Et ole varmaan koskaan nähnyt näin paljon anakronismia samassa paikassa! Puretaanpa nopeasti SPF-, DKIM- ja DMARC DNS-tietueet.
Ajattele DNS:ää internetin osoitekirjana. Se auttaa ohjaamaan erityyppistä liikennettä, kuten verkkopyyntöjä tai sähköpostia, oikeille palvelimille. Mitä meihin tulee, SPF-, DKIM- ja DMARC-tietojen DNS-tietueet ovat kaikki TXT-tietuetyyppejä.
SPF, DKIM ja DMARC toimivat yhdessä, jotta sähköposti pysyy turvallisena ja roskapostittomana.
In this video I explain in simple terms what these records are, and why they are important.
➡️. Siirry hyviin asioihinja tarkista verkkotunnusten vaatimustenmukaisuus
SPF
Tämä on periaatteessa luettelo palvelimista, jotka saavat lähettää sähköpostia nimissäsi. Tämä ei ole sama asia kuin sähköpostin lähettäminen puhelimesta, kannettavasta tietokoneesta tai webmailista. Nämä kaikki ovat yhteydessä samaan sähköpostipalvelimeen. SPF-tietueet viittaavat yleensä seuraaviin esimerkkeihin sähköpostipalvelimista:
- Ensisijainen sähköpostipalvelimesi (esim. sähköpostipalveluntarjoajan SMTP-palvelin).
- Verkkosivuston hosting-yritys
- Microsoft
- Google jne.
- Postituslistoja varten käyttämäsi alusta
- Mailchimp
- Kajabi
- Sender jne.
Examples
v=spf1 include:sendersrv.com include:relay.k.io ~allTästä näemme esimerkiksi, että sähköpostin lähettäminen nimelläni sallitaan palvelimilla, joiden osoitteet ovat sendersrv.com ja relay.k.io, ja että "kaikkiin" sähköposteihin sovelletaan "soft-fail" -käytäntöä (merkitty ~-symbolilla), mikä tarkoittaa, että SPF-testin läpäisseet sähköpostiviestit merkitään epäonnistuneiksi, mutta niiden sallitaan siirtyä vastaanottajan postilaatikkoon. Hard fail -käytäntö ( - ) aiheuttaisi riskin, että hylätään sähköpostiviestit, jotka ovat kelvollisia, mutta jotka on lähetetty eteenpäin joltakulta muulta taholta.
sendersrv.com on uutiskirjeiden lähettämiseen käytetty alusta, ja relay.k.io viittaa kyseisen verkkosivuston hosting-yrityksen sähköpostipalvelimeen.
For instance, if a spammer sends an email from their own server in your name, their email server won’t be listed in the SPF record. If an email is sent from a server not listed in your SPF record, the recipient’s email system can flag it as suspicious or reject it based on the DMARC policy (see below).
SPF hardfail example
v=spf1 ip4:192.168.0.1 -allIn the provided example, the minus symbol (in front of all at the end of the record) indicates that any senders not listed in this SPF record should be treated as a hardfail. This means they are unauthorised, and emails from them should be discarded. In this case, only the IP address 192.168.0.1 is authorised to send emails, and nothing else.
This means that there is a strong risk that legitimate emails which are forwarded or auto-redirected will fail, since the forwarding server won’t match the sending server.
SPF softfail example
v=spf1 include:spf.protection.outlook.com ~allIn the example above, the tilde symbol (in front of all at the end of the record) means that any senders not listed in this SPF record should be treated as a softfail. This means that the mail can be allowed through, but it’ll be tagged as spam or suspicious. In this case, the include:spf.protection.outook.com mechanism gave Microsoft 365 the green light to send emails. Any emails coming from different servers will be marked as spam by the receivers.
DKIM
Tämä TXT-tietue sisältää digitaalisen allekirjoituksen, joka lisätään sähköpostin otsikoihin. Allekirjoitus luodaan yksityisellä avaimella, ja vastaanottajat voivat tarkistaa sen lähettäjän DNS-tietueissa julkaistun julkisen avaimen avulla. Näin varmistetaan, että sähköpostin on todellakin lähettänyt se verkkotunnus, jolta se väitetään lähetetyksi, ja että sen sisältöä ei ole muutettu kuljetuksen aikana.
DKIM-tietueen sisältö voi osittain näyttää tältä:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3YBSWpiwQtktDgdZOxoB/LwBHOsafxXTqMV9TFgkNo2gkfiHznZKGBOlXIyqE9bALvyaLARUWOTYHyG4dWKLdPTOy2MLnD48h3F7OQmzCYRJkJ/a+xvWqeXu5UjqWvilSopUVkXHNE1Wl1F+oHbjr+jUvu0iZE7637Jx ........DMARC
DMARC-tietue kertoo vastaanottajan sähköpostipalvelimelle, miten SPF- tai DKIM-tarkistukset epäonnistuvat sähköpostiviesteissä.
Laiskin vastaus, jonka se voi saada, on "meh ... 🤷🏼".
v=DMARC1; p=none;"p"-merkki tarkoittaa politiikkaa, ja tässä tapauksessa sitä ei ole. Tämä periaatteessa vain kertoo vastaanottajapalvelimelle: "Anna sähköpostin mennä läpi. Jos se on huijausta ( 😉 ), käytä vain parasta harkintaasi."
DMARC-tietueen paljon viisaampi käyttö voisi olla seuraavanlainen:
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-reports@example.com;Lähde: https://www.emailtooltester.com/en/blog/dmarc-record-example/
Tämä käskee vastaanottajapalvelinta soveltamaan käytäntöä 50 prosenttiin sähköposteista, jotka eivät läpäise SPF- ja DKIM-tarkistuksia: Karanteeniin ja lähettämään epäonnistumisraportit osoitteeseen dmarc-reports@example.com.
Ihanteellinen tietue olisi seuraavanlainen:
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-fails@example.com;When applying policy other than “none”, important to be sending the reports. Without reporting (and actually reading those reports), you will have no way to know how effective your settings are, and if legitimate emails are getting blocked by accident.
🔗 My DMARC monitoring service handles this for you.
Se, miten tiukasti teet asioista, riippuu sinusta itsestäsi ja myös siitä, kuinka paljon energiaa sinulla on henkilökohtaisesti raporttien läpikäymiseen, ja kokemukseni mukaan se vaatii työkaluja, jotka ratkaisevat. Voit käyttää työkaluja osoitteessa MXToolbox.com for this.
Kun tämä on tehty, seuraava vaihe on seurata sähköposteja DMARC-raporttien avulla varmistaaksesi, että kaikki asetukset ovat oikein ja että sähköpostit saapuvat oikein. Jos näin ei ole, seurannan tulokset auttavat sinua korjaamaan tilanteen.
🔗 Lue lisää tästä: Sähköpostin uhat – Reagointi ja seuranta
Check your domains email security stance
Quickly check your email security stance with the free tool below.
Vastaa