Sähköpostin tunnistautumisen ja verkkotunnuksen väärentämisen ymmärtäminen: SPF, DKIM ja DMARC

Yrityksenne on tietojenkalastelu- ja väärentämishyökkäysten kohde. Jos sähköpostianne ei ole tunnistettu, hyökkääjät voivat helposti esiintyä verkkotunnuksenanne. Ilman tunnistautumista kuka tahansa internetissä voi lähettää sähköpostia esiintyen teinä.

Kokeilkaa Proton Mailia maksutta 14 päivän ajan Pyydä kokeilua

Mitä sähköpostin tunnistautuminen tarkoittaa?

Sähköpostin tunnistautuminen on joukko teknisiä standardeja, jotka varmistavat, että sähköpostin lähettäjä on se, joka hän väittää olevansa. Se kehitettiin, koska alkuperäisessä sähköpostiprotokollassa (Simple Mail Transfer Protocol eli SMTP) ei ole sisäänrakennettua ominaisuutta, joka estäisi väärennetyn lähettäjän osoitteen.

Tunnistautumisen ymmärtämiseksi on hyödyllistä tietää, että sähköpostilla on kaksi lähettäjän osoitetta:

1. Kirjekuorilähettäjä (RFC 5321)

Tämä tunnetaan myös nimillä MAIL FROM -osoite, P1-lähettäjä tai return-path, ja se on tekninen osoite, jota sähköpostipalvelimet käyttävät taustalla reititykseen ja toimitukseen.

Käyttötarkoitus: Se kertoo vastaanottavalle palvelimelle, mihin automaattiset viestit, kuten palautusilmoitukset tai toimituksen epäonnistumisraportit (NDR), lähetetään.
Näkyvyys: Vastaanottajat eivät yleensä koskaan näe tätä osoitetta sähköpostisovelluksessaan; se on osa viestin piilotettua "kirjekuorta".
Tehtävä tietoturvassa: Tämä on osoite, jonka SPF varmistaa.

2. Otsakelähettäjä (RFC 5322)

Tämä tunnetaan myös nimillä Lähettäjä:-osoite tai P2-lähettäjä, ja se on Saapuneet-kansiossanne näkyvä osoite (esim. Lähettäjä: your-bank@example.com).

Käyttötarkoitus: Tämä on "käyttäjäystävällinen" osoite, joka on suunniteltu ihmisten välistä vuorovaikutusta varten ja joka kertoo vastaanottajalle, keneltä viesti näyttää olevan peräisin.
Näkyvyys: Tämä on ainoa osoite, jonka useimmat käyttäjät näkevät avatessaan Saapuneet-kansion.
Tehtävä tietoturvassa: Tämä osoite on se, jota hyökkääjät väärentävät yleisimmin, ja se on DMARC-täsmäytystarkistusten ensisijainen kohde.

Tämä rakenne tekee sähköpostin väärentämisestä (Lähettäjä:-osoitteen tekaisemisesta) helppoa. Hyökkääjä voi käyttää hallitsemaansa kelvollista kirjekuorilähettäjää läpäistäkseen palvelimen perustarkistukset samalla, kun hän käyttää väärennettyä otsakelähettäjää vastaanottajan huijaamiseen. Sähköpostin tunnistautumisprotokollat, kuten DMARC, ratkaisevat tämän vaatimalla, että näiden kahden lähettäjän verkkotunnukset täsmäävät.

Miksi sähköpostin tunnistautuminen on välttämätöntä yrityksille?

Yrityksille sähköpostin tunnistautumisen käyttöönotto on ehdoton puolustuskeino. Se:

Estää väärentämisen ja tietojenkalastelun: Estää hyökkääjiä lähettämästä väärennettyjä sähköposteja verkkotunnuksestanne.

Suojaa brändinne mainetta: Estää brändiänne joutumasta yhdistetyksi roskapostiin ja tietojenkalasteluhuijauksiin.

Parantaa sähköpostien perillemenoa: Viestittää muille sähköpostipalveluille, että olette luotettava lähettäjä, mikä pitää sähköpostinne poissa roskapostikansiosta.

Sähköpostin tunnistautumisen 3 keskeistä menetelmää

Vahva puolustus perustuu kolmen standardin yhteistoimintaan: SPF, DKIM ja DMARC. Jokainen niistä rakentuu edellisen varaan luoden monitasoisen suojauksen.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) on julkinen luettelo kaikista palvelimista (IP-osoitteen mukaan), joilla on lupa lähettää sähköpostia verkkotunnuksestanne.

Miten se toimii

Julkaisette luettelon DNS TXT -tietueena verkkotunnuksenellenne. Kun vastaanottava sähköpostipalvelin saa viestin, se vertaa lähettävän palvelimen IP-osoitetta kyseiseen luetteloon. Jos IP-osoite on luettelossa, viesti läpäisee SPF-tarkistuksen; jos ei, tarkistus epäonnistuu.

Heikkous

SPF varmistaa vain sähköpostipalvelimien käyttämän teknisen lähetysosoitteen, ei näkyvää Lähettäjä:-osoitetta, jonka ihmiset näkevät Saapuneet-kansiossaan. Tämä aukko mahdollistaa sen, että väärentäjät läpäisevät SPF-tarkistukset. Koska SPF on polkuun perustuva protokolla, se myös usein epäonnistuu, kun sähköposti välitetään postituslistan tai kumppanin palvelimen kautta. Koska välittävä palvelin ei ole valtuutettujen palvelimienne luettelossa, tarkistus epäonnistuu.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) lisää viestin sisältöön – mukaan lukien Lähettäjä-otsakkeeseen – yksilöllisen, luvattomalta muuttamiselta suojatun sähköisen allekirjoituksen.

Miten se toimii

Tämä allekirjoitus luodaan käyttämällä yksityistä avainta, jonka vain teidän palvelimenne tietää. Vastaava julkinen avain julkaistaan teidän DNS-tiedoissanne. Vastaanottavat palvelimet käyttävät tätä julkista avainta allekirjoituksen varmistamiseen. Jos se on kelvollinen, se todistaa, että sähköposti on peräisin verkkotunnuksestanne ja että sen sisältöä ei ole muutettu siirron aikana.

Heikkous

Kuten SPF, myöskään DKIM ei itsessään estä väärentämistä. Allekirjoitus todistaa viestin olevan aito sen lähettäneen verkkotunnuksen osalta, ei välttämättä Lähettäjä:-osoitteessa näkyvälle verkkotunnukselle.

3. Verkkotunnuspohjainen viestien tunnistautuminen, raportointi ja yhteensopivuus (DMARC)

Verkkotunnuspohjainen viestien tunnistautuminen, raportointi ja yhteensopivuus (DMARC) on käytäntö, joka sitoo SPF- ja DKIM-menetelmät yhteen. DMARC on sääntö, joka määrittää sähköpostipalvelimet luottamaan sähköposteihin vain silloin, kun näkemänne Lähettäjä:-osoite vastaa taustalla tehtyjä tunnistautumistarkistuksia. Se tukkii porsaanreiän, jota hyökkääjät hyödyntävät pelkällä SPF:llä tai DKIM:llä.

Miten se toimii

DMARC edellyttää, että näkyvässä Lähettäjä:-osoitteessa olevan verkkotunnuksen on vastattava verkkotunnusta, jota käytetään hyväksytyssä SPF- tai DKIM-tarkistuksessa. Tämä elintärkeä vaihe yhdistää näkyvän lähettäjän osoitteen tekniseen varmentamiseen.

Se myös kertoo palvelimille, mitä tehdä: DMARC-käytäntönne (p) ohjeistaa vastaanottavia palvelimia siitä, miten virhetilanteita käsitellään:

p=none (Valvonta): Ei toimenpiteitä. Lähettää teille vain raportteja siitä, kuka lähettää sähköpostia verkkotunnuksestanne.
p=quarantine (Karanteeni): Lähettää epäonnistuneet sähköpostit roskapostikansioon.
p=reject (Hylkää): Estää epäonnistuneet sähköpostit kokonaan.

Suojatkaa yrityksenne tietojenkalastelulta ja verkkotunnuksen väärentämiseltä

Yli 90 % kaikista tietomurroista alkaa tietojenkalastelu- tai väärennyshyökkäyksellä. SPF:n, DKIM:n ja DMARC:n käyttöönotto on ensimmäinen puolustuslinjanne, mutta sen parina on oltava sähköpostipalvelu, joka on oletusarvoisesti suojattu.

Proton Mail for Business on suunniteltu estämään nämä uhat jo ennen kuin ne saavuttavat tiiminne. Kehittynyt väärennösten tunnistuksemme, PhishGuard-teknologiamme ja päästä päähän -salaus tarjoavat kattavan suojan, jota on helppo hallita.

Kokeilkaa Proton Mailia maksutta 14 päivän ajan Pyydä kokeilua

Sähköpostin tunnistautumisen määrittäminen (vaihe vaiheelta)

Verkkotunnuksenne suojaaminen edellyttää muutaman tietueen lisäämistä DNS (Domain Name System) -asetuksiinne, joita hallitsee verkkotunnuksenne rekisterinpitäjä (kuten GoDaddy, Namecheap tai Cloudflare).

Vaihe 1

Luokaa SPF-tietueenne

Tunnistakaa ensin kaikki palvelut, joita käytätte sähköpostin lähettämiseen (esim. sähköpostipalvelunne, uutiskirjepalvelu kuten Mailchimp tai CRM-järjestelmä). SPF-tietueenne on sisällettävä ne kaikki. Esimerkiksi Proton Mailin SPF-tietue on v=spf1 include:_spf.proton.me mx ~all. Tämä lisätään TXT-tietueena DNS-asetuksiinne.

Vaihe 2

Määrittäkää DKIM-allekirjoituksenne

Siirtykää Proton Mailin (tai muun palveluntarjoajan) ylläpitopaneelissa verkkotunnuksen asetuksiin. Järjestelmä luo teille yksilöllisen DKIM-avaimen. DKIM-asennusprosessi Microsoft 365:ssä, Google Workspacessa tai Protonissa on samankaltainen: kopioitte luodun avaimen ja luotte uuden TXT-tietueen DNS-asetuksiinne ohjeiden mukaisesti.

Vaihe 3

Ottakaa käyttöön DMARC-käytäntönne

DMARC-käytännön (p) lisääminen on viimeinen vaihe. Se tulisi ottaa käyttöön vaiheittain, jotta vältetään omien luotettavien sähköpostienne estäminen:

Aloittakaa arvolla p=none: Luokaa DMARC-tietue, jonka käytäntönä on p=none. Tämä valvontatila mahdollistaa raporttien vastaanottamisen sähköpostien epäonnistumisista vaikuttamatta sähköpostienne toimitukseen.
Analysoikaa raportteja: Käyttäkää DMARC-raportteja löytääksenne mahdolliset luotettavat palvelut, joiden tarkistukset epäonnistuvat, ja lisätkää ne SPF- ja DKIM-tietueisiinne.
Siirtykää arvoon p=quarantine: Kun olette varmoja asiasta, muuttakaa käytäntönne muotoon p=quarantine. Tämä lähettää epäonnistuneet sähköpostit roskapostikansioon.
Siirtykää arvoon p=reject: Lisävalvonnan jälkeen siirtykää arvoon p=reject estääksenne kaikkien vilpillisten sähköpostien toimituksen.

Yksityiskohtaiset asennusohjeet, mukaan lukien kuvankaappaukset ja tietueiden arvot, löytyvät Protonin tukioppaasta.

Perusasioiden lisäksi: ARC ja BIMI

Kun SPF, DKIM ja DMARC on määritetty, on olemassa kaksi valinnaista standardia, jotka voivat tuoda lisäarvoa:

Authenticated Received Chain (ARC)

Säilyttää tunnistautumistuloksenne muuttumattomina, kun sähköposteja välitetään eteenpäin (esimerkiksi postituslistojen kautta), mikä usein rikkoo SPF- tai DKIM-tarkistuksen.

Brand Indicators for Message Identification (BIMI)

Mahdollistaa yrityksenne virallisen logon näkymisen sähköpostienne vieressä tuetuissa saapuneet-kansioissa. Sitä voi ajatella sähköpostin ”vahvistettuna valintamerkkinä”. Saadaksenne tämän käyttöön tarvitsette vahvan DMARC-käytännön (quarantine tai reject).

Miten Proton Mail suojaa yrityssähköpostinne

Sähköpostin tunnistautumisen määrittäminen on välttämätöntä, mutta se on vain yksi osa kattavaa tietoturvastrategiaa. Proton Mail tuo lisäsuojakerroksia pitääkseen yrityksenne turvassa kehittyneiltä uhilta.

Kehittynyt väärentämisen tunnistus

Proton Mail tarkistaa automaattisesti SPF:n, DKIM:n ja DMARC:n kaikista saapuvista viesteistä. Sähköpostit, jotka eivät läpäise näitä tarkistuksia, merkitään selkeästi, mikä vähentää tekeytymisen riskiä.

PhishGuard

PhishGuard tunnistaa epäilyttävät linkit, toimintamallit ja muut varoitusmerkit, jotka perussuodattimet usein ohittavat, auttaen estämään tietojenkalasteluyritykset ennen kuin ne tavoittavat työntekijät.

Päästä päähän -salaus ja nollapääsysalaus

Sähköpostit Proton-käyttäjien välillä ovat automaattisesti päästä päähän -salattuja. Kaikki tietonne tallennetaan nollapääsysalauksella, mikä tarkoittaa, ettemme edes me voi lukea sähköpostejanne.

Linkin vahvistus

Kun käyttäjät napsauttavat sähköpostissa olevaa linkkiä, Proton Mail näyttää kohde-URL-osoitteen täyden esikatselun, mikä auttaa estämään vahingossa tapahtuvat napsautukset haitallisilla sivustoilla.

Kokeilkaa Proton Mailia maksutta 14 päivän ajan Pyydä kokeilua

Turvatkaa yrityksenne viestintä

Suojatkaa yritystänne tietojenkalastelulta, väärentämiseltä ja tietomurroilta sähköpostipalvelulla, joka asettaa turvallisuuden ja yksityisyyden etusijalle. Ottakaa käyttöön vahva sähköpostin tunnistautuminen ja hyötykää päästä päähän -salauksesta sekä edistyneestä tietojenkalastelusuojauksesta – kaikki yhdessä yksinkertaisessa ja turvallisessa ratkaisussa.

Kokeilkaa Proton Mail for Business -palvelua Pyydä kokeilua

Usein kysytyt kysymykset

Mitä eroa on SPF:llä ja DKIM:llä?: SPF tarkistaa lähettävän palvelimen varmistamalla, kenellä on lupa lähettää sähköpostia verkkotunnuksestanne.
DKIM varmistaa sähköisen allekirjoituksen avulla, ettei itse viestiä ole sormeiltu.
Ne ratkaisevat eri ongelmia, joten tarvitsette molemmat (ja lisäksi DMARC:n) täydellistä suojausta varten.
Miten sähköpostipalvelimet tarkistavat tunnistautumisen?: Kun sähköpostipalvelin vastaanottaa viestin, se hakee lähettäjän SPF-, DKIM- ja DMARC-tietueet. Se tallentaa tulokset (kuten spf=pass tai dkim=fail) piilotettuun otsakkeeseen nimeltä Authentication-Results. Sähköpostipalvelunne käyttää sitten näitä tietoja yhdessä monien muiden signaalien kanssa päättääkseen, toimitetaanko viesti saapuneet-kansioonne, merkitäänkö se roskapostiksi vai estetäänkö se.
Kuinka kauan kestää, että DMARC alkaa toimia?: DNS-tietue on yleensä aktiivinen muutaman tunnin kuluessa. DMARC:n turvallinen käyttöönotto vie kuitenkin aikaa: aloitatte pelkän valvonnan käytännöllä (p=none), analysoitte raportit, korjaatte mahdolliset lailliset lähettäjät, joiden tarkistus epäonnistuu, ja siirrytte sitten vähitellen tiukempiin käytäntöihin (p=quarantine tai p=reject). Tämä prosessi kestää usein useita viikkoja tai kuukausia.
Mitä jos huijarit väärentävät sähköpostiani?: DMARC sisältää raportointiominaisuuden, joka kertoo teille, jos joku yrittää tekeytyä verkkotunnukseksenne. Jos havaitsette tämän, teidän tulee varoittaa henkilöstöänne, ilmoittaa asiakkaillenne ja raportoida huijauksesta lainvalvontaviranomaisille sekä tietojenkalastelun vastaisille organisaatioille, kuten FTC:lle tai Anti-Phishing Working Groupille.
Voiko tämä estää kaikki tietojenkalasteluhyökkäykset?: Mikään yksittäinen työkalu ei estä kaikkea. SPF, DKIM ja DMARC estävät erinomaisesti suoraa verkkotunnuksen väärentämistä. Hyökkääjät käyttävät kuitenkin myös sellaisia temppuja kuin samankaltaiselta näyttäviä verkkotunnuksia tai vaarantuneita tilejä. Siksi tunnistautumisen tulisi olla osa kerroksellista puolustusta käyttäjäkoulutuksen ja Protonin PhishGuardin kaltaisten edistyneiden suojausominaisuuksien rinnalla.