Какво са SPF, DKIM и DMARC?

Когато става въпрос за имейл, доверието е всичко. Но преди съобщението ви изобщо да стигне до нечия входяща поща, то трябва да премине през няколко тихи проверки за сигурност. SPF, DKIM и DMARC решават дали имейлите ви изглеждат легитимни или ще попаднат в спам.

Разбирането как работят тези записи и как да ги настроите правилно може да защити вашия домейн и да гарантира, че съобщенията ви винаги попадат там, където трябва.

Какво представляват SPF, DKIM и DMARC в имейла?

Между натискането на бутона за изпращане и доставянето на вашия имейл започва тиха верига от проверки. Всяка от тях задава един и същ въпрос: наистина ли това е от вас?

SPF, DKIM и DMARC формират цикъл за обратна връзка между подателя и получателя, като потвърждават самоличността ви или преди съобщението ви да напусне домейна ви, или когато пристигне, или и в двата момента. Заедно те са това, което стои между вашето съобщение и папката за спам.

SPF, DKIM и DMARC накратко:

• SPF – проверява дали сървърът, който изпраща вашето съобщение, е в одобрения списък на вашия домейн. Ако е, имейлът преминава. Ако не е, се маркира. Мислете за него като за списъка с гости на вашия домейн.

• DKIM – добавя цифров печат към вашето съобщение, преди то да напусне входящата ви поща. След като стигне до другата страна, получаващият сървър отваря печата, за да се увери, че нищо не е било променено по време на преноса.

• DMARC – решава какво се случва, ако някоя от тези проверки се провали. Той казва на получаващия сървър какво да направи — дали да достави съобщението, да го изпрати в спам или да го блокира изцяло.

Тези три работят заедно: едното проверява подателя, едното защитава съобщението, а едното налага правилата.

Защо SPF, DKIM и DMARC са важни за сигурността на имейла?

SPF, DKIM и DMARC защитават срещу две от най-големите заплахи за имейла днес: спам и spoofing. Нападателите често изпращат съобщения, преструвайки се на някой друг. Представете си, че получавате имейл от Support@yourbank.com с молба да потвърдите данните за акаунта си. Тези три проверки гарантират, че вашата „банка“ наистина е вашата банка:

При phishing атака хакерите използват фалшиви имейли, за да подмамят хората да споделят пароли, номера на кредитни карти или да кликнат върху злонамерени връзки. Без тези защити вашият домейн може да бъде имитиран, а клиентите да получават убедителни съобщения, които изглеждат сякаш идват от вас. Когато SPF, DKIM и DMARC са настроени, тези фалшиви съобщения обикновено се спират, преди изобщо да стигнат до входящата поща.

• SPF ще провери дали имейлът е изпратен от одобрен сървър.

• DKIM ще се увери, че имейлът не е бил променян по време на преноса.

• Ако някоя от тези проверки се провали, DMARC ще гарантира, че имейлът ще бъде отхвърлен, преди да стигне до входящата ви поща

По подобен начин, при phishing атака хакерите изпращат фалшиви имейли, за да подмамят хората да разкрият пароли или да кликнат върху опасни връзки. Ако домейнът на вашата компания не е защитен, те могат да се представят за служител и да изпращат имейли на клиентите ви с искане за техните данни. Ако SPF, DKIM и DMARC са настроени, повечето от тези фалшиви съобщения никога няма да стигнат до входящите пощи на клиентите, защото получаващите сървъри могат да разпознаят, че те всъщност не са от вас.

Защо те са важни и за доставяемостта, а не само за сигурността

Ако изпращате бюлетини, фактури или маркетингови кампании, целта ви вероятно не е просто да изпратите, а да бъдете видени. Но тъй като глобалният спам рязко нарасна, големи доставчици като Gmail и Yahoo въведоха нови правила, за да поддържат входящите пощи чисти.

От 2024 г. тези доставчици изискват подателите да удостоверяват домейните си със SPF, DKIM и DMARC. Без тях имейлите ви може да бъдат отхвърлени, преди дори да напуснат входящата ви поща. Последователното преминаване на тези проверки повишава репутацията ви като подател и предпазва имейлите ви от попадане в спам. Колкото по-добра е репутацията ви, толкова по-бърза е доставката, толкова по-малко са спам сигналите и толкова по-силна е вашата надеждност.

SPF срещу DKIM срещу DMARC — каква е разликата?

Всеки път, когато се качвате на самолет, преминавате през процес, който е почти идентичен с начина, по който работят SPF, DKIM и DMARC. Това може да звучи странно, но тези три термина не са особено лесни за запомняне и е полезно да има по-прост начин да ги свържете в съзнанието си. Освен това, ако тези три не са настроени, пощата ви вероятно ще свърши точно като вас, когато изпуснете чекирането за полет. Навън на студа.

SPF – Първата проверка за сигурност на вашия имейл

Когато се приближите до гишето, готови за качване, служителят проверява билета ви спрямо списъка за полета. Ако името ви е там, получавате разрешение да летите. Ако не е, няма бордна карта, няма полет.

SPF работи по същия начин. Всеки домейн, като example.com, поддържа „списък на пътниците“ или запис кои пощенски сървъри имат право да изпращат имейли от негово име. Когато изпратите имейл, получаващият сървър проверява дали вашият изпращащ сървър е в този списък. Като настроите своя SPF запис, вие на практика добавяте името си в списъка, така че съобщенията ви да преминават проверките за сигурност без забавяне.

DKIM – Проверка на самоличността за вашата входяща поща

След като билетът ви бъде проверен, е време да докажете самоличността си. Снимката в паспорта ви потвърждава, че наистина сте вие, физически подпис, който не може лесно да бъде фалшифициран. DKIM прави същото, но за имейла.

DomainKeys Identified Mail (DKIM) добавя цифров подпис към всяко изходящо съобщение. Този подпис доказва, че имейлът не е бил променян или подправян по време на преноса и предотвратява проследяването на вашия имейл. Когато натиснете изпращане, вашият сървър подписва имейла с частен ключ. Когато той пристигне, получаващият сървър проверява този подпис, потвърждавайки, че съобщението е истинско и непокътнато.

DMARC – Какво се случва, когато нещата се объркат

Ако се появите на летището без билет или паспорт, авиокомпанията има ясна политика какво следва. DMARC работи по същия начин, когато проверките на SPF или DKIM се провалят.

DMARC казва на получаващия сървър какво да направи с имейла, ако проверката на SPF или DKIM се провали. Той може да:

• Не прави нищо

• Постави съобщението под карантина (да го изпрати в спам)

• Отхвърли съобщението напълно

Като подател вие решавате кое правило да се прилага. Задавате го във вашия DNS, като определяте какво се случва, когато съобщенията ви не преминат проверката.

Как да настроите SPF, DKIM и DMARC за вашия домейн

За да настроите SPF, DKIM и DMARC, ще ви е необходим достъп до вашия DNS. Това е мястото, към което сочат nameserver-ите на вашия домейн, тоест регистраторът или DNS хостът.

Както споменахме по-горе, SPF функционира като списък на пътниците, който казва на получаващите сървъри кои хостове могат да изпращат поща за вашия домейн. Така че, за да настроите SPF, трябва да добавите имейла си в този списък на пътниците. За да направите това, има няколко стъпки.

1. Проверете дали вече имате SPF

Започнете, като използвате безплатен инструмент за DNS проверка, за да проверите дали вашият домейн вече има SPF запис. Ако инструментът в раздела TXT показва запис, който започва с v=spf1, това означава, че SPF вече е настроен за вашия домейн.

Ако не се появи такъв запис, ще трябва да създадете нов SPF запис от нулата.

2. Добавете нов SPF запис в DNS

За да добавите нов SPF запис, отидете в DNS настройките на хоста на вашия домейн. Това може да е Spaceship, Google, Outlook и т.н., в зависимост от това кой е вашият доставчик. Намерете списъка със съществуващи записи и изберете Add Record, след което изберете TXT от менюто за тип.

След това попълнете полетата, както е показано по-долу, за да създадете своя SPF запис.

За Spacemail това ще изглежда така:Type: TXT Record | Host: @ | Value: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic

Запазете и изчакайте няколко минути за разпространението.

3. Потвърдете записа

На този етап можете да направите още една проверка с вашия инструмент за DNS проверка. Ако той показва вашата стойност, всичко е наред. Също така е важно да помните, че актуализирането на host записа може да отнеме до 24 часа, така че не се паникьосвайте, ако не се появи веднага.

Стъпка 2. Актуализирайте настройките си за DKIM

DKIM добавя цифров подпис към всеки имейл, който вашият домейн изпраща, доказвайки, че той не е бил подправян.

1: Генерирайте своя DKIM запис

Започнете от настройките на вашия имейл доставчик.

1. Отидете в секцията за удостоверяване на домейн или сигурност на имейла.

2. Намерете опция с етикет DKIM, DomainKeys или нещо подобно.

3. Изберете бутона за генериране на нови DKIM ключове.

Вашият доставчик ще ви даде две ключови части информация:

• Селектор (например selector1._domainkey)

• Самият DKIM запис — дълъг низ от криптиран текст

Добра идея е да копирате и двете на сигурно място, тъй като ще ви трябват в следващата стъпка.

2: Добавете DKIM записа към вашия DNS

След това влезте във вашия DNS доставчик.

1. Отворете DNS записите си и създайте нов запис.

2. Изберете CNAME, ако записът е кратък, или TXT, ако е по-дълъг ключ.

3. В полето Host или Name въведете DKIM селектора (например selector1._domainkey).

4. В полето Value поставете DKIM записа от вашия имейл доставчик.

5. Запазете промените си.

Дайте му няколко минути, тъй като промените в DNS може да отнемат известно време, за да се актуализират.

За бизнес имейла Spacemail можете да настроите DKIM запис с това ръководство.

Стъпка 3. Добавете настройки за DMARC

След като SPF и DKIM са настроени, последната стъпка е DMARC. Просто добавяте още един TXT запис към DNS на вашия домейн. Този запис казва на получаващите пощенски сървъри какво да правят, ако имейл от вашия домейн не премине удостоверяването, и ви дава видимост върху това кой изпраща поща от ваше име.

DMARC записът има няколко ключови части, които трябва да разберете, преди да го добавите:

• v=DMARC1 – това казва на пощенските сървъри, че използвате DMARC. То винаги е първо.

• p= – Това задава вашата политика за това как да се обработват неудостоверени съобщения:

• rua=mailto: – Това казва на пощенските сървъри къде да изпращат ежедневните ви DMARC отчети. Можете да използвате адрес като security@yourdomain.com или dmarc@yourdomain.com. Тези отчети показват кои IP адреси изпращат от името на вашия домейн, като ви помагат да забележите всичко необичайно.

1: Генерирайте DMARC запис за вашия домейн

Отворете инструмента DMARC Record Generator (можете да използвате всеки инструмент за генериране на DMARC, който предпочитате) и въведете името на домейна си в лентата за търсене. След това кликнете върху бутона Check DMARC Record. Персонализирайте DMARC настройките според нуждите си и вземете генерирания запис.

2: Добавете своя DMARC запис към DNS настройките

Отидете при вашия DNS доставчик. Създайте нов запис, като изберете TXT като тип на host записа. DMARC използва TXT формат на запис, точно като SPF.

Използвайте host: _dmarc Добавете стойността, която генерирахте по-рано

След като го добавите, запазете промените си и изчакайте няколко минути, за да се разпространи. Можете да използвате инструменти като MX Lookup Tool или други безплатни инструменти, за да проверите дали вашият DMARC запис е настроен правилно.

Можете да използвате това ръководство, за да настроите DMARC запис за вашия домейн със Spacemail.

Правилна настройка на вашия имейл

Ако съобщенията ви продължават да попадат в спам или да изчезват по средата на пътя, причината може да е липсващо удостоверяване. SPF, DKIM и DMARC дават на имейлите ви необходимите идентификационни данни, за да стигнат безопасно до входящата поща.

Когато чуете обяснение за SPF, DKIM и DMARC, това може да звучи сложно, но най-хубавото е, че те не изискват скъпи инструменти или сложни настройки, а само няколко DNS записа и малко търпение. Те са едни от най-простите имейл протоколи, които можете да добавите към имейл системата си и които се отплащат всеки път, когато съобщението ви попадне точно там, където трябва.