Автентифікація електронної пошти через SPF і DKIM

Ось ми знову! Знову абревіатури, знову речі, які варто знати, знову інформація для ботанів! Ні, це серйозна справа, і правильна доставка ваших електронних листів залежить від цих абревіатур. З власного досвіду ми знаємо, що ці абревіатури можуть здаватися незнайомими, лякаючими та зовсім нецікавими. Або, можливо, вони здаються вам знайомими, але ви ніколи не переживали настільки, щоб перевірити, якими вони є насправді. Давайте спробуємо зробити щось ясність для нетехніків.

У будь-якому випадку настав час трохи дізнатися про те, що таке SPF і DKIM і як налаштувати їх у записах DNS для вашого поштового сервера, якщо ви хочете краще контролювати доставку ваших електронних листів. Я постараюся пояснити це простими словами, які будуть зрозумілі не тільки програмістам.

Що таке SPF? Як працює SPF?

Простіше кажучи, Sender Policy Framework (SPF) — це механізм безпеки, створений для запобігання зловмисникам надсилання електронних листів від вашого імені. Механізм передбачає зв’язок між DNS-серверами… і тут все починає виглядати страшно! Але не панікуйте. Я постараюся зробити це якомога простіше.

Припустімо, ви надіслали Бобу електронний лист. Але як DNS-сервер Боба дізнається, що електронний лист справді надіслано вами? Проблема в тому, що він насправді не знає. Якщо на вашому DNS-сервері не встановлено SPF. Добре, нам доведеться пояснити, що таке DNS-сервер, але давайте пропустимо це, інакше ви відправите мене до біса!

SPF визначає, які IP-адреси можна використовувати для надсилання електронної пошти з вашого домену. Отже, уявімо дві можливі «розмови» між серверами. Щоб зробити це простіше, припустімо, що вас звати Пол.

Сценарій 1 – Ви не встановили SPF.

Сервер Майка: Привіт, сервер Боба. У мене нове повідомлення від Майка.
Сервер Боба: Привіт, сервер Майка. Який у вас SPF?
Сервер Майка: Так, про SPF… кому це цікаво, насправді. у мене такого немає. Повір мені, це від Майка.
Сервер Боба: якщо у вас немає SPF, я не можу бути впевнений, що Майк надіслав його. Дайте мені дозволені IP-адреси Майка, щоб я міг порівняти їх із вашими.
Сервер Майка: у мене немає білого списку IP-адрес Майка.
Сервер Боба: Тоді я не хочу вашого повідомлення. У доставці відмовлено. Вибач, друже…

Сценарій 2 – Ви встановили SPF.

Сервер Майка: Привіт, сервер Боба. У мене нове повідомлення від Майка.
Сервер Боба: Привіт, сервер Майка. Який у вас SPF?
Сервер Майка: Ось мій SPF. Існує цілий список IP-адрес, які сам Майк оголосив як такі, які можна використовувати від його імені.
Сервер Боба: Гаразд, дай мені подивитися... А повідомлення, яке ти маєш для мене, надіслано з IP-адреси 64.233.160.19. Гаразд, це в списку. Все виглядає нормально. Дайте мені повідомлення, я покажу його Бобу. Дякую тобі!

Мої вибачення перед усіма читачами системи за це надмірне спрощення, я знаю, що ви тремтите, але будь ласка, вибачте мене та майте на увазі, що ми заздримо вашим технічним знанням, але я маю говорити з нетехнічною аудиторією, і я маю спростити.

У будь-якому випадку, мораль цих двох коротких діалогів така: установіть свій SPF. Якщо ви цього не зробите, ви можете виглядати поганим хлопчиком, і не всі ваші листи будуть доставлені.

Які програми слід включити до свого SPF?

Загальна ідея полягає в тому, щоб переконатися, що всі програми, які надсилають електронну пошту від вашого імені (і які використовують свій SMTP, а не ваш), включено до вашого SPF. Наприклад, якщо ви використовуєте Google Apps для надсилання електронної пошти зі свого домену, вам слід додати Google у свій SPF. Ось інструкції від Google, як це зробити.

Але важливо переконатися, що Google не єдина програма, яка має дозволи у вашому SPF. Наприклад, якщо ми використовуємо HelpScout для керування нашими електронними листами підтримки та MailChimp для надсилання наших інформаційних бюлетенів, ми включаємо обидва в наш SPF.

Чи варто мені також включити Woodpecker до свого SPF?

Ні. Як я вже казав, вам слід пам’ятати, що програми, які надсилають електронну пошту від вашого імені, але використовують власний SMTP, у ваш запис SPF. Woodpecker використовує ваш власний SMTP для надсилання ваших електронних листів, тож це радше онлайн-клієнт електронної пошти, ніж програма масової розсилки.

Тим не менш, можливість доставки електронних листів, надісланих із Woodpecker, залежить від репутації вашого домену. Налаштування SPF і DKIM допоможе вам захистити добру репутацію вашого домену, а отже, покращить доставку ваших електронних листів.

Як крок за кроком встановити запис SPF на вашому сервері?

Першим кроком є ​​перевірка вашого поточного запису SPF. Ви можете зробити це за допомогою таких інструментів, як:

• mxtoolbox
• Панель інструментів Google Apps

Коли ви вводите свій домен (наприклад, я б ввів woodpecker.co), інструменти виконають деякі тести та покажуть ваш поточний SPF або сповіщення про те, що його ще не встановлено.

Які наступні кроки?

Залежно від хостингу домену кроки відрізнятимуться. По суті, це питання вставлення правильно структурованого рядка тексту в потрібне місце на консолі. Наприклад, якщо ви використовуєте Google Apps для надсилання всієї електронної пошти зі свого домену, рядок має виглядати так:

“v=spf1 include:_spf.google.com ~все”

Частина запису «v=spf1» називається версією, а ті, що йдуть після неї, називаються механізмами.

Тепер давайте подивимося, що саме означає кожна частина.

• v=spf1 цей елемент ідентифікує запис як SPF
• включає: _spf.google.com цей механізм включає поштові сервери, які є авторизованими серверами
• ~v=spf1 цей елемент вказує, що якщо електронний лист отримано від неавторизованого сервера (не зазначеного в механізмі «include:»), воно позначається як м’яка помилка, тобто його можна пропустити, але може бути позначено як спам або підозрілий.

Але якщо ви використовуєте більше програм (наприклад, щось для надсилання інформаційного бюлетеня, щось для надсилання повідомлень служби підтримки тощо), черга буде трохи довшою, оскільки вам потрібно буде включити всі інші програми в це. Або якщо ви використовуєте не Google Apps, а сервер з іншого хосту, наприклад GoDaddy, рядок буде іншим.

Ось як налаштувати SPF для найпоширеніших хостів домену:

• Google
• Microsoft
• Zoho
• GoDaddy
• Amazon SES

Що таке DKIM?

Стандарт DomainKeys Identified Mail (DKIM) був створений з тієї ж причини, що й SPF: щоб запобігти зловмисникам видавати себе за відправника електронної пошти. Це спосіб додатково підписувати ваші електронні листи таким чином, щоб сервер одержувача міг перевірити, чи є ви відправником.

Налаштувавши DKIM на своєму DNS-сервері, ви додаєте ще один спосіб повідомити одержувачам «так, це справді я надсилаю це повідомлення».

Як встановити dkim і spf

Вся ідея заснована на шифруванні та дешифруванні додаткового підпису, розміщеного в заголовку вашого повідомлення. Щоб це стало можливим, потрібно мати два ключі:

• приватний ключ (унікальний для вашого домену та доступний лише вам. Він дозволяє зашифрувати ваш підпис у заголовку ваших повідомлень).
• відкритий ключ (який ви додаєте до своїх записів DNS за допомогою стандарту DKIM, щоб дозволити серверу одержувача отримати його та розшифрувати ваш підпис, прихований у заголовку вашого повідомлення).

Візьміть «Гру престолів» для великої картини DKIM. Нед Старк посилає ворону з посланням королю Роберту. Кожен міг взяти аркуш паперу, написати повідомлення і підписати його Нед Старк. Але є спосіб засвідчити повідомлення – печатка. Тепер усі знають, що символ Неда — це a жахливий вовк (це відкритий ключ). Але лише Нед має оригінальну печатку та може поставити її на свої повідомлення (це приватний ключ). Налаштування DKIM – це лише розміщення інформації відкритого ключа в записах вашого сервера. Це просто текстовий запис, який потрібно розмістити в потрібному місці.

Щойно ви налаштуєте це, щоразу, коли хтось отримає від вас електронний лист, сервер одержувача намагатиметься розшифрувати ваш прихований підпис за допомогою відкритого ключа. У разі успіху це додатково підтвердить автентифікацію вашого повідомлення та, відповідно, підвищить авторитет усіх ваших електронних листів.

Як крок за кроком налаштувати запис DKIM на вашому сервері?

Спочатку вам потрібно згенерувати відкритий ключ. Для цього вам потрібно увійти в консоль адміністрування свого постачальника послуг електронної пошти. Подальші кроки можуть відрізнятися залежно від вашого постачальника послуг електронної пошти.

Якщо ви використовуєте Google Apps для надсилання електронної пошти, ось такі istruzioni крок за кроком. Користувачі Google Apps повинні знати, що підписи DKIM вимкнено за умовчанням, тому їх потрібно ввімкнути вручну на консолі адміністратора Google.

Отримавши відкритий ключ, візьміть створений текстовий запис і вставте його в потрібне місце у своїх записах DNS.

Нарешті, вам потрібно ввімкнути підпис електронної пошти, щоб почати надсилати електронні листи з вашим підписом, зашифрованим вашим закритим ключем. Ось як це зробити, якщо ви використовуєте Google Apps для надсилання електронних листів.

Установіть SPF і DKIM і покращте доступність

Якщо ви надсилаєте багато електронних листів, чи то для маркетингу, чи для вхідних чи вихідних продажів, репутація вашого домену має вирішальне значення, і ви повинні подбати про неї. Ви не хочете, щоб ваш домен потрапляв у чорний список, а ваші листи потрапляли до спаму. Правильне налаштування записів SPF і DKIM на вашому DNS-сервері є необхідним кроком для безпеки вашого домену та високої доставки ваших повідомлень.

Їх налаштування може здатися складним, але воно, безсумнівно, того варте. На вашому місці я б зайшов у свій обліковий запис і перевірив, чи правильно налаштовано мій SPF і DKIM, або попросив би моїх ІТ-спеціалістів зробити це. І якщо виявиться, що відповідь «ні», я б попросив їх допомогти мені.