Najlepsze rozwiązania dotyczące obsługi uwierzytelniania nadawcy w wiadomości e-mail usług Azure Communication Services
W tym artykule przedstawiono najlepsze rozwiązania dotyczące wysyłania wiadomości e-mail dotyczących rekordów DNS oraz sposób używania metod uwierzytelniania nadawcy, które pomagają zapobiec wysyłaniu przez osoby atakujące wiadomości, które wyglądają jak pochodzą z domeny.
Uwierzytelnianie poczty e-mail i konfiguracja dns
Wysłanie wiadomości e-mail wymaga kilku kroków, które obejmują weryfikację nadawcy wiadomości e-mail będącej właścicielem domeny, sprawdzanie reputacji domeny, skanowanie wirusów, filtrowanie spamu, próby wyłudzania informacji, złośliwe oprogramowanie itp. Konfigurowanie właściwego uwierzytelniania poczty e-mail jest podstawową zasadą ustanawiania zaufania w wiadomości e-mail i ochrony reputacji domeny. Jeśli wiadomość e-mail przejdzie testy uwierzytelniania, domena odbierającą może zastosować zasady do tej wiadomości e-mail zgodnie z reputacją już ustanowioną dla tożsamości skojarzonych z tymi sprawdzaniem uwierzytelniania, a odbiorca może mieć pewność, że te tożsamości są prawidłowe.
Rekord MX (Mail Exchange)
Rekord MX (Mail Exchange) służy do kierowania wiadomości e-mail do poprawnego serwera. Określa serwer poczty odpowiedzialny za akceptowanie wiadomości e-mail w imieniu domeny. System DNS musi zostać zaktualizowany przy użyciu najnowszych informacji o rekordach MX domeny poczty e-mail. W przeciwnym razie spowoduje to błędy dostarczania.
SPF (struktura zasad nadawcy)
SPF RFC 7208 to mechanizm, który umożliwia właścicielom domeny publikowanie i konserwację, za pośrednictwem standardowego rekordu TXT DNS, listę systemów autoryzowanych do wysyłania wiadomości e-mail w ich imieniu. Ten rekord służy do określania, które serwery poczty są autoryzowane do wysyłania wiadomości e-mail w imieniu domeny. Ułatwia to zapobieganie fałszowaniu wiadomości e-mail i zwiększaniu możliwości dostarczania wiadomości e-mail.
DKIM (Poczta zidentyfikowana przez klucze domeny)
DKIM RFC 6376 pozwala organizacji ubiegać się o odpowiedzialność za przesyłanie wiadomości w sposób, który może zostać zweryfikowany przez adresata. Ten rekord jest również używany do uwierzytelniania domeny, z którego jest wysyłana wiadomość e-mail i pomaga zapobiegać fałszowaniu wiadomości e-mail i zwiększaniu możliwości dostarczania wiadomości e-mail.
DMARC (Uwierzytelnianie komunikatów, raportowanie i zgodność oparte na domenie)
DMARC RFC 7489 to skalowalny mechanizm, za pomocą którego organizacja pochodząca z poczty może wyrażać zasady i preferencje na poziomie domeny na potrzeby weryfikacji, dyspozycji i raportowania wiadomości, których organizacja odbierającą pocztę może używać do ulepszania obsługi poczty. Służy również do określania, w jaki sposób odbiorcy poczty e-mail powinni obsługiwać komunikaty, które kończą się niepowodzeniem kontroli SPF i DKIM. Poprawia to możliwości dostarczania wiadomości e-mail i pomaga zapobiegać fałszowaniu wiadomości e-mail.
ARC (uwierzytelniony odebrany łańcuch)
Protokół ARC RFC 8617 zapewnia uwierzytelniony łańcuch nadzoru dla komunikatu, umożliwiając każdej jednostce obsługującej komunikat w celu zidentyfikowania, które jednostki obsłużyły je wcześniej, a także oceny uwierzytelniania komunikatu na każdym przeskoku. Arc nie jest jeszcze standardem internetowym, ale wdrażanie rośnie.
Jak działa uwierzytelnianie za pomocą poczty e-mail
Uwierzytelnianie poczty e-mail sprawdza, czy wiadomości e-mail od nadawcy (na przykład notification@contoso.com) są wiarygodne i pochodzą z oczekiwanych źródeł dla tej domeny poczty e-mail (na przykład contoso.com). Wiadomość e-mail może zawierać wiele adresów źródłowych lub nadawców. Te adresy są używane do różnych celów. Rozważmy na przykład następujące adresy:
Poczta z adresu identyfikuje nadawcę i określa, gdzie wysyłać powiadomienia zwrotne, jeśli wystąpią jakiekolwiek problemy z dostarczaniem wiadomości, takie jak powiadomienia o braku dostarczania. Jest to wyświetlane w części koperty wiadomości e-mail i nie jest wyświetlane przez aplikację poczty e-mail. Jest to czasami nazywane adresem 5321.MailFrom lub adresem odwrotnej ścieżki.
Z adresu jest adres wyświetlany jako Od adresu przez aplikację poczty. Ten adres identyfikuje autora wiadomości e-mail. Oznacza to, że skrzynka pocztowa osoby lub systemu odpowiedzialnego za napisanie wiadomości. Jest to czasami nazywane adresem 5322.From.
Program Sender Policy Framework (SPF) pomaga zweryfikować wychodzącą wiadomość e-mail wysłaną z domeny (pochodzi z tego, kim jest).
DomainKeys Identified Mail (DKIM) pomaga zapewnić, że docelowe systemy poczty e-mail ufają wiadomościom wychodzącym z domeny.
Uwierzytelnianie komunikatów oparte na domenie, raportowanie i zgodność (DMARC) współpracuje z programem Sender Policy Framework (SPF) i domainKeys Identified Mail (DKIM) w celu uwierzytelnienia nadawców poczty e-mail i zapewnienia, że docelowe systemy poczty e-mail ufają wiadomościom wysyłanym z domeny.
Implementowanie kontrolera DMARC
Implementowanie protokołu DMARC z dodatkiem SPF i DKIM zapewnia zaawansowaną ochronę przed fałszowaniem i wyłudzaniem informacji e-mail. SpF używa rekordu TXT DNS, aby udostępnić listę autoryzowanych adresów IP wysyłających dla danej domeny. Zwykle kontrole SPF są wykonywane tylko względem adresu 5321.MailFrom. Oznacza to, że adres 5322.From nie jest uwierzytelniany podczas korzystania z programu SPF samodzielnie. Umożliwia to scenariusz, w którym użytkownik może otrzymać komunikat, który przekazuje sprawdzanie SPF, ale ma sfałszowany adres nadawcy 5322.From.
Podobnie jak rekordy DNS dla spF, rekord DMARC jest rekordem tekstowym DNS (TXT), który pomaga zapobiegać fałszowaniu i wyłudzaniu informacji. Rekordy TXT DMARC są publikowane w systemie DNS. Rekordy DMARC TXT weryfikują pochodzenie wiadomości e-mail, weryfikując adres IP autora wiadomości e-mail przeciwko domniemanemu właścicielowi domeny wysyłającej. Rekord TXT DMARC identyfikuje autoryzowane serwery poczty e-mail dla ruchu wychodzącego. Docelowe systemy poczty e-mail mogą następnie sprawdzić, czy wiadomości odbierane pochodzą z autoryzowanych serwerów poczty e-mail wychodzących. Wymusza to niezgodność między 5321.MailFrom i 5322.From adresów we wszystkich wiadomościach e-mail wysłanych z domeny i DMARC zakończy się niepowodzeniem dla tej wiadomości e-mail. Aby tego uniknąć, należy skonfigurować DKIM dla domeny.
Rekord zasad DMARC umożliwia domenie ogłoszenie, że ich wiadomość e-mail używa uwierzytelniania; udostępnia adres e-mail do zbierania opinii na temat korzystania z domeny; i określa żądane zasady obsługi komunikatów, które nie przechodzą kontroli uwierzytelniania. Zalecamy, aby
- Domeny instrukcji zasad publikujące rekordy DMARC są "p=reject", jeśli to możliwe, "p=kwarantanna" w przeciwnym razie.
- Instrukcja zasad "p=none", "sp=none" i pct<100 powinna być postrzegana tylko jako stany przejściowe, z celem ich jak najszybszego usunięcia.
- Każdy opublikowany rekord zasad DMARC powinien zawierać co najmniej tag "rua", który wskazuje skrzynkę pocztową na potrzeby odbierania raportów agregujących DMARC i nie powinien wysyłać odpowiedzi z powrotem podczas odbierania raportów ze względu na obawy dotyczące prywatności.
Następne kroki
Najlepsze rozwiązania dotyczące implementowania usługi DMARC
Domeny poczty e-mail i uwierzytelnianie nadawców pod kątem usług Azure Communication Services
Rozpocznij pracę, łącząc usługę komunikacji e-mail z zasobem usługi Azure Communication Service
Poniższe dokumenty mogą cię zainteresować:
- Zapoznaj się z biblioteką klienta poczty e-mail
- Jak wysyłać wiadomości e-mail z niestandardowymi zweryfikowanymi domenami? Dodawanie domen niestandardowych
- Jak wysyłać wiadomości e-mail za pomocą domen zarządzanych platformy Azure? Dodawanie domen zarządzanych platformy Azure