كيفية التحقق من صحة إعداد مصادقة بريدك الإلكتروني بشكل صحيح لـ DKIM و DMARC و SPF و BIMI
إذا كنت ترسل أي كميات كبيرة من رسائل البريد الإلكتروني التسويقية ، فمن المحتمل أن بريدك الإلكتروني لا يشق طريقه إلى البريد الوارد إذا لم تكن قد قمت بتهيئة مصادقة بريدك الإلكتروني. نحن نعمل مع العديد من الشركات لمساعدتهم في قضايا ترحيل البريد الإلكتروني ، والاحترار IP ، وقابلية التسليم. معظم الشركات لا تدرك حتى أن لديها مشكلة ؛ يعتقدون أن المشتركين ببساطة لا يتفاعلون مع رسائل البريد الإلكتروني الخاصة بهم.
التصيد
الخلاف هو القضية المتزايدة من رسائل البريد الإلكتروني الخبيثة والاحتيالية ، على وجه الخصوص التصيد رسائل البريد الإلكتروني. التصيد الاحتيالي هو هجوم إلكتروني حيث يحاول الأفراد أو المؤسسات خداع الأشخاص للكشف عن معلومات حساسة ، مثل كلمات المرور أو تفاصيل بطاقة الائتمان ، من خلال التنكر على أنهم كيانات جديرة بالثقة. يتم ذلك بشكل أساسي عبر البريد الإلكتروني. سيرسل المهاجم بريدًا إلكترونيًا يبدو أنه من مصدر شرعي ، ثم ينقلك إلى صفحة مقصودة تعتقد أنها تسجيل دخول أو صفحة مصادقة أخرى حيث يُدخل الضحية معلوماته الشخصية عن غير قصد.
مشاكل التسليم غير المرئية
هناك ثلاث مشكلات غير مرئية في إمكانية تسليم البريد الإلكتروني لا تدرك الشركات وجودها:
- إذن - مقدمو خدمة البريد الإلكتروني (المرساب الكهروستاتيكي) إدارة أذونات الاشتراك ... لكن مزود خدمة الإنترنت (ISP) يدير بوابة عنوان البريد الإلكتروني الوجهة. إنه نظام معيب بطبيعته أدى إلى ارتفاع كبير في مخططات الاحتيال مثل التصيد الاحتيالي. يمكنك فعل كل شيء بشكل صحيح كعمل تجاري للحصول على إذن وعناوين بريد إلكتروني ، وليس لدى مزود خدمة الإنترنت أي فكرة وقد يحظرك على أي حال. يفترض مزودو خدمة الإنترنت أنك مرسل بريد عشوائي أو ترسل رسائل بريد إلكتروني ضارة ... ما لم تثبت خلاف ذلك.
- وضع البريد الوارد - تعمل المرسبات الكهروستاتيكية باستمرار على تعزيز معدلات التسليم العالية التي لا معنى لها. يتم تسليم البريد الإلكتروني الموجه مباشرة إلى مجلد البريد غير الهام ولم يسبق لمشترك البريد الإلكتروني الخاص بك رؤيته من الناحية الفنية. لمراقبة وضع البريد الوارد الخاص بك حقًا ، يجب عليك استخدام ملف قائمة البذور وانظر إلى كل مزود خدمة إنترنت لتحديد ما إذا كان بريدك الإلكتروني قد وصل إلى البريد الوارد أو مجلد البريد غير الهام. يمكن لشركتي توفير هذا الاختبار لك أيضًا.
- سمعة - يحتفظ مزودو خدمات الإنترنت وخدمات الجهات الخارجية أيضًا بدرجات السمعة لعنوان IP المرسل لبريدك الإلكتروني. هناك قوائم سوداء قد يستخدمها مزودو خدمة الإنترنت لحظر جميع رسائل البريد الإلكتروني الخاصة بك تمامًا ، أو قد يكون لديك سمعة سيئة من شأنها توجيهك إلى مجلد البريد غير الهام. يمكنك استخدام العديد من الخدمات لمراقبة سمعة IP الخاصة بك ، لكنني سأكون متشائمًا بعض الشيء لأن الكثيرين ليس لديهم نظرة ثاقبة على خوارزمية كل مزود خدمة الإنترنت.
المصادقة البريد الإلكتروني
أفضل ممارسة للتخفيف من أي مشكلات تتعلق بوضع البريد الوارد هي التأكد من قيامك بإعداد سجلات مصادقة البريد الإلكتروني التي يمكن لمزودي خدمة الإنترنت استخدامها للبحث والتحقق من أن رسائل البريد الإلكتروني التي ترسلها مرسلة بالفعل بواسطتك وليس عن طريق شخص يتظاهر بأنه شركتك. يتم ذلك من خلال بعض المعايير:
- إطار سياسة المرسل (عامل حماية من الشمس) – المعيار الأقدم، هو المكان الذي تسجل فيه سجل TXT عند تسجيل النطاق الخاص بك (DNS) التي تنص على المجالات أو IP عناوين تقوم بإرسال رسائل بريد إلكتروني منها لشركتك. على سبيل المثال ، أرسل رسائل بريد إلكتروني لـ Martech Zone تبدأ من مساحة عمل Google.
v=spf1 include:_spf.google.com ~all- نطاق- المصادقة المستندة إلى الرسالة والتقارير والمطابقة (DMARC) - يحتوي هذا المعيار الأحدث على مفتاح مشفر يمكنه التحقق من نطاقي والمرسل. يتم إنتاج كل مفتاح بواسطة المرسل ، مما يضمن عدم انتحال رسائل البريد الإلكتروني المرسلة من قبل مرسلي البريد العشوائي. إذا كنت تستخدم Google Workspace ، فإليك كيفية إعداد DMARC.
- مفاتيح المجال المحددة البريد (DKIM) - من خلال العمل جنبًا إلى جنب مع سجل DMARC ، يُعلم هذا السجل مزودي خدمة الإنترنت بكيفية التعامل مع قواعد DMARC ونظام التعرف على هوية المرسل (SPF) ومكان إرسال أي تقارير للتسليم. أريد أن يرفض مزودو خدمة الإنترنت أي رسائل لا تتجاوز DKIM أو SPF ، وأريدهم أن يرسلوا تقارير إلى عنوان البريد الإلكتروني هذا.
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; fo=s;- مؤشرات العلامة التجارية لتحديد الرسالة (معيار البيمي) - أحدث إضافة ، يوفر BIMI وسيلة لمزودي خدمة الإنترنت وتطبيقات البريد الإلكتروني الخاصة بهم لعرض شعار العلامة التجارية داخل عميل البريد الإلكتروني. هناك معيار مفتوح و معيار مشفر لـ Gmail، حيث تحتاج أيضًا إلى شهادة علامة مشفرة تم التحقق منها (CMV). الشهادات باهظة الثمن ، لذلك لم أفعل ذلك بعد. يتم إصدار VMCs من قبل اثنتين من سلطات التحقق من العلامات المقبولة: ودع و DigiCert. يمكن العثور على مزيد من المعلومات في مجموعة BIMI.
v=BIMI1; l=https://martech.zone/logo.svg;a=self;كيفية التحقق من مصادقة البريد الإلكتروني الخاص بك
تم العثور على جميع معلومات المصدر والترحيل والتحقق من الصحة المرتبطة بكل بريد إلكتروني داخل رؤوس الرسائل. تفسير هذه الأمور سهل جدًا إذا كنت خبيرًا في التسليم ، ولكن إذا كنت مبتدئًا ، فهي صعبة للغاية. إليك ما يبدو عليه عنوان الرسالة في رسالتنا الإخبارية ؛ لقد قمت بإلغاء تنشيط بعض رسائل البريد الإلكتروني الخاصة بالرد التلقائي ومعلومات الحملة:
إذا قرأت، يمكنك رؤية قواعد DKIM الخاصة بي، وما إذا كان DMARC يمرر (لا) ويمرر نظام التعرف على هوية المرسل (SPF)... ولكن هذا يتطلب الكثير من العمل. ومع ذلك، هناك حل بديل أفضل بكثير للاستخدام DKIMValidator. يوفر لك DKIMValidator عنوان بريد إلكتروني يمكنك إضافته إلى قائمة الرسائل الإخبارية الخاصة بك أو إرساله عبر البريد الإلكتروني لمكتبك ... ويقومون بترجمة معلومات العنوان إلى تقرير لطيف:
أولاً ، يتحقق من صحة تشفير DMARC وتوقيع DKIM لمعرفة ما إذا كان سيمر أم لا (لا).
DKIM Information:
DKIM Signature
Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
s=cpmail; t=1643110423;
bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Signature Information:
v= Version: 1
a= Algorithm: rsa-sha256
c= Method: relaxed/relaxed
d= Domain: circupressmail.com
s= Selector: cpmail
q= Protocol:
bh= PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers: Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data: HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup
Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature
result = fail
Details: body has been alteredبعد ذلك ، يبحث عن سجل نظام التعرف على هوية المرسل (SPF) الخاص بي لمعرفة ما إذا كان قد اجتاز أم لا:
SPF Information:
Using this information that I obtained from the headers
Helo Address = us1.circupressmail.com
From Address = [email protected]
From IP = 74.207.235.122
SPF Record Lookup
Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)
Result code: pass
Local Explanation: martech.zone: Sender is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="[email protected]"; helo=us1.circupressmail.com; client-ip=74.207.235.122وأخيرًا ، يوفر لي نظرة ثاقبة على الرسالة نفسها وما إذا كان المحتوى قد يشير إلى بعض أدوات اكتشاف الرسائل الاقتحامية ، والتحقق لمعرفة ما إذا كنت مدرجًا في القوائم السوداء ، ويخبرني ما إذا كان من المستحسن إرساله إلى مجلد البريد العشوائي أم لا:
SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown:
-5.0 RCVD_IN_DNSWL_HI RBL: Sender listed at https://www.dnswl.org/,
high trust
[74.207.235.122 listed in list.dnswl.org]
0.0 SPF_HELO_NONE SPF: HELO does not publish an SPF Record
0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
identical to background
0.0 HTML_MESSAGE BODY: HTML included in message
0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
valid
0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
Colors in HTML
0.1 DKIM_INVALID DKIM or DK signature exists, but is not validتأكد من اختبار كل ESP أو خدمة مراسلة تابعة لجهات خارجية ترسل شركتك بريدًا إلكترونيًا منها للتأكد من إعداد مصادقة البريد الإلكتروني بشكل صحيح!
أفضل الممارسات في تنفيذ DMARC
يعد تنفيذ DMARC بشكل صحيح أمرًا بالغ الأهمية لأمن البريد الإلكتروني وسمعة المرسل. تعتمد السياسة التي تختارها على أهدافك فيما يتعلق بمصادقة البريد الإلكتروني واستعدادك للتعامل مع المشكلات المحتملة. وفيما يلي تفصيل للسياسات الثلاث:
- لا شيء (ع = لا شيء): تُستخدم هذه السياسة عادةً لمراقبة وجمع البيانات دون التأثير على تسليم رسائل البريد الإلكتروني الخاصة بك. فهو يسمح لمالكي النطاق بمعرفة من يرسل البريد نيابة عن نطاقهم. إنها نقطة بداية جيدة لفهم كيفية معالجة بريدك الإلكتروني وتحديد مشكلات المصادقة المحتملة دون المخاطرة بتسليم بريد إلكتروني قانوني. على الرغم من أن الأمر قد يبدو وكأنه تجاهل للسياسة، إلا أنها أداة تشخيصية قيمة لضمان إعداد كل شيء بشكل صحيح قبل الانتقال إلى سياسات أكثر تقييدًا.
- الحجر الصحي (ع=الحجر الصحي): تقترح هذه السياسة عند تلقي خوادم البريد أن يتم التعامل مع رسائل البريد الإلكتروني التي تفشل في عمليات فحص DMARC بعين الشك. عادةً ما يعني هذا وضعها في مجلد البريد العشوائي بدلاً من رفضها تمامًا. إنها حل وسط يقلل من خطر رفض رسائل البريد الإلكتروني المشروعة مع الاستمرار في توفير الحماية ضد رسائل البريد الإلكتروني الاحتيالية. إنها خطوة تالية جيدة بعد ذلك لا شيء بمجرد التأكد من اجتياز رسائل البريد الإلكتروني الشرعية لعمليات فحص DMARC.
- رفض (ع = رفض): هذه هي السياسة الأكثر أمانًا، وتشير إلى خوادم الاستقبال أنه يجب رفض رسائل البريد الإلكتروني التي تفشل في عمليات فحص DMARC. تمنع هذه السياسة بشكل فعال هجمات التصيد الاحتيالي وتضمن وصول رسائل البريد الإلكتروني المصادق عليها فقط إلى المستلمين. ومع ذلك، يجب تنفيذه بعناية بعد اختبار شامل باستخدام سياسات "لا شيء" وربما "العزل" لتجنب رفض رسائل البريد الإلكتروني المشروعة.
أفضل الممارسات:
- تبدأ ع = لا شيء لجمع البيانات والتأكد من مصادقة رسائل البريد الإلكتروني الشرعية الخاصة بك بشكل صحيح.
- الانتقال إلى ع = الحجر الصحي لبدء حماية نطاقك مع تقليل مخاطر رفض رسائل البريد الإلكتروني الشرعية.
- وأخيرا، التحول إلى ع = رفض بمجرد أن تتأكد من أن ممارسات إرسال البريد الإلكتروني الخاصة بك متوافقة تمامًا مع DMARC، لتحقيق أقصى قدر من الحماية ضد الاحتيال عبر البريد الإلكتروني.
يجب أن تتضمن كل خطوة تحليل تقارير DMARC وضبط ممارسات إرسال البريد الإلكتروني حسب الضرورة لضمان مصادقة رسائل البريد الإلكتروني الشرعية بشكل صحيح.
