część III
Uwierzytelnianie wysyłanych wiadomości
Z problemami “wpadania” poczty e-mail do SPAMu wskazanymi w cz. I https://blog.konektosmart.pl/twoja-poczta-firmowa-w-spamie-cz-i/
i II https://blog.konektosmart.pl/twoja-poczta-firmowa-w-spamie-cz-ii-mailingi-i-newslettery/ i z uchronieniem się przed takimi sytuacjami, możesz z powodzeniem poradzić sobie samodzielnie. Zabezpieczenia omówione w tej części są już bardziej zaawansowane. Odwołanie się do nich zapewni jeszcze lepszą ochronę korespondencji oraz bezpiecznego przesyłania dokumentów i informacji. Opisana poniżej metoda może być wykonana przez osoby znające się na konfiguracji DNS i serwerów pocztowych. Lepiej nie robić tego samemu i zlecić to specjalistom.
Czym jest uwierzytelnienie?
Uwierzytelnienie wiadomości polega na zabezpieczeniu wysyłanej korespondencji mailowej. Wskazuje operatorom pocztowym, że jesteś rzeczywiście autorem tych wiadomości i nie wysyła ich w Twoim imieniu spamer. Dzięki temu możesz zadbać o zwiększenie dostarczalności swojej poczty i zapobiec wpadaniu jej do SPAMu. Uwierzytelnienie to także ochrona odbiorców maili przed próbami wyłudzenia ważnych danych osobowych. Ochrona ta obejmuje też nakłanianie do podjęcia zagrażających im działań i narażających ich na straty. Jak ważne jest to w przypadku biura rachunkowego, nie trzeba nikogo przekonywać. Dokumenty finansowe w czasie ich przesyłania powinny być zabezpieczone ze szczególną starannością. To ważne zarówno dla biura, jak i dla jego klientów.
Istnieją 3 sposoby uwierzytelnienia – SPF, DKIM i DMARC. Protokoły te różnią się od siebie metodą autentykacji i stopniem zaawansowania.
SPF – Sender Policy Framework
SPF został stworzony, aby ograniczyć ilość wiadomości SPAM. Właściciel danej domeny wskazuje z jakich adresów IP dopuszczalne jest przekazywanie poczty. Dotyczy to wszystkich kont e-mail w tej domenie. Serwery poczty przychodzącej zostają zabezpieczone przed dostarczaniem poczty z innych źródeł, czyli z przypadkowych serwerów nie zdefiniowanych na liście. Serwer sprawdza to w bazie DNS i ocenia czy wiadomość pochodzi z serwera, uprawnionego do wysyłki poczty z danej domeny. Jeżeli nie – to mail nie jest przyjmowany. Większość dostawców usług pocztowych wymaga wprowadzenia zabezpieczenia SPF. Jeżeli go nie wdrożysz, istnieje duże prawdopodobieństwo, że Twoje wiadomości nie będą docierały do adresatów.
DKIM – Domain Key Identified Mail
DKIM powstał po to, aby odbiorca wiadomości e-mail miał pewność, że jej nadawcą jest właściciel adresu z którego została nadana. Tu będzie to Twoje biuro. Uwierzytelnienie takie weryfikuje nadawcę za pomocą klucza szyfrującego.
Nadawca, przez odpowiednio skonfigurowany serwer SMTP umieszcza w nagłówkach zaszyfrowane informacje na temat wiadomości e-mail. Używa do tego asymetrycznego klucza szyfrującego. W tym szyfrowaniy klucz publiczny używany jest do informacji, klucz prywatny do jej odczytu – więcej na temat asymetrycznego klucza szyfrującego. Dostęp do klucza szyfrującego powinien mieć tylko nadawca. Odbiorca otrzymując zaszyfrowaną wiadomość, z DNS-u nadawcy pobiera klucz do rozszyfrowania tych danych. Jeżeli dane zostaną prawidłowo rozszyfrowane, odbiorca będzie pewny, że wiadomość pochodzi od właściciela adresu.
Cały proces rozszyfrowania wiadomości jest wykonywany automatycznie przez wszystkie serwisy dostarczające skrzynki pocztowe.
Wraz z rosnącą ilością rozsyłanego Spamu, dostawcy poczty wprowadzają wymóg uwierzytelniania DKIM, aby dopuszczać wiadomości do skrzynek odbiorczych. Zabezpieczenie DKIM zmniejsza ryzyko uznania wiadomości jako SPAM, a niedługo stanie się standardem.
DMARC – Domain-based Message Authentication, Reporting & Conformance
DMARC jest połączeniem uwierzytelnień SPF i DKIM oraz wprowadza dodatkowe zabezpieczenia. Jest to najwyższy poziom ochrony, a zabezpieczenia tego używają internetowi giganci tacy jak: Google, Facebook, PayPal i Amazon. Nie znaczy to, że Twoje biuro jest mniej ważne i takiego zabezpieczenia nie potrzebuje. Wprost przeciwnie, powinno być ono obligatoryjne w każdej firmie mającej do czynienia z finansami, czyli także w biurach rachunkowych. Najważniejszym zadaniem protokołu DMARC jest wskazanie jak ma zachować się serwer pocztowy, który otrzyma wiadomość negatywnie zweryfikowaną przez zabezpieczenia niższego poziomu SPF i DKIM.
Aby korzystać z uwierzytelnienia DMARC, należy najpierw ustawić dwa poprzednie – SPF i DKIM. W tym najwyższym zabezpieczeniu właściciel domeny określa dostawcom usług pocztowych, jak mają postępować z nieuwierzytelnionymi wiadomościami wysyłanymi z ich domen.
Możliwe działania podejmowane ze strony dostawcy usług pocztowych obejmują wtedy jedną z poniższych opcji:
- Blokowanie wszystkich nieuwierzytelnionych wiadomości i przesyłanie do właściciela domeny ich kopii wraz z adresami nadawców.
- Dopuszczanie takich wiadomości wraz z informacją do właściciela domeny o treści i adresach, z których je wysłano.
- Dopuszczanie nieuwierzytelnionych wiadomości.
Odpowiednie skonfigurowanie DMARC jest obecnie jedynym sposobem zapobiegania spoofingowi wiadomości e-mail. Spoofing to ochrona przed hakerami podszywającymi się pod innego użytkownika w celu kradzieży danych. Ich celem może też być zainstalowanie złośliwego oprogramowania lub ominięcie zabezpieczeń dostępowych – więcej na temat spoofingu.
Kompleksowe uwierzytelnianie
Wdrożenie samego SPF czy nawet włączenie do uwierzytelniania DKIM niestety nie wystarczy. Dopiero zastosowanie DMARC rozwiązuje ten problem. Ochrona, aby była skuteczna, musi być kompleksowa, dlaczego warto zaimplementować wszystkie trzy protokoły uwierzytelnienia – SPF, DKIM i DMARC.
Zabezpieczenia opisane w tej części wymagają bardziej zaawansowanych działań w skonfigurowaniu poczty. Niejednokrotnie wiąże się to z potrzebą skorzystania ze wsparcia specjalisty. Z powierzeniem zadania specjaliście może być różnie. W wielu biurach rachunkowych takiego specjalisty po prostu nie ma, a zlecenie to kolejne koszty, często dość wysokie.
KonektoSmart i w tym przypadku pomaga użytkownikom. Biura księgowe korzystające z jej poczty systemowej mają zapewnione kompleksowe zabezpieczenie swoich wiadomości. Poczta w systemie KonektoSmart gwarantuje wszystkie wskazane wyżej zabezpieczenia. Nie ma zatem obawy, że ważna informacja nie dotrze do klienta, ponieważ zostanie zakwalifikowana przez algorytmy zabezpieczające pocztę jako SPAM.