E-postautentisering gjennom SPF og DKIM
E-postautentisering gjennom SPF og DKIM
Nå skjer det igjen! Akronymer igjen, ting å vite igjen, nerdeinformasjon igjen! Vel nei, de er en alvorlig sak, og riktig levering av e-postene dine avhenger av disse akronymene. Vi vet av personlig erfaring at disse akronymene kan høres ukjente ut, skremmende og kan virke totalt uinteressante. Eller kanskje de høres kjente ut for deg, men du har aldri brydd deg nok til å sjekke hva de egentlig er. La oss prøve å gjøre noe klarhet for ikke-teknikere.
Uansett er det på tide å lære litt om hva SPF og DKIM er og hvordan du setter dem opp i DNS-postene for e-postserveren din hvis du vil ha bedre kontroll over leveringen av e-postene dine. Jeg vil prøve mitt beste for å forklare det med enkle ord, som ikke bare vil forstås av programmerere.
Hva er SPF? Hvordan virker SPF?
Enkelt sagt, Sender Policy Framework (SPF) er en sikkerhetsmekanisme bygget for å forhindre skurker fra å sende e-poster på dine vegne. Mekanismen involverer kommunikasjon mellom DNS-servere ... og det er her det hele begynner å se skummelt ut! Men ikke få panikk. Jeg skal prøve å holde det så enkelt som mulig.
La oss si at du sendte en e-post til Bob. Men hvordan vet Bobs DNS-server at e-posten faktisk ble sendt av deg? Problemet er at han faktisk ikke vet. Med mindre du har satt opp SPF på DNS-serveren din. Vel, vi må forklare hva en DNS-server er, men la oss hoppe over det, ellers sender du meg til helvete!
SPF definerer hvilke IP-adresser som kan brukes til å sende e-post fra domenet ditt. Så la oss forestille oss to mulige "samtaler" mellom servere. For å gjøre dette enklere, la oss anta at du heter Paul.
Scenario 1 – Du har ikke satt SPF.
Mike's Server: Hei, Bob's Server. Jeg har en ny melding fra Mike.
Bobs server: Hei Mikes server. Hva er din SPF?
Mikes server: Ja, om SPF... hvem bryr seg, egentlig. Jeg har ikke en. Stol på meg, det er fra Mike.
Bobs server: Hvis du ikke har SPF, kan jeg ikke være sikker på at Mike sendte den. Gi meg Mikes tillatte IP-er slik at jeg kan sammenligne dem med din.
Mikes server: Jeg har ikke Mikes IP-hviteliste.
Bobs server: Da vil jeg ikke ha meldingen din. Levering nektet. Beklager, kompis...
Scenario 2 – Du har satt SPF.
Mike's Server: Hei, Bob's Server. Jeg har en ny melding fra Mike.
Bobs server: Hei Mikes server. Hva er din SPF?
Mikes server: Her er min SPF. Det er en hel liste over IP-er som Mike selv har erklært som de som kan brukes på hans vegne.
Bobs server: Ok, la meg se... Og meldingen du har til meg er sendt fra IP 64.233.160.19. Ok, den er på listen. Alt ser bra ut. Gi meg meldingen, jeg skal vise den til Bob. Takk skal du ha!
Jeg beklager til alle sys-lesere for denne forenklingen, jeg vet at du skjelver, men tilgi meg og husk at vi misunner den tekniske kunnskapen din, men jeg må snakke med et ikke-teknisk publikum og jeg må forenkle.
Uansett, moralen i disse to korte dialogene er: still inn din SPF. Hvis du ikke gjør det, kan du se ut som en dårlig gutt, og ikke alle e-postene dine blir levert.
Hvilke applikasjoner bør du inkludere i din SPF?
Den generelle ideen er å sørge for at alle applikasjoner som sender e-post på dine vegne (og som bruker deres SMTP, ikke din) er inkludert i din SPF. Hvis du for eksempel bruker Google Apps til å sende e-post fra domenet ditt, bør du legge inn Google i SPF. Her er Googles instruksjoner om hvordan du gjør det.
Men det er viktig å sørge for at Google ikke er det eneste programmet som har tillatelser i SPF-en din. For eksempel, hvis vi bruker HelpScout til å administrere support-e-postene våre og MailChimp for å sende nyhetsbrevene våre, inkluderer vi begge i vår SPF.
Bør jeg også inkludere Woodpecker i min SPF?
Nei. Som sagt bør du huske å legge apper som sender e-post på dine vegne, men bruker deres egen SMTP, i SPF-posten din. Woodpecker bruker din egen SMTP for å sende e-postene dine, så det er mer en nettbasert e-postklient enn en app for massesending av e-post.
Når det er sagt, avhenger leveringsdyktigheten til e-poster sendt fra Woodpecker av omdømmet til domenet ditt. Å angi SPF og DKIM vil hjelpe deg med å beskytte det gode omdømmet til domenet ditt, og dermed forbedre leveringsevnen til e-postene dine.
Hvordan sette SPF-rekord på serveren trinn for trinn?
Det første trinnet er å sjekke hva din nåværende SPF-post er. Du kan gjøre dette ved å bruke verktøy som:
Når du skriver inn domenet ditt (for eksempel ville jeg skrevet woodpecker.co), vil verktøyene kjøre noen tester og vise deg din nåværende SPF, eller et varsel om at den ikke er angitt ennå.
Hva er de neste trinnene?
Avhengig av domeneverten din, vil trinnene være forskjellige. I utgangspunktet handler det om å lime inn en riktig strukturert tekstlinje på riktig sted i konsollen. Hvis du for eksempel bruker Google Apps til å sende all e-post fra domenet ditt, skal linjen se slik ut:
«v=spf1 include:_spf.google.com ~all»
"v=spf1"-delen av posten kalles en versjon, og de som kommer etter det kalles mekanismer.
La oss nå se hva nøyaktig hver del betyr.
- v=spf1 dette elementet identifiserer posten som en SPF
- inkluderer:_spf.google.com denne mekanismen inkluderer e-postservere som er autoriserte servere
- ~v=spf1 dette elementet indikerer at hvis en e-post mottas fra en uautorisert server (ikke oppført i "inkluder:"-mekanismen), er den merket som en myk feil, noe som betyr at den kan slippes gjennom, men kan bli flagget som spam eller mistenkelig.
Men hvis du bruker flere apper enn dette (for eksempel noe for å sende nyhetsbrevet ditt, noe for å sende støttemeldinger osv.), vil linjen være litt lengre, fordi du må inkludere alle andre apper i den. Eller hvis du ikke bruker Google Apps, men en server fra en annen vert, for eksempel GoDaddy, vil linjen være annerledes.
Slik stiller du inn SPF for de vanligste domenevertene:
Hva er DKIM?
DKIM-standarden (DomainKeys Identified Mail) ble opprettet av samme grunn som SPF: for å hindre skurker i å etterligne deg som e-postavsender. Det er en måte å signere e-postene dine ytterligere på på en måte som lar mottakerens server sjekke om avsenderen er deg eller ikke.
Ved å sette opp DKIM på DNS-serveren din, legger du til enda en metode for å fortelle mottakerne dine "ja, dette er virkelig meg som sender denne meldingen".
Hvordan stille inn dkim og spf
Hele ideen er basert på kryptering og dekryptering av tilleggssignaturen plassert i overskriften på meldingen din. For å gjøre dette mulig, må du ha to nøkler:
- den private nøkkelen (som er unik for ditt domene og kun tilgjengelig for deg. Den lar deg kryptere signaturen din i overskriften på meldingene dine).
- den offentlige nøkkelen (som du legger til i DNS-postene dine ved å bruke DKIM-standarden, for å la mottakerens server hente den og dekryptere signaturen din skjult i overskriften på meldingen).
Ta Game of Thrones for det store bildet av DKIM. Ned Stark sender en kråke med en melding til kong Robert. Alle kunne ta et stykke papir, skrive en melding og signere den Ned Stark. Men det er en måte å autentisere meldingen på – seglet. Nå vet alle at Neds sigil er en direwolf (dette er den offentlige nøkkelen). Men bare Ned har det originale seglet og kan sette det på meldingene sine (dette er den private nøkkelen) Å sette opp DKIM er bare å legge den offentlige nøkkelinformasjonen i serverpostene dine. Det er rett og slett en txt-post som må settes på rett sted.
Når du har satt opp dette, vil mottakerens server prøve å dekryptere den skjulte signaturen din ved hjelp av den offentlige nøkkelen hver gang noen mottar en e-post fra deg. Hvis det lykkes, vil dette autentisere meldingen din ytterligere og følgelig øke autoriteten til alle e-postene dine.
Hvordan konfigurerer jeg DKIM-posten på serveren trinn for trinn?
Først må du generere den offentlige nøkkelen. For å gjøre dette må du logge på e-postleverandørens administrasjonskonsoll. De neste trinnene kan være forskjellige avhengig av e-postleverandøren din.
Hvis du bruker Google Apps til å sende e-postene dine, er her ISTRUZIONI steg for steg. For Google Apps-brukere bør du vite at DKIM-signaturer er slått av som standard, så du må slå dem på manuelt i Google-administrasjonskonsollen.
Når du har den offentlige nøkkelen, ta den genererte txt-posten og lim den inn på riktig sted i DNS-postene dine.
Til slutt må du aktivere e-postsignering for å begynne å sende e-poster med signaturen din kryptert med din private nøkkel. Dette er hvordan, hvis du bruker Google Apps til å sende e-postene dine.
Angi SPF og DKIM og forbedre leveringsevnen
Hvis du sender mange e-poster, enten det er for markedsføring eller for innkommende eller utgående salg, er domeneomdømmet ditt avgjørende, og du bør ta vare på det. Du vil ikke at domenet ditt skal bli svartelistet og e-postene dine skal gå til spam. Riktig innstilling av SPF- og DKIM-postene på DNS-serveren din er et nødvendig skritt for sikkerheten til domenet ditt og den høye leveringsdyktigheten til meldingene dine.
Å sette dem opp kan virke komplisert, men det er utvilsomt verdt det. Hvis jeg var deg, ville jeg gått til kontoen min og sjekket om SPF og DKIM er riktig konfigurert akkurat nå, eller bedt IT-folkene mine om å gjøre det. Og skulle det vise seg at svaret er «nei», ville jeg bedt dem hjelpe meg.
Du kan også være interessert i:
Lausanne, på sporet av forurensning: historien om en forbrenningsovn
Et team av forskere har rekonstruert hendelsene i Vallon avfall-til-energi-anlegget og den usynlige forurensningen som sjokkerte kantonen Vaud
Hvordan miljøet bestemmer egenskapene til osten
Smakingen fremhever hvordan klima og fôrvekster med uendrede produksjonsregler påvirker ulike organoleptiske noter
Innosuisse har nådd sine innovasjonsmål for 2023 i Sveits
Et rekordbeløp på over 490 millioner franc er bevilget for å kompensere for manglende tilknytning til EUs velkjente Horizon Europe-program
"Jeg selger, men jeg blir": den nye trenden til den lille gründeren
Historien om Francesco Schittini og Emotecs inntreden i MCP-fondet er eksemplarisk på hyppige eierskifter uten organisatoriske sjokk
//