E-mail-godkendelse gennem SPF og DKIM
E-mail-godkendelse gennem SPF og DKIM
Så går det løs igen! Akronymer igen, ting at vide igen, nørdeinformation igen! Nå nej, de er en alvorlig sag, og den korrekte levering af dine e-mails afhænger af disse akronymer. Vi ved af personlig erfaring, at disse akronymer kan lyde ukendte, skræmmende og kan virke totalt uinteressante. Eller måske lyder de bekendte for dig, men du har aldrig været ligeglad nok til at tjekke, hvad de virkelig er. Lad os prøve at gøre noget klarhed for ikke-teknikere.
Uanset hvad, så er det tid til at lære lidt om, hvad SPF og DKIM er, og hvordan du sætter dem op i DNS-posterne til din mailserver, hvis du vil have bedre kontrol over leveringen af dine e-mails. Jeg vil gøre mit bedste for at forklare det i enkle ord, som ikke kun vil blive forstået af programmører.
Hvad er SPF? Hvordan virker SPF?
Kort sagt, Sender Policy Framework (SPF) er en sikkerhedsmekanisme bygget til at forhindre skurke i at sende e-mails på dine vegne. Mekanismen involverer kommunikation mellem DNS-servere... og det er her, det hele begynder at se skræmmende ud! Men gå ikke i panik. Jeg vil prøve at holde det så simpelt som muligt.
Lad os sige, at du har sendt en e-mail til Bob. Men hvordan ved Bobs DNS-server, at e-mailen faktisk blev sendt af dig? Problemet er, at han faktisk ikke ved det. Medmindre du har SPF sat op på din DNS-server. Nå, vi bliver nødt til at forklare, hvad en DNS-server er, men lad os springe det over, ellers sender du mig til helvede!
SPF definerer, hvilke IP-adresser der kan bruges til at sende e-mail fra dit domæne. Så lad os forestille os to mulige "samtaler" mellem servere. For at gøre dette lettere, lad os antage, at du hedder Paul.
Scenarie 1 – Du har ikke indstillet SPF.
Mike's Server: Hej, Bob's Server. Jeg har en ny besked fra Mike.
Bob's Server: Hej Mike's Server. Hvad er din SPF?
Mike's Server: Ja, om SPF... hvem bekymrer sig egentlig. Jeg har ikke en. Tro mig, det er fra Mike.
Bobs server: Hvis du ikke har SPF, kan jeg ikke være sikker på, at Mike har sendt den. Giv mig Mikes tilladte IP'er, så jeg kan sammenligne dem med din.
Mikes server: Jeg har ikke Mikes IP-hvidliste.
Bobs server: Så vil jeg ikke have din besked. Levering nægtet. Undskyld, makker...
Scenarie 2 – Du har indstillet SPF.
Mike's Server: Hej, Bob's Server. Jeg har en ny besked fra Mike.
Bob's Server: Hej Mike's Server. Hvad er din SPF?
Mike's Server: Her er min SPF. Der er en hel liste over IP'er, som Mike selv har erklæret som dem, der kan bruges på hans vegne.
Bobs server: Ok, lad mig se... Og den besked, du har til mig, er sendt fra IP 64.233.160.19. Okay, det er på listen. Alt ser fint ud. Giv mig beskeden, så viser jeg den til Bob. Tak skal du have!
Jeg undskylder til alle sys-læsere for denne oversimplifikation, jeg ved, at du ryster, men tilgiv mig venligst, og husk på, at vi misunder din tekniske viden, men jeg er nødt til at tale med et ikke-teknisk publikum, og jeg er nødt til at forenkle.
Anyway, moralen i disse to korte dialoger er: Indstil din SPF. Hvis du ikke gør det, ligner du måske en dårlig dreng, og ikke alle dine e-mails bliver leveret.
Hvilke applikationer skal du inkludere i din SPF?
Den generelle idé er at sikre, at alle applikationer, der sender e-mail på dine vegne (og som bruger deres SMTP, ikke din) er inkluderet i din SPF. Hvis du f.eks. bruger Google Apps til at sende e-mail fra dit domæne, skal du sætte Google i din SPF. Her er Googles instruktioner om, hvordan du gør det.
Men det er vigtigt at sikre sig, at Google ikke er den eneste applikation, der har tilladelser i din SPF. For eksempel, hvis vi bruger HelpScout til at administrere vores support-e-mails og MailChimp til at sende vores nyhedsbreve, så inkluderer vi begge i vores SPF.
Skal jeg også inkludere spætte i min SPF?
Nej. Som sagt skal du huske at lægge apps, der sender e-mail på dine vegne, men bruger deres egen SMTP, i din SPF-record. Woodpecker bruger din egen SMTP til at sende dine e-mails, så det er mere en online e-mail-klient end en masse-e-mail-app.
Når det er sagt, afhænger leveringsevnen af e-mails sendt fra Woodpecker af dit domænes omdømme. Indstilling af SPF og DKIM vil hjælpe dig med at beskytte dit domænes gode omdømme og dermed forbedre leveringsevnen af dine e-mails.
Hvordan indstilles SPF-record på din server trin for trin?
Det første trin er at kontrollere, hvad din nuværende SPF-record er. Du kan gøre dette ved hjælp af værktøjer som:
Når du indtaster dit domæne (jeg ville f.eks. skrive woodpecker.co), vil værktøjerne køre nogle test og vise dig din nuværende SPF eller en meddelelse om, at den ikke er blevet indstillet endnu.
Hvad er de næste skridt?
Afhængigt af din domænehost vil trinene være forskellige. Grundlæggende er det et spørgsmål om at indsætte en korrekt struktureret tekstlinje på det rigtige sted i konsollen. Hvis du f.eks. bruger Google Apps til at sende al e-mail fra dit domæne, skal linjen se sådan ud:
"v=spf1 include:_spf.google.com ~all"
"v=spf1"-delen af posten kaldes en version, og dem, der kommer efter det, kaldes mekanismer.
Lad os nu se, hvad hver del præcis betyder.
- v=spf1 dette element identificerer posten som en SPF
- omfatter:_spf.google.com denne mekanisme inkluderer mailservere, der er autoriserede servere
- ~v=spf1 dette element angiver, at hvis en e-mail modtages fra en uautoriseret server (ikke opført i "inkluder:"-mekanismen), er den tagget som en blød fejl, hvilket betyder, at den kan slippes igennem, men kan blive markeret som spam eller mistænkelig.
Men hvis du bruger flere apps end dette (for eksempel noget til at sende dit nyhedsbrev, noget til at sende dine supportbeskeder osv.), vil linjen være lidt længere, fordi du skal inkludere alle andre apps i det. Eller hvis du ikke bruger Google Apps, men en server fra en anden vært, for eksempel GoDaddy, vil linjen være anderledes.
Sådan indstiller du SPF for de mest almindelige domæneværter:
Hvad er DKIM?
DomainKeys Identified Mail (DKIM)-standarden blev oprettet af samme grund som SPF: for at forhindre skurke i at efterligne dig som en e-mail-afsender. Det er en måde at signere dine e-mails yderligere på på en måde, der gør det muligt for modtagerens server at kontrollere, om afsenderen er dig eller ej.
Ved at konfigurere DKIM på din DNS-server tilføjer du endnu en metode til at fortælle dine modtagere "ja, det er virkelig mig, der sender denne besked".
Sådan indstilles dkim og spf
Hele ideen er baseret på kryptering og dekryptering af den ekstra signatur placeret i headeren af din besked. For at gøre dette muligt skal du have to nøgler:
- den private nøgle (som er unik for dit domæne og kun tilgængelig for dig. Den giver dig mulighed for at kryptere din signatur i headeren af dine beskeder).
- den offentlige nøgle (som du tilføjer til dine DNS-poster ved hjælp af DKIM-standarden, for at tillade din modtagers server at hente den og dekryptere din signatur skjult i headeren af din besked).
Tag Game of Thrones for det store billede af DKIM. Ned Stark sender en krage med en besked til kong Robert. Alle kunne tage et stykke papir, skrive en besked og underskrive den Ned Stark. Men der er en måde at autentificere budskabet på - seglet. Nu ved alle, at Neds sigil er en direwolf (dette er den offentlige nøgle). Men kun Ned har det originale segl og kan sætte det på sine beskeder (dette er den private nøgle) Opsætning af DKIM er blot at lægge den offentlige nøgleinformation i dine serverposter. Det er simpelthen en txt-record, der skal placeres det rigtige sted.
Når du har denne opsætning, hver gang nogen modtager en e-mail fra dig, vil modtagerens server forsøge at dekryptere din skjulte signatur ved hjælp af den offentlige nøgle. Hvis det lykkes, vil dette autentificere din besked yderligere og dermed øge autoriteten af alle dine e-mails.
Hvordan opsætter du DKIM-record på din server trin for trin?
Først skal du generere den offentlige nøgle. For at gøre dette skal du logge ind på din e-mailudbyders administrationskonsol. De næste trin kan være anderledes afhængigt af din e-mailudbyder.
Hvis du bruger Google Apps til at sende dine e-mails, er her instruktioner trin for trin. For Google Apps-brugere skal du vide, at DKIM-signaturer er slået fra som standard, så du skal aktivere dem manuelt i din Google-administrationskonsol.
Når du har den offentlige nøgle, skal du tage den genererede txt-post og indsætte den på det rigtige sted i dine DNS-poster.
Endelig skal du aktivere e-mailsignering for at begynde at sende e-mails med din signatur krypteret med din private nøgle. Sådan gør du, hvis du bruger Google Apps til at sende dine e-mails.
Indstil SPF & DKIM og forbedre din leveringsevne
Hvis du sender mange e-mails, enten til markedsføring eller til indgående eller udgående salg, er dit domæneomdømme afgørende, og du bør passe på det. Du ønsker ikke, at dit domæne bliver sortlistet, og at dine e-mails går til spam. Korrekt indstilling af SPF- og DKIM-posterne på din DNS-server er et nødvendigt trin for sikkerheden på dit domæne og den høje leveringsevne af dine meddelelser.
At sætte dem op kan virke kompliceret, men det er uden tvivl det værd. Hvis jeg var dig, ville jeg gå ind på min konto og tjekke, om min SPF og DKIM er konfigureret korrekt lige nu, eller bede mine it-folk om at gøre det. Og hvis det viser sig, at svaret er "nej", vil jeg bede dem om at hjælpe mig.
Du kan også være interesseret i:
Lausanne, på sporet af forurening: historien om et forbrændingsanlæg
Et team af videnskabsmænd har rekonstrueret begivenhederne i Vallon affald-til-energi-anlægget og den usynlige forurening, der chokerede kantonen Vaud
Hvordan miljøet bestemmer ostens egenskaber
Smagningen fremhæver, hvordan klima og foderafgrøder med uændrede produktionsregler påvirker forskellige organoleptiske noter
Innosuisse har nået sine innovationsmål for 2023 i Schweiz
Et rekordbeløb på over 490 millioner francs er blevet tildelt for at kompensere for den manglende tilknytning til EU's velkendte Horizon Europe-program
"Jeg sælger, men jeg bliver": den nye trend for den lille iværksætter
Historien om Francesco Schittini og Emotecs indtræden i MCP-fonden er eksemplarisk på hyppige ejerskifte uden organisatoriske chok
//