Důvěryhodnost e-mailových serverů

Internet je zahlcován nevyžádanými zprávami, proto se poskytovatelé internetových služeb snaží najít metody, jak zabránit zneužívání jejich serverů a své uživatele ochránit před nevyžádanou poštou. Nevyžádaná pošta s odkazy na nebezpečné stránky nebo rovnou s nebezpečnou přílohou je také častým prostředkem k útoku.

1. úrovní přidané ochrany je SPF

Sender Policy Framework (SPF) se používá k ověření odesílatele e-mailu. Díky záznamu SPF mohou poskytovatelé internetových služeb ověřit, zda je poštovní server oprávněn odesílat e-maily pro určitou doménu. Záznam SPF je záznam TXT DNS obsahující seznam IP adres, které jsou oprávněny odesílat e-maily jménem vaší domény. Chcete-li ochránit své zákazníky, svou značku a svou firmu před phishingovými a spoofingovými útoky, musíte aktivovat ověřování odesílaných e-mailů.

Doména chráněná protokolem SPF je pro podvodníky méně atraktivní, a proto je méně pravděpodobné, že bude zařazena na černou listinu spamových filtrů. Protokol SPF také zajišťuje, že budou doručeny legitimní e-maily z dané domény.

Pokud chcete využívat jiný server k odesílání pošty než je server poskytovatele e-mailových služeb, je nutné jej autorizovat přidáním jeho IP adresy.

Krok 1: Shromážděte IP adresy, které se používají k odesílání e-mailů.
Prvním krokem k implementaci SPF je zjištění, které poštovní servery používáte k odesílání e-mailů z vaší domény. Mnoho organizací odesílá poštu z různých míst. Sestavte si seznam všech svých poštovních serverů a nezapomeňte zvážit, zda se k odesílání e-mailů jménem vaší značky nepoužívá některý z následujících serverů:

  • Webový server
  • Poštovní server v kanceláři (např. Microsoft Exchange)
  • Poštovní server vašeho poskytovatele internetových služeb
  • Poštovní server poskytovatele poštovních schránek vašich koncových uživatelů
  • jakýkoli jiný poštovní server třetí strany používaný k odesílání e-mailů jménem vaší značky

Krok 2: Vytvořte si seznam domén
Je pravděpodobné, že vaše společnost vlastní mnoho domén. Některé z těchto domén slouží k odesílání e-mailů. Jiné nikoli.

Je důležité vytvořit záznamy SPF pro všechny domény, které ovládáte, a to i pro ty, ze kterých neposíláte e-maily. Proč? Protože jakmile ochráníte odesílající domény pomocí SPF, první, co zločinec udělá, je, že se pokusí podvrhnout vaše domény, ze kterých poštu neodesíláte.

Krok 3: Vytvoření záznamu SPF
SPF ověřuje identitu odesílatele porovnáním IP adresy odesílajícího poštovního serveru se seznamem autorizovaných odesílacích IP adres zveřejněných odesílatelem v záznamu DNS.

Krok 4: Zveřejnění SPF ve službě DNS
Ve spolupráci s registrátorem domény či správcem serveru DNS publikujte SPF záznam v systému DNS, aby na něj poskytovatelé poštovních schránek mohli odkazovat.

Krok 5: Otestujte nastavení
Otestujte svůj záznam SPF pomocí nástroje pro kontrolu SPF. Budete moci vidět to, co vidí příjemci: seznam serverů oprávněných odesílat e-maily jménem vaší odesílající domény. Pokud jedna nebo více vašich legitimních odesílacích IP adres není v seznamu uvedena, můžete záznam aktualizovat a zahrnout ji.

2. úrovní přidané ochrany je DKIM

DKIM je zkratka pro DomainKeys Identified Mail a slouží k ověřování odesílaného e-mailu. DKIM umožňuje příjemci zkontrolovat, zda byl e-mail skutečně odeslán a autorizován vlastníkem dané domény, čímž je zajištěna jeho pravost. To se provádí tak, že se e-mail opatří digitálním podpisem, který se nazývá podpis DKIM. Podpis DKIM je šifrovaný řetězec neviditelně vložený do e-mailu, který může být ověřen e-mailovým serverem příjemce na základě veřejných záznamů DNS vaší domény.

Obvykle se podpisy DKIM kontrolují na úrovni serveru a výsledky se nezobrazují přímo koncovému příjemci. E-mail se prostě zobrazí ve schránce jako obvykle, ale díky procesu ověření má větší šanci projít filtry SPAM a dalšími bezpečnostními kontrolami.

Jakmile přijímací systém dojde k závěru, že e-mail je podepsán platným podpisem DKIM, lze s jistotou říci, že zpráva daného e-mailu ani přílohy nebyly změněny nebo upraveny.

Stejně jako SPF je DKIM otevřený standard pro ověřování e-mailů. Záznam DKIM existuje v systému DNS, ale je o něco složitější než záznam SPF. Výhodou DKIM je, že se dokáže vyrovnat s přeposíláním zpráv, čímž je lepší než SPF a představuje základ pro zabezpečení e-mailu.

Jak DKIM funguje v praxi

Nejprve je správcem domény vygenerován pár veřejného a soukromého klíče. Veřejný klíč přidá do svého záznamu v systému DNS (Domain Name System), zatímco soukromý klíč je uložen interně v odesílajícím agentovi pro přenos pošty (MTA).

Při odesílání e-mailu vypočítá MTA hodnotu hash, která představuje obsah e-mailu, zašifruje ji pomocí svého soukromého klíče a výslednou hodnotu přidá do záznamů hlavičky e-mailu spolu s použitou metodou hash.

Po přijetí e-mailu se cílový MTA dotáže záznamů DNS odesílající domény na veřejný klíč DKIM a použije jej k dekódování zašifrované hodnoty hash.

Nakonec sám znovu vypočítá hodnotu hashe e-mailu a porovná oba hashe - pokud se shodují, přijímající MTA ví, že e-mail určitě pochází z odesílající domény a nebyl při přenosu změněn.

Příjemce si může být jistý, že e-mail, který prošel ověřením DKIM, byl skutečně odeslán uvedenou doménou.

Jak otestovat DKIM: pojďme na to technicky
DKIM můžete otestovat tak, že odešlete e-mail na účet Gmail, otevřete jej ve webové aplikaci, kliknete na tlačítko "odpovědět" a vyberete možnost "zobrazit originál". Pokud se v původním formátu zobrazí text "signed by along with your domain name", je váš podpis DKIM platný.

Funkce DKIM je v podstatě dvojí. Buď je funkční a můžete podpis snadno ověřit, nebo není a to je problém.

Výhody DKIM

Kromě zřejmých předností systému DKIM, jako je ověřování e-mailů, existují i některé další výhody, které může uživatel využít.

1. Větší důvěryhodnost
Jakmile používáte DKIM ve všech doménách ve vaší organizaci, děláte ze sebe v očích možných partnerů, zákazníků, obchodníků a všech dalších služeb třetích stran, se kterými se můžete setkat, bezúhonného odesílatele.

Podepisování zpráv pomocí DKIM zvýší transparentnost vaší elektronické pošty a výrazně sníží pravděpodobnost, že vaše e-maily skončí ve složce spamu.

Když je v podpisu přidaná vrstva důvěryhodnosti, které si zákazníci mohou snadno všimnout, zvyšuje se šance, že skutečně kliknou na odkazy, které posíláte, bez pocitu nejistoty nebo pokusů o phishing.

2. Vyhněte se spamovým filtrům
Přestože systém DKIM není antispamový systém ve všech smyslech, konfigurace DKIM výrazně zvýší šance, že vaše zpráva nebude označena jako spam.

A pokud vaše e-maily nedorazí ke konečnému příjemci, může to být způsobeno špatnou konfigurací záznamů DNS nebo chybějícími důležitými záznamy, jako jsou SPF, DKIM nebo DMARC.

Ale nezoufejte - tento problém můžete vždy vyřešit jednoduše tím, že provedete pravidelný audit DNS a ujistíte se, že vše funguje správně.

3. Obcházení phishingu
Použití ověření DKIM vám pomůže ulehčit situaci při ověřování odesílatele konkrétního e-mailu, který jste obdrželi.

Chcete-li se skutečně připravit na boj proti phishingovým útokům, měli byste mít všechny domény ve vaší organizaci, které používají DKIM spolu s SPF, jak bylo zmíněno dříve.

Stručně řečeno, konfigurace DKIM je snadným a důležitým bonusem k vašemu systému zabezpečení elektronické pošty a rozhodně vám doporučujeme ji používat.

3. úrovní přidané ochrany je DMARC

DMARC (Domain-based Message Authentication Reporting and Conformance) je bezplatná a otevřená technická specifikace, která slouží k ověřování e-mailu pomocí sladění mechanismů SPF a DKIM. Zavedením protokolu DMARC mohou velcí i malí vlastníci domén bojovat proti kompromitaci firemních e-mailů, phishingu a spoofingu.

Pomocí protokolu DMARC můžete světu sdělit, jak se vypořádat s neoprávněným používáním vašich e-mailových domén, a to zavedením zásad v záznamu DMARC. Tři zásady DMARC jsou následující:

p=none Monitoruje váš e-mailový provoz. Neprovádí se žádné další akce.
p=karanténa Odesílá neautorizované e-maily do složky spam.
p=reject Konečná zásada a konečný cíl implementace DMARC. Tato zásada zajišťuje, že neautorizované e-maily nebudou vůbec doručeny.

Existují čtyři typy hlášení o selhání DMARC, které lze odeslat pomocí značky "fo":

fo=0: Generuje hlášení o selhání DMARC, pokud všechny základní mechanismy ověřování (SPF a DKIM) nevytvoří výsledek "pass". (Výchozí nastavení)
fo=1: Vytvoří zprávu o selhání DMARC, pokud některý z podkladových mechanismů ověřování (SPF nebo DKIM) poskytl jiný výsledek než "pass". (Doporučeno)
fo=d: Vytvoří zprávu o selhání DKIM, pokud zpráva obsahuje podpis, který nebyl vyhodnocen, bez ohledu na jeho shodu.
fo=s: Vytvoří zprávu o chybě SPF, pokud zpráva neprošla vyhodnocením SPF bez ohledu na její shodu.

Souhrnné denní zprávy o vyhodnocení politiky DMARC si můžete nechat zasílat na e-mailovou adresu.

Nastavení služeb pro domény hostované na serveru Norbou

Všem klientům, kteří mají založené e-mailové schránky na poskytovaném hostingu je služba SPF, DKIM a DMARC aktivována. Podmínkou je pouze přístup k nastavení DNS záznamů domény u vašeho registrátora. Pokud nemáme přístup ke správě DNS záznamů vaší domény a technickým správcem domény není společnost Savana, zašleme Vám instrukce pro nastavení záznamů.

Výchozí nastavení politiky DMARC je následující:

_dmarc v=DMARC1; p=quarantine; sp=none; ri=86400; adkim=r; aspf=r; rua=mailto:dmarc@vasedomena.cz; rf=afrf; pct=100

Samozřejmě se neváhejte obrátit na náš tým odborníků s jakýmikoliv dotazy týkajícími se bezpečnosti. Jsme tu, abychom vám pomohli.

Nastavení politik pro vaši doménu si můžete kdykoliv zkontrolovat na serveru mxtoolbox.com.

Jiří Procházka

Kostelní 24/859
170 00 Praha 7

+420 603 874 917
info@norbou.com

Copyright 2021 © Všechna práva vyhrazena