E-postautentisering genom SPF och DKIM
E-postautentisering genom SPF och DKIM
Nu börjas det igen! Akronymer igen, saker att veta igen, nördinformation igen! Nåväl nej, de är en allvarlig fråga och korrekt leverans av dina e-postmeddelanden beror på dessa akronymer. Vi vet av egen erfarenhet att dessa akronymer kan låta obekanta, skrämmande och kan verka totalt ointressanta. Eller så kanske de låter bekanta för dig, men du har aldrig brytt dig tillräckligt för att kolla vad de verkligen är. Låt oss försöka göra lite tydlighet för icke-tekniker.
Hur som helst, det är dags att lära sig lite om vad SPF och DKIM är och hur du ställer in dem i DNS-posterna för din e-postserver om du vill ha bättre kontroll över leveransen av dina e-postmeddelanden. Jag kommer att göra mitt bästa för att förklara det i enkla ord, som inte bara kommer att förstås av programmerare.
Vad är SPF? Hur fungerar SPF?
Enkelt uttryckt är Sender Policy Framework (SPF) en säkerhetsmekanism byggd för att förhindra skurkar från att skicka e-postmeddelanden å dina vägnar. Mekanismen involverar kommunikation mellan DNS-servrar... och det är här det hela börjar se skrämmande ut! Men få inte panik. Jag ska försöka hålla det så enkelt som möjligt.
Låt oss säga att du skickade ett e-postmeddelande till Bob. Men hur vet Bobs DNS-server att e-postmeddelandet faktiskt skickades av dig? Problemet är att han faktiskt inte vet. Såvida du inte har SPF inställt på din DNS-server. Nåväl, vi skulle behöva förklara vad en DNS-server är men låt oss hoppa över det annars skickar du mig åt helvete!
SPF definierar vilka IP-adresser som kan användas för att skicka e-post från din domän. Så låt oss föreställa oss två möjliga "konversationer" mellan servrar. För att göra detta enklare, låt oss anta att du heter Paul.
Scenario 1 – Du har inte ställt in SPF.
Mikes server: Hej, Bobs server. Jag har ett nytt meddelande från Mike.
Bobs server: Hej Mikes server. Vad är din SPF?
Mikes server: Ja, om SPF... vem bryr sig egentligen. Jag har ingen. Tro mig, det är från Mike.
Bobs server: Om du inte har SPF kan jag inte vara säker på att Mike skickade den. Ge mig Mikes tillåtna IP-adresser så att jag kan jämföra dem med dina.
Mikes server: Jag har inte Mikes IP-vitlista.
Bobs server: Då vill jag inte ha ditt meddelande. Leverans nekad. Ledsen, kompis…
Scenario 2 – Du har ställt in SPF.
Mikes server: Hej, Bobs server. Jag har ett nytt meddelande från Mike.
Bobs server: Hej Mikes server. Vad är din SPF?
Mikes server: Här är min SPF. Det finns en hel lista med IP:er som Mike själv har deklarerat som sådana som kan användas för hans räkning.
Bobs server: Ok, låt mig se... Och meddelandet du har till mig skickas från IP 64.233.160.19. Okej, det är på listan. Allt ser bra ut. Ge mig meddelandet, jag ska visa det för Bob. Tack!
Jag ber om ursäkt till alla sys-läsare för denna alltför förenkling, jag vet att du huttrar men förlåt mig och kom ihåg att vi avundas din tekniska kunskap men jag måste prata med en icke-teknisk publik och jag måste förenkla.
Hur som helst, moralen i dessa två korta dialoger är: ställ in din SPF. Om du inte gör det kan du se ut som en dålig pojke och inte alla dina e-postmeddelanden kommer att levereras.
Vilka applikationer bör du inkludera i din SPF?
Den allmänna idén är att se till att alla program som skickar e-post för din räkning (och som använder deras SMTP, inte din) ingår i din SPF. Om du till exempel använder Google Apps för att skicka e-post från din domän bör du lägga in Google i din SPF. Här är Googles instruktioner om hur man gör.
Men det är viktigt att se till att Google inte är det enda programmet som har behörigheter i din SPF. Om vi till exempel använder HelpScout för att hantera våra supportmejl och MailChimp för att skicka våra nyhetsbrev så inkluderar vi båda i vår SPF.
Ska jag också inkludera hackspett i min SPF?
Nej. Som sagt, du bör komma ihåg att lägga in appar som skickar e-post för din räkning, men använder sin egen SMTP, i din SPF-post. Woodpecker använder din egen SMTP för att skicka dina e-postmeddelanden, så det är mer en e-postklient online än en app för massutskick.
Som sagt, leveransbarheten av e-postmeddelanden som skickas från Woodpecker beror på din domäns rykte. Att ställa in SPF och DKIM hjälper dig att skydda din domäns goda rykte och förbättrar därför leveransbarheten för dina e-postmeddelanden.
Hur ställer jag in SPF-rekord på din server steg för steg?
Det första steget är att kontrollera vad din nuvarande SPF-post är. Du kan göra detta med hjälp av verktyg som:
När du skriver in din domän (till exempel skulle jag skriva woodpecker.co), kommer verktygen att köra några tester och visa dig din nuvarande SPF, eller ett meddelande om att det inte har ställts in ännu.
Vad är nästa steg?
Beroende på din domänvärd kommer stegen att vara olika. I grund och botten handlar det om att klistra in en korrekt strukturerad textrad på rätt plats i konsolen. Om du till exempel använder Google Apps för att skicka all e-post från din domän, bör raden se ut så här:
"v=spf1 include:_spf.google.com ~all"
"v=spf1"-delen av posten kallas en version, och de som kommer efter det kallas mekanismer.
Låt oss nu se vad exakt varje del betyder.
- v=spf1 detta element identifierar posten som en SPF
- inkluderar:_spf.google.com denna mekanism inkluderar e-postservrar som är auktoriserade servrar
- ~v=spf1 detta element indikerar att om ett e-postmeddelande tas emot från en obehörig server (inte listad i "inkludera:"-mekanismen), är det taggat som ett mjukt misslyckande, vilket betyder att det kan släppas igenom, men kan flaggas som spam eller misstänkt.
Men om du använder fler appar än detta (till exempel något för att skicka ditt nyhetsbrev, något för att skicka dina supportmeddelanden, etc.), kommer raden att bli lite längre, eftersom du måste inkludera alla andra appar i Det. Eller om du inte använder Google Apps utan en server från en annan värd, till exempel GoDaddy, blir raden annorlunda.
Så här ställer du in SPF för de vanligaste domänvärdarna:
Vad är DKIM?
DomainKeys Identified Mail (DKIM)-standarden skapades av samma anledning som SPF: för att förhindra skurkar från att utge sig för att vara dig som e-postavsändare. Det är ett sätt att ytterligare signera dina e-postmeddelanden på ett sätt som gör att mottagarens server kan kontrollera om avsändaren är du eller inte.
Genom att ställa in DKIM på din DNS-server lägger du till ytterligare en metod för att säga till dina mottagare "ja, det är verkligen jag som skickar det här meddelandet".
Hur man ställer in dkim och spf
Hela idén är baserad på kryptering och dekryptering av den extra signaturen som placeras i rubriken på ditt meddelande. För att göra detta möjligt behöver du ha två nycklar:
- den privata nyckeln (som är unik för din domän och endast tillgänglig för dig. Den låter dig kryptera din signatur i rubriken på dina meddelanden).
- den publika nyckeln (som du lägger till i dina DNS-poster med hjälp av DKIM-standarden, så att mottagarens server kan hämta den och dekryptera din signatur gömd i meddelandehuvudet).
Ta Game of Thrones för den stora bilden av DKIM. Ned Stark skickar en kråka med ett meddelande till kung Robert. Alla kunde ta ett papper, skriva ett meddelande och signera det Ned Stark. Men det finns ett sätt att autentisera meddelandet – sigillen. Nu vet alla att Neds sigil är en jättevarg (detta är den offentliga nyckeln). Men det är bara Ned som har originalförseglingen och kan sätta det på sina meddelanden (detta är den privata nyckeln) Att ställa in DKIM är bara att lägga in den offentliga nyckelinformationen i dina serverposter. Det är helt enkelt en txt-post som måste placeras på rätt plats.
När du väl har konfigurerat den här inställningen kommer mottagarens server att försöka dekryptera din dolda signatur med den publika nyckeln varje gång någon tar emot ett e-postmeddelande från dig. Om det lyckas kommer detta att ytterligare autentisera ditt meddelande och följaktligen öka auktoriteten för alla dina e-postmeddelanden.
Hur ställer jag in DKIM-posten på din server steg för steg?
Först måste du generera den publika nyckeln. För att göra detta måste du logga in på din e-postleverantörs administrationskonsol. Nästa steg kan vara olika beroende på din e-postleverantör.
Om du använder Google Apps för att skicka dina e-postmeddelanden, här är instruktioner steg för steg. För Google Apps-användare bör du veta att DKIM-signaturer är inaktiverade som standard, så du måste aktivera dem manuellt i din Googles administratörskonsol.
När du har den publika nyckeln, ta den genererade txt-posten och klistra in den på rätt plats i dina DNS-poster.
Slutligen måste du aktivera e-postsignering för att börja skicka e-postmeddelanden med din signatur krypterad med din privata nyckel. Här är hur, om du använder Google Apps för att skicka dina e-postmeddelanden.
Ställ in SPF & DKIM och förbättra din leveransbarhet
Om du skickar många e-postmeddelanden, antingen för marknadsföring eller för inkommande eller utgående försäljning, är ditt domänrykte avgörande och du bör ta hand om det. Du vill inte att din domän ska svartlistas och att dina e-postmeddelanden hamnar i skräppost. Att korrekt ställa in SPF- och DKIM-posterna på din DNS-server är ett nödvändigt steg för säkerheten för din domän och den höga leveransbarheten av dina meddelanden.
Att ställa in dem kan verka komplicerat, men det är utan tvekan värt det. Om jag var du skulle jag gå till mitt konto och kolla om min SPF och DKIM är rätt inställda just nu eller be mina IT-killar att göra det. Och skulle det visa sig att svaret är "nej" skulle jag be dem hjälpa mig.
Du kanske också är intresserad av:
Lausanne, på spåret av föroreningar: historien om en förbränningsugn
Ett team av forskare har rekonstruerat händelserna i Vallon avfallsenergianläggning och den osynliga föroreningen som chockade kantonen Vaud
Hur miljön avgör ostens egenskaper
Provningen belyser hur, med oförändrade produktionsregler, klimat och fodergrödor påverkar olika organoleptiska toner
Innosuisse har uppnått sina innovationsmål för 2023 i Schweiz
Ett rekordbelopp på över 490 miljoner franc har tilldelats för att kompensera för bristen på koppling till det välkända EU Horizon Europe-programmet
"Jag säljer, men jag stannar": småföretagarens nya trend
Historien om Francesco Schittini och Emotecs inträde i MCP-fonden är exemplarisk för frekventa ägarbyten utan organisatoriska chocker
//