Livrabilitate 101: Povestea adevărată a autentificării prin e-mail.

Nu putem termina cu adevărat o conversație despre DNS, subdomenii și adrese IP fără a progresa în mod natural în autentificarea prin e-mail. De ce? Autentificarea este alcătuită din toate aceste subiecte și puțin mai mult. Este un bloc frumos în turnul marketingului responsabil prin e-mail.

La începutul perioadei de comercializare prin e-mail a Wild-West la începutul anilor 2000, nu existau reguli. Expeditorii operau e-mailuri ca și cum ar fi un serviciu poștal, dar mult mai ieftin. Cumpărau liste, trimiteau sub mai multe domenii neafiliate, trimiteau e-mailuri în serie și așa mai departe. Apoi au apărut falsificarea, phishing-ul și escrocheriile.

Acesta este momentul în care furnizorii de servicii de internet (ISP) au spus: „Suficient”, deoarece acest comportament neplăcut le-a afectat rețelele și i-a nemulțumit pe consumatori. Aceasta a fost nașterea multora dintre cele mai bune practici pe care le vedem acum în vigoare astăzi, inclusiv autentificarea prin e-mail.

O nouă zori era peste noi ...

În următorii câțiva ani, mai multe grupuri, inclusiv grupul de cercetare anti-spam al Forței Internaționale de Inginerie, Yahoo și Cisco, au dezvoltat baza pe care se bazează toate standardele de autentificare prin e-mail. Aceste politici de bază au dat naștere unor politici noi, îmbunătățite, iar astăzi avem cinci tehnologii de autentificare diferite pentru a vă proteja mai bine e-mailul în călătoria către căsuța de e-mail. La mai bine de 20 de ani de la lansarea e-mailului, este clar: e-mailul nu mai este atât de simplu.

Să aprofundăm aceste politici, astfel încât să puteți înțelege mai bine cum funcționează toate și de ce sunt atât de importante de implementat.

Cadru de politici ale expeditorului (SPF)
SPF este o înregistrare txt DNS care permite unui server de poștă electronică primitor să valideze faptul că IP-ul serverului de poștă electronică expeditor este aprobat pentru a livra poștă în numele domeniului respectiv. Se validează pe antetul expeditorului, care poate fi domeniul dvs. sau domeniul ESP. Ce poate conține o înregistrare SPF? Le puteți configura pentru a conține o singură adresă IP sau mai multe game de adrese IP, înregistrările SPF ale altei rețele pot fi incluse ca surse aprobate sau înregistrări individuale, cum ar fi o înregistrare A sau MX. SPF vă permite, de asemenea, să aplicați o serie sau acțiuni de executare („+” pentru trecere, „-” pentru eșec, „~” pentru eșec „soft” și „?” Pentru neutru). Majoritatea agenților de corespondență ar trebui să utilizeze fie „~”, fie „-” în înregistrările lor.

Iată un exemplu:

+ toți (sau trec) vor spune unui domeniu de primire că, chiar dacă înregistrarea eșuează, ar trebui să treacă testul SPF. Aceasta este cea mai puțin sigură setare.
-Toți (sau eșuează) vor spune unui domeniu de primire să nu reușească testul, în cazul în care e-mailul provine dintr-un IP în afara rețelelor aprobate listate în înregistrare.

Funcția „include” este frecvent utilizată în înregistrările SPF pentru a adăuga un domeniu. Aceasta rulează ca o căutare separată pe aceeași înregistrare SPF pentru a valida informațiile IP enumerate mai sus. Mai mult de 10 căutări per înregistrare SPF și probabil veți întâlni probleme. Testați-vă înregistrările SPF cu instrumentul nostru gratuit SPF Analyzer: pur și simplu introduceți domeniul dvs. de poștă și vizualizați rezultatele.

Mesaj identificat DomainKeys (DKIM)
Configurarea DKIM este puțin mai implicată decât SPF, deoarece necesită un program de criptare, cum ar fi OpenDKIM, pentru a construi jetoanele criptate pentru e-mailurile trimise și pentru a le valida pe serverele destinatarilor. De asemenea, veți avea nevoie de o mulțime de chei: o pereche de chei de criptare, o cheie publică introdusă în DNS și o cheie privată care se află pe serverele dvs. de e-mail. Programul de criptare va valida conținutul sursă și anteturile selectate (care sunt determinate în timpul configurării) nu au fost modificate în timpul transmiterii între sistemele de poștă sursă și destinație. Acestea includ de obicei elemente precum adresa de la, ID-ul mesajului și corpul e-mailului, printre alți indicatori.

Autentificare, raportare și conformitate a mesajelor bazate pe domeniu (DMARC)
DMARC face parte din procesul de autentificare, dar este într-adevăr o politică publicată de expeditor pentru mesajele de e-mail care nu reușesc autentificarea. DMARC funcționează alături de SPF și DKIM pentru a solicita o acțiune luată de rețeaua de recepție, în cazul în care ambele soluții de autentificare eșuează. Există o abordare pe mai multe niveluri a acțiunilor DMARC, începând de la a nu face nimic (p = none), pentru a solicita ca mesajul să fie plasat în folderul nedorit (p = carantină) sau, în cele din urmă, pentru a eșua mesajul și nici măcar să-l accepte (p = respinge ).

O altă caracteristică care îi oferă cu adevărat valoare pentru mărci și proprietarii de domenii este feedbackul primit de la furnizorii de căsuțe poștale care validează cu DMARC. Un fișier de feedback zilnic este trimis la o adresă de e-mail specificată pentru a furniza informații despre câte mesaje au trecut sau au eșuat autentificarea, sursele IP ale acestor mesaje și alinierea domeniului pe mesaje. Ce este alinierea domeniului? Este dacă domeniul expeditorului și înregistrările SPF / DKIM folosesc sau nu aceleași domenii. Toate aceste date zilnice permit unei mărci să monitorizeze utilizarea abuzivă a domeniilor lor și să identifice evenimente de falsificare sau phishing care vizează utilizatorii lor.

Lanț recepționat autentificat (ARC)
ARC este puțin diferit de celelalte instrumente de autentificare, deoarece nu este ceva ce un expeditor trebuie să configureze. Se concentrează complet pe serverul destinatar, adăugând o serie de puncte de date care arată că au făcut lucrarea de validare a mesajului original primit înainte de a trece de-a lungul e-mailului către alt sistem sau domeniu. Acest lucru ajută la rezolvarea unui număr de probleme identificate atunci când DMARC a fost proiectat inițial, când unele sisteme de poștă electronică au modificat mesajele de e-mail pentru a redirecționa sau a trimite din nou un mesaj către o listă de discuții sau o cutie poștală alternativă definită de destinatarul inițial.

Indicatori de marcă pentru identificarea mesajelor (BIMI)
BIMI este conceput pentru a oferi un indicator vizual al unei comunicări de e-mail legitime și bine autentificate de la o marcă. Dacă o marcă folosește SPF, DKIM și DMARC, acestea pot include o înregistrare DNS BIMI care va afișa sigla companiei în căsuța de e-mail a destinatarului. Este un alt punct de contact al mărcii și vă ajută să stabiliți în continuare e-mailuri reale și nu reale (citiți: periculoase) de la expeditori de încredere.

După cum puteți vedea, „E-mailul este greu”. Instalarea corectă a acestor piese și lucrul împreună pot necesita ceva timp, efort și expertiză. Este ușor să rupeți ceva pe parcurs sau să introduceți o greșeală de tipar care va da un rezultat neintenționat pentru autentificare. Din fericire, trebuie să ne ajutăm să vă corectăm adresa de e-mail.

Pentru mai multe informații despre livrabilitate, aruncați o privire la Ghidul de livrabilitate 250ok și reveniți aici în mod regulat pentru o privire mai profundă asupra subiectelor acoperite în cadrul acestuia.