Доставляемость 101: Реальная история аутентификации электронной почты.

Мы не можем завершить разговор о DNS, поддоменах и IP-адресах без естественного продвижения к аутентификации электронной почты. Почему? Аутентификация состоит из всех этих и некоторых других тем. Это хороший строительный блок в башне ответственного электронного маркетинга.

На заре электронного маркетинга на Диком Западе в начале 2000-х правил не существовало. Отправители использовали электронную почту как почтовую службу, но намного дешевле. Они покупали списки, рассылали их по нескольким несвязанным доменам, отправляли пакетную рассылку электронной почты и так далее. Затем появились спуфинг, фишинг и мошенничество.

Это когда провайдеры интернет-услуг (ISP) сказали: «Хватит, хватит», потому что такое плохое поведение сказывалось на их сетях и делало потребителей недовольными. Это было рождением многих передовых практик, которые мы видим сегодня, включая аутентификацию по электронной почте.

Наступил новый рассвет ...

В течение следующих нескольких лет несколько групп, включая Исследовательскую группу по борьбе со спамом Международной инженерной группы, Yahoo и Cisco, разработали основу, на которой основываются все стандарты аутентификации электронной почты. Эти базовые политики выросли из новых, улучшенных политик, и сегодня у нас есть пять различных технологий аутентификации, чтобы лучше защитить вашу электронную почту на пути к входящей почте. Спустя более 20 лет после появления электронной почты стало ясно: электронная почта уже не так проста.

Давайте углубимся в эти политики, чтобы вы могли лучше понять, как все они работают и почему их так важно реализовать.

Структура политики отправителя (SPF)
SPF - это txt-запись DNS, позволяющая принимающему почтовому серверу подтверждать, что IP-адрес отправляющего почтового сервера одобрен для доставки почты от имени этого домена. Он проверяет заголовок отправителя, которым может быть ваш домен или домен вашего ESP. Что может содержать запись SPF? Вы можете настроить их так, чтобы они содержали один IP-адрес или несколько диапазонов IP-адресов, записи SPF другой сети могут быть включены в качестве утвержденных источников или отдельных записей, таких как запись A или MX. SPF также позволяет применять серию или принудительные действия («+» для успешного прохождения, «-» для отказа, «~» для «мягкого» отказа и «?» Для нейтрального). Большинство почтовых программ должны использовать в своих записях либо «~», либо «-».

Вот пример:

+ all (или pass) сообщит принимающему домену, что даже если запись не удалась, они должны пройти тест SPF. Это наименее безопасный параметр.
-all (или fail) сообщит принимающему домену о провале теста, если почта исходит с IP-адреса за пределами утвержденных сетей, перечисленных в записи.

Функция «включить» обычно используется в записях SPF для добавления домена. Это выполняется как отдельный поиск в той же записи SPF для проверки информации IP, указанной выше. Если на запись SPF будет выполнено более 10 поисков, вы, скорее всего, столкнетесь с проблемами. Проверьте свои записи SPF с помощью нашего бесплатного инструмента SPF Analyzer: просто введите свой почтовый домен и просмотрите результаты.

Почта с идентификационными ключами домена (DKIM)
Настройка DKIM немного сложнее, чем SPF, потому что для нее требуется программа шифрования, такая как OpenDKIM, для создания зашифрованных токенов для отправляемой электронной почты и для их проверки на серверах получателей. Вам также понадобится целый набор ключей: пара ключей шифрования, открытый ключ, помещенный в ваш DNS, и закрытый ключ, находящийся на ваших почтовых серверах. Программа шифрования проверит исходный контент, а выбранные заголовки (которые определяются во время настройки) не были изменены во время передачи между исходной и целевой почтовыми системами. Как правило, они включают такие элементы, как адрес отправителя, messageID и текст сообщения электронной почты, а также другие индикаторы.

Доменная проверка подлинности сообщений, отчетность и соответствие (DMARC)
DMARC является частью процесса аутентификации, но на самом деле это политика, опубликованная отправителем для сообщений электронной почты, не прошедших аутентификацию. DMARC работает вместе с SPF и DKIM, чтобы запросить действие принимающей сети в случае сбоя обоих решений аутентификации. Существует многоуровневый подход к действиям DMARC, начиная с бездействия (p = none), до запроса помещения сообщения в папку нежелательной почты (p = quarantine) или, наконец, для отклонения сообщения и даже его отказа (p = reject ).

Еще одна особенность, которая действительно придает ему ценность для брендов и владельцев доменов, - это отзывы, полученные от поставщиков почтовых ящиков, проверяющих с помощью DMARC. Ежедневный файл обратной связи отправляется на указанный адрес электронной почты, чтобы предоставить информацию о том, сколько сообщений прошло или не прошло проверку подлинности, об исходных IP-адресах этих сообщений и выравнивании домена в сообщениях. Что такое выравнивание домена? Это то, используют ли домен отправителя и записи SPF / DKIM одни и те же домены. Все эти ежедневные данные позволяют бренду отслеживать неправомерное использование своих доменов и выявлять спуфинг или фишинговые события, нацеленные на своих пользователей.

Полученная цепочка с проверкой подлинности (ARC)
ARC немного отличается от других инструментов аутентификации, так как это не то, что отправитель должен настраивать. Он полностью сосредоточен на сервере-получателе, добавляющем серию точек данных, показывающих, что они выполнили работу по проверке исходного сообщения, которое они получили, перед передачей почты в другую систему или домен. Это помогает решить ряд проблем, выявленных при первоначальной разработке DMARC, когда некоторые почтовые системы модифицировали сообщения электронной почты для пересылки или повторной отправки сообщения в список обсуждения или альтернативный почтовый ящик, определенный исходным получателем.

Индикаторы бренда для идентификации сообщений (BIMI)
BIMI разработан, чтобы помочь обеспечить визуальный индикатор законной и хорошо аутентифицированной электронной почты от бренда. Если бренд использует SPF, DKIM и DMARC, они могут включить запись BIMI DNS, которая будет отображать логотип компании в почтовом ящике получателя. Это еще одна точка соприкосновения с брендом, которая помогает в дальнейшем устанавливать настоящую, а не настоящую (читай: опасную) электронную почту от надежных отправителей.

Как видите, «Электронная почта - это сложно». Правильная установка и совместная работа всех этих элементов может потребовать времени, усилий и опыта. Попутно что-то сломать или допустить опечатку, которая приведет к непреднамеренному результату аутентификации, легко. К счастью, мы поможем вам разобраться с электронной почтой.

Для получения дополнительной информации о доставляемости ознакомьтесь с руководством по доставке 250ok и регулярно заходите сюда, чтобы более подробно изучить затронутые в нем темы.