Najlepsze praktyki dla wsparcia uwierzytelniania nadawcy

W tym artykule przedstawiono najważniejsze wskazówki dotyczące wysyłania wiadomości e-mail dotyczące rekordów DNS oraz sposoby korzystania z metod uwierzytelniania nadawcy, które uniemożliwiają osobom atakującym wysyłanie wiadomości, które wyglądają, jakby pochodziły z Twojej domeny.

Uwierzytelnianie poczty e-mail i konfiguracja DNS

Wysłanie wiadomości e-mail wymaga kilku kroków, które obejmują weryfikację, czy nadawca wiadomości e-mail jest faktycznie właścicielem domeny, sprawdzenie reputacji domeny, skanowanie antywirusowe, filtrowanie pod kątem spamu, prób wyłudzenia informacji, złośliwego oprogramowania i tak dalej. Konfiguracja prawidłowego uwierzytelniania poczty elektronicznej jest podstawową zasadą budowania zaufania do poczty e-mail i ochrony reputacji domeny. Jeśli wiadomość e-mail przejdzie weryfikację uwierzytelniania, domena odbierająca może zastosować zasady do tej wiadomości e-mail zgodnie z reputacją już ustaloną dla tożsamości powiązanych z tymi testami uwierzytelniania. Odbiorca może być pewien, że te tożsamości są prawidłowe.

Rekord MX (Mail Exchange)

Rekord MX (Mail Exchange) służy do kierowania poczty e-mail na właściwy serwer. Określa serwer poczty odpowiedzialny za akceptowanie wiadomości e-mail w imieniu Twojej domeny. DNS musi zostać zaktualizowany o najnowsze informacje o rekordach MX Twojej domeny poczty e-mail, w przeciwnym razie spowoduje to pewne niepowodzenia dostarczania.

SPF (Ramy Polityki Nadawców)

SPF RFC 7208 to mechanizm, który umożliwia właścicielom domen publikowanie i utrzymywanie, za pośrednictwem standardowego rekordu DNS TXT, listy systemów upoważnionych do wysyłania wiadomości e-mail w ich imieniu. Ten rekord służy do określania, które serwery poczty są upoważnione do wysyłania wiadomości e-mail w imieniu Twojej domeny. Pomaga zapobiegać spoofingowi wiadomości e-mail i zwiększać dostarczalność wiadomości e-mail.

DKIM (poczta identyfikowana za pomocą kluczy domeny)

DKIM RFC 6376 pozwala organizacji na przejęcie odpowiedzialności za przesłanie wiadomości w sposób, który odbiorca może zweryfikować. Rekord ten jest również używany do uwierzytelniania domeny, z której wysyłana jest wiadomość e-mail, i pomaga zapobiegać spoofingowi wiadomości e-mail i zwiększać dostarczalność wiadomości e-mail.

DMARC (uwierzytelnianie, raportowanie i zgodność wiadomości w oparciu o domenę)

DMARC RFC 7489 jest skalowalnym mechanizmem, za pomocą którego organizacja pocztowa może wyrażać zasady i preferencje na poziomie domeny dotyczące walidacji, dyspozycji i raportowania wiadomości. Organizacje odbierające pocztę mogą korzystać ze specyfikacji RFC 7489 w celu usprawnienia obsługi poczty. Możesz również użyć RFC 7489, aby określić, w jaki sposób odbiorcy wiadomości e-mail powinni obsługiwać wiadomości, które nie przejdą kontroli SPF i DKIM. Poprawia to dostarczalność wiadomości e-mail i pomaga zapobiegać spoofingowi wiadomości e-mail.

ARC (uwierzytelniony łańcuch odebrań)

Protokół ARC RFC 8617 zapewnia uwierzytelniony łańcuch dowodowy dla komunikatu, umożliwiając każdej jednostce, która obsługuje komunikat, zidentyfikowanie, które jednostki obsługiwały go wcześniej, oraz ocenę uwierzytelniania komunikatu przy każdym przeskoku. ARC nie jest jeszcze standardem internetowym, ale adopcja rośnie.

Jak działa uwierzytelnianie poczty e-mail

Uwierzytelnianie poczty e-mail sprawdza, czy wiadomości e-mail od nadawcy (na przykład notification@contoso.com) są wiarygodne i pochodzą z oczekiwanych źródeł dla tej domeny poczty e-mail (na przykład contoso.com).

Wiadomość e-mail może zawierać wiele adresów nadawcy lub nadawcy. Adresy te są wykorzystywane do różnych celów. Weźmy na przykład pod uwagę następujące adresy:

• Adres nadawcy identyfikuje nadawcę i określa, gdzie należy wysyłać powiadomienia zwrotne w przypadku wystąpienia jakichkolwiek problemów z dostarczeniem wiadomości, takich jak powiadomienia o niedostarczeniu. Powiadomienia o zwrocie są wyświetlane w części koperty wiadomości e-mail i nie są wyświetlane przez aplikację poczty e-mail. Jest on czasami nazywany adresem 5321.MailFrom lub adresem ścieżki zwrotnej.

• Adres nadawcy to adres wyświetlany jako adres nadawcy przez aplikację pocztową. Ten adres identyfikuje autora wiadomości e-mail. Oznacza to, że skrzynka pocztowa osoby lub systemu odpowiedzialnego za napisanie wiadomości. Jest on czasami nazywany adresem 5322.From.

• Sender Policy Framework (SPF) pomaga weryfikować wychodzące wiadomości e-mail wysyłane z Twojej poczty z domeny (pochodzą od osoby, za którą się podają).

• DomainKeys Identified Mail (DKIM) pomaga zapewnić, że docelowe systemy poczty e-mail ufają wiadomościom wysyłanym wychodząco z poczty z domeny.

• Domain-based Message Authentication, Reporting, and Conformance (DMARC) współpracuje z Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM) w celu uwierzytelniania nadawców poczty. Takie podejście gwarantuje, że docelowe systemy poczty e-mail będą ufać wiadomościom wysyłanym z Twojej domeny.

Wdrażanie DMARC

Implementacja DMARC z SPF i DKIM zapewnia bogatą ochronę przed spoofingiem i wiadomościami phishingowymi. SPF używa rekordu DNS TXT do dostarczenia listy autoryzowanych adresów IP do wysyłania dla danej domeny. Zazwyczaj kontrole SPF są wykonywane tylko na adresie 5321.MailFrom. Oznacza to, że adres 5322.From nie jest uwierzytelniany, gdy sam używasz SPF. Pozwala to na scenariusz, w którym użytkownik może otrzymać wiadomość, która przechodzi kontrolę SPF, ale ma sfałszowany adres nadawcy 5322.From.

Podobnie jak rekordy DNS dla SPF, rekord dla DMARC jest rekordem tekstowym DNS (TXT), który pomaga zapobiegać podszywaniu się i wyłudzaniu informacji. Rekordy TXT DMARC są publikowane w systemie DNS. Rekordy TXT DMARC weryfikują pochodzenie wiadomości e-mail, weryfikując adres IP autora wiadomości e-mail z domniemanym właścicielem domeny wysyłającej. Rekord TXT DMARC identyfikuje autoryzowane serwery poczty wychodzącej. Docelowe systemy poczty e-mail mogą następnie sprawdzać, czy otrzymywane wiadomości pochodzą z autoryzowanych serwerów poczty wychodzącej. Wymusza to niezgodność między adresami 5321.MailFrom i 5322.From we wszystkich wiadomościach e-mail wysyłanych z Twojej domeny, a DMARC nie działa dla tej wiadomości e-mail. Aby tego uniknąć, musisz skonfigurować DKIM dla swojej domeny.

Rekord polityki DMARC umożliwia domenie ogłoszenie, że jej poczta e-mail korzysta z uwierzytelniania. Rekord zasad zawiera adres e-mail, na który można zbierać opinie na temat korzystania z domeny. Rekord zasad określa również żądaną zasadę obsługi wiadomości, które nie przechodzą kontroli uwierzytelniania. Zalecamy, aby:

• Oświadczenia zasad domen publikujących rekordy DMARC to "p=reject" tam, gdzie to możliwe, "p=quarantine" w przeciwnym razie.
• Traktuj deklarację polityki "p=none", "sp=none" i pct<100 jako stany przejściowe, mając na celu ich jak najszybsze usunięcie.
• Każdy opublikowany rekord polityki DMARC powinien zawierać co najmniej znacznik wskazujący rua skrzynkę pocztową do otrzymywania zbiorczych raportów DMARC i nie powinien odsyłać żadnych odpowiedzi po otrzymaniu raportów ze względu na obawy dotyczące prywatności.

Następne kroki

• Najlepsze praktyki dotyczące wdrażania DMARC

• Rozwiązywanie problemów z wdrażaniem DMARC

• Domeny poczty e-mail i uwierzytelnianie nadawcy dla usług Azure Communication Services

• Rozpocznij pracę z tworzeniem i zarządzaniem usługą komunikacji e-mail w usłudze Azure Communication Service

• Rozpocznij od połączenia usługi komunikacji e-mail z zasobem Azure Communication Service

Powiązane artykuły

• Zapoznaj się z biblioteką klienta poczty e-mail.
• Jak wysyłać e-maile z niestandardowymi zweryfikowanymi domenami? Dodaj domeny niestandardowe.
• Jak wysyłać e-maile z użyciem Azure Managed Domains? Dodaj domeny zarządzane platformy Azure.