Jeśli marka korzysta z SPF, DKIM i DMARC, mogą dołączyć rekord BIMI DNS, który wyświetli logo firmy w skrzynce odbiorczej odbiorcy. To kolejny punkt kontaktu z marką i pomaga w dalszym ustalaniu prawdziwych i nieprawdziwych (czytaj: niebezpiecznych) wiadomości e-mail od zaufanych nadawców.

Jak widać, „E-mail jest trudny”. Prawidłowe skonfigurowanie wszystkich tych elementów i wspólne działanie może zająć trochę czasu, wysiłku i wiedzy. Po drodze łatwo coś zepsuć lub wprowadzić literówkę, która da niezamierzony wynik uwierzytelnienia. Na szczęście masz nas, aby pomóc Ci uzyskać prawidłowy adres e-mail.

Aby uzyskać więcej informacji na temat dostarczalności, zapoznaj się z Przewodnikiem dostarczalności 250ok i regularnie zaglądaj tutaj, aby uzyskać dokładniejsze informacje na temat poruszanych w nim tematów.