Üç e-posta kimlik doğrulama standardı, gönderen için e-posta teslim edilebilirliğini ve alıcı için e-posta güvenliğini iyileştirmek için birlikte çalışır.
Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) ve Domain-based Message Authentication, Reporting, and Conformance (DMARC), şirketinizden gönderilen e-postaların gerçek olduğundan ve kötü niyetli aktörlerin adres sahteciliği yapmadığından veya başka bir şekilde kurcalamadığından emin olmanıza yardımcı olur. onlara.
SPF, DKIM, DMARC
SPF, DKIM ve DMARC, alıcı e-posta sunucusuna belirli bir iletinin yetkili bir IP adresinden gönderildiğini, gönderenin kimliğinin doğru olduğunu ve gönderenin kimliği konusunda şeffaf olduğunu gösterir.
Her birini sırayla ele alalım.
Alanınız için SPF kayıtlarının ayarlanması, Alan Adı Sistemine (DNS) giden posta sunucularının yetkili listesini içeren bir tür TXT kaydı eklemeyi içerir. SPF, işletmenizin etki alanından gelen e-postaların sahte bir kaynaktan değil, kimliği doğrulanmış bir kaynaktan geldiğini doğrular.
DKIM anahtarları iki bölümden oluşur: DNS'de saklanan bir genel anahtar ve gönderen posta sunucusunda saklanan bir özel anahtar. Giden her e-postaya eklenen DKIM imzası, alıcıların posta sunucuları tarafından orijinalliğini doğrulamak için kullanılır. DKIM, belirli bir e-posta mesajının değiştirilip değiştirilmediğini de belirtebilir.
DMARC, bir şirketin etki alanından gelen e-postaların SPF veya DKIM kimlik doğrulamasında başarısız olması durumunda nasıl ele alınması gerektiğini kontrol etmesine olanak tanıyan bir politika mekanizmasıdır. Seçenekler "reddet", "karantinaya al" veya "yok" şeklindedir. Yanlış yapan biri alanınızı kullanmaya çalışıyorsa, bu bir alarm zili gibi olabilir.
SPF Kayıtları
Bir SPF kaydı ayarlamak, GoDaddy veya benzeri bir kayıt kuruluşunda alan adınızın DNS kayıtlarına erişim gerektirir. Etki alanınızı doğrulamanız veya yeni bir sunucuya taşımanız gerektiyse, muhtemelen DNS kaydını güncellemişsinizdir.
Bir SPF kaydı, alanınızın DNS'sindeki bir TXT kaydıdır.
SPF kaydı "TXT" türünde olacaktır. Ve kullandığınız SPF sürümü ile başlayacaktır.
v=spf1
Sürümü, aşağıdaki gibi yetkili IP4 veya IP6 adreslerinin bir listesi takip eder:
v=spf1 ip4:192.168.0.1
Bu SPF kaydı, 192.168.0.1 IP adresinden gelen e-postaları yetkilendirir. Bir dizi IP adresine izin vermek için, Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) gösterimini (bazen "eğik çizgi" gösterimi olarak adlandırılır) kullanabilirsiniz.
v=spf1 ip4:192.168.0.0/ 16
Yukarıdaki SPF kaydı, 192.168.0.0 ile 192.168.255.255 arasındaki bir dizi IP adresini yetkilendirir — “/16” bunu gösterir.
"a" ön ekini kullanan bir SPF kaydı, bir etki alanını ada göre yetkilendirebilir. Aşağıdaki kayıt, example.com etki alanıyla ilişkili bir sunucuyu yetkilendirir.
v=spf1 a:example.com
Benzer şekilde, "mx" ("posta alışverişi") ön eki, belirli posta sunucularına yetki verir.
v=spf1 mx:mail.example.com
Bir üçüncü taraf göndericiyi yetkilendirmek için "include" önekini kullanın. Aşağıdaki örnek, hem bir IP aralığına hem de Google sunucularına izin verir.
v=spf1 ip4:192.168.0.0/16 şunları içerir:_spf.google.com
Ayrıca iki SPF niteleyicisi vardır. İlki yaklaşık işareti (~) olan ~tümüdür. İkincisi, kısa çizgi (-) ile -tümüdür.
Yaklaşık sürüm (~all) bir soft-fail niteleyicisidir. Çoğu durumda, alıcı e-posta sunucusu, ilgili SPF kaydında olmayan ancak şüpheli olarak değerlendiren göndericilerden gelen iletileri kabul eder.
Tire versiyonu (-all), kalıcı bir niteleyicidir. Alıcı e-posta sunucusu, SPF kaydında yetkilendirilmemiş bir sunucudan gönderilen iletileri büyük olasılıkla spam olarak etiketleyecek ve reddedecektir.
Son olarak, bunların tümü nispeten karmaşık yetkilendirmeler için birlikte kullanılabilir.
v=spf1 ip4:192.168.0.0/16 a:example.com şunları içerir:_spf.google.com
Unutmayın, SPF kayıtları e-posta sunucularını alma şirketinizin etki alanından gerçek e-posta iletilerini tanımlayın.
DKIM Anahtarları
DKIM, alan adınızı korur ve herhangi birinin şirketinizin kimliğine bürünmesini engellemeye yardımcı olur. İki DKiM anahtarı, alıcının e-posta sunucusunun, mesajı şirketinizin gönderdiğini ve siz gönderdikten sonra değiştirilmediğini doğrulamasını sağlar.
DKIM kurulumunun ilk adımı, biri genel diğeri özel olmak üzere anahtarları oluşturmaktır. Özel anahtar, alanınızdan e-posta göndermek için kullanılan sunucuda güvenlidir. Ortak anahtar, DNS'ye bir TXT kaydı olarak eklenir.
Zor kısım, anahtarları oluşturmaktır, çünkü anahtarları oluşturmaya yönelik kesin prosedür bir e-posta servis sağlayıcısından diğerine değişir. Ve şirketinizin kendi posta sunucusunu barındırması tamamen farklıdır.
E-posta servis sağlayıcıları talimatlar sunar. Belirli bir sıra olmadan birkaç örnek.
- Mailchimp: E-posta Etki Alanı Kimlik Doğrulamasını Ayarlayın,
- Klaviyo: Özel Gönderen Etki Alanı Nasıl Kurulur,
- Zoho Kampanyaları: Etki Alanım Nasıl Doğrulanır?,
- MailerLite: E-posta etki alanı kimlik doğrulaması,
- Kampanyacı: DKIM, SPF ve DMARC,
- ConvertKit: E-posta Gönderme için Doğrulanmış Etki Alanı Kullanma,
- Posta Gönderme: E-postalarınız için Teslim Edilebilirliği En Üst Düzeye Çıkarma,
- AktifKampanya: SPF, DKIM ve DMARC Kimlik Doğrulaması,
- Kap: DKIM.
Her durumda, e-posta sağlayıcısının CNAME kaydını alanınızın DNS'sine kopyalayıp yapıştırdığınızda DKIM tamamlanır. Bu kayıt(lar), şirketinizin giden trafiğini doğrulamak için genel anahtarı temsil eder. e-posta pazarlama mesajları.
DMARC
DMARC, başka bir koruma katmanı sağlar ve ayrıca e-posta sunucularına, SPF veya DKIM kimlik doğrulamasında başarısız olan iletilerle ne yapmaları gerektiğini bildirir.
DMARC'nin temeli, alanınızın DNS'sine yerleştirilen bir TXT kaydıdır. Bu, en az iki öğe içeren DMARC politikasını içerecektir:
- E-posta kimlik doğrulamasının toplu raporlarını almak için bir e-posta adresi ve
- Kimlik doğrulamasında başarısız olan e-postalar için yapılacak eylem (ör. reddetme veya karantinaya alma).
İşte bir DNS'deki örnek bir DMARC TXT kaydı:
v=DMARC1; p=karantina; rua=mailto:[e-posta korumalı]; ruf=mailto:[e-posta korumalı]
Kayıt, DMARC versiyonu ile başlar.
v=DMARC1;
"p" öğesi, kimlik doğrulamasında başarısız olan e-postalar için eylemi atar. Bu durumda, alıcı sunucuya bu tür iletileri bir bekletme alanına taşıması talimatını veren "karantinaya" ayarlanmıştır. Diğer seçenekler arasında e-postayı durdurmayan ancak SPF veya DKIM hatalarını izleyen "yok" veya "reddet" yer alır.
p=karantina;
"rua" ve "ruf" ön ekleri, alıcı sunucuya toplu raporların (rua - Toplu veriler için Raporlama URI'si) ve adli raporların (ruf - Hata verileri için Raporlama URI'si) nereye gönderileceğini söyler. Bu raporlar, işletmenizi taklit etmeye çalışan bir suçluyu ifşa edebilir.
Ek değiştiriciler şunları içerir:
- pct — DMARC politikasına tabi olan e-posta mesajlarının yüzdesi.
- sp — alt alanlar için DMARC politikası.
- adkim — DKIM için katı (adkim:s) veya rahat (adkim:r) mod atar.
- aspf — SPF için katı (adkim:s) veya rahat (adkim:r) mod atar.
Üçüncü taraf hizmetleri, şuna dayalı bir DMARC kaydı oluşturmaya yardımcı olabilir: resmi standart. Bu hizmetler şunları içerir:
Göndericiyi ve Alıcıları Koruyun
Alanınız için SPF, DKIM ve DMARC kayıtlarının ayarlanması, e-posta sunucularının şirketinizden gelen iletileri gerçek olarak tanımasını ve sahtekarları reddetmek. Sonuç, şirketinizin itibarını korur ve müşterileri kimlik avı saldırılarına ve diğer e-posta dolandırıcılık türlerine karşı korur.