تصور کنید که یک ایمیل مهم را برای یک مشتری ارسال می‌کنید، اما در نهایت به پوشه هرزنامه (spam) او می‌رود یا اصلاً به دستش نمی‌رسد. حتی نگران‌کننده‌تر، تصور کنید کسی دامنه شما را جعل کند و ایمیل‌های جعلی به نام شما ارسال کند که منجر به جعل ایمیل‌های مخرب و کلاهبرداری فیشینگ می‌شود.

چنین سناریوهایی ممکن است برای شما بعید به نظر برسند، اما به طرز شگفت‌آوری رایج هستند. به آمار زیر نگاهی بیندازید:

  • نزدیک به 45.6٪ از کل ایمیل‌های ارسال شده در سراسر جهان، به پوشه هرزنامه (spam) گیرندگان رفته است.
  • ٪۱۰۰ حملات فیشینگ از طریق ایمیل انجام می‌شود.

به همین دلیل است که پروتکل‌های احراز هویت ایمیل مهم هستند. این راهنمای مفصل، چهار پروتکل کلیدی احراز هویت ایمیل - DKIM، DMARC، SPF و BIMI - و ابزارهای اعتبارسنجی مورد استفاده را عمیق‌تر بررسی خواهد کرد. اما ابتدا:

احراز هویت ایمیل چیست؟

احراز هویت ایمیل فرآیندی است که مشروعیت یک پیام ایمیل را تأیید می‌کند. این فرآیند شامل استفاده از چندین پروتکل است که تأیید می‌کند ایمیل از طرف کسی که ادعا می‌شود ارسال شده است و محتوای آن در طول انتقال تغییر نکرده است.

اگرچه احراز هویت ایمیل برای همه فرستندگان ایمیل ضروری است، اما به ویژه برای مشاغل و سازمان‌هایی که به شدت به ارتباطات ایمیلی متکی هستند، اهمیت دارد. در واقع، در سال ۲۰۲۴، گوگل و یاهو از همه فرستندگان انبوه بخواهید که روش‌های احراز هویت ایمیل SPF، DKIM و DMARC را برای دامنه‌های خود تنظیم کنند.

نحوه‌ی کار احراز هویت ایمیل

خب، احراز هویت ایمیل چگونه کار می‌کند؟ در اینجا خلاصه‌ای از این فرآیند آمده است:

  1. ارسال: اولین قدم ارسال ایمیل است که از یک آدرس خاص انجام می‌شود دامنه یا زیر دامنهدامنه، شناسه منحصر به فردی است که پس از نماد "@" در آدرس ایمیل می‌آید. هنگام ارسال ایمیل، سرور فرستنده جزئیات احراز هویت را به هدر ایمیل پیوست می‌کند. این جزئیات صرفاً قوانینی هستند که سرور ایمیل گیرنده برای احراز هویت ایمیل از آنها استفاده خواهد کرد.
  1. جستجوی DNSسرور گیرنده یک جستجوی DNS (سیستم نام دامنه) انجام می‌دهد تا رکوردهای SPF، DKIM و DMARC دامنه فرستنده را بازیابی کند. این رکوردها حاوی قوانین و کلیدهای عمومی مورد نیاز برای تأیید ایمیل هستند.
  2. تصمیم تحویلبر اساس نتایج بررسی‌های SPF، DKIM و DMARC، سرور گیرنده تصمیم نهایی را می‌گیرد که در دسته‌های زیر قرار می‌گیرد:
  • تحویلاگر ایمیل از بررسی‌های SPF، DKIM و DMARC سربلند بیرون بیاید، به صندوق ورودی گیرنده تحویل داده می‌شود. در اینجا مثالی از یک ایمیل تحویل داده شده که هر سه بررسی را با موفقیت پشت سر گذاشته است، آورده شده است.
  • قرنطینهایمیلی که در بررسی احراز هویت رد شود اما تهدید فوری محسوب نشود، قرنطینه می‌شود. برای مثال، ممکن است در پوشه هرزنامه قرار گیرد و منتظر بررسی مدیر ایمیل باشد.
  • رد کنیداگر ایمیل در بررسی‌های احراز هویت رد شود و مشکوک یا مخرب تشخیص داده شود، به‌طور کامل رد می‌شود. مخرب ایمیل‌ها برگشت می‌خورند به آدرس فرستنده برگردانده شود یا دور انداخته شود.

شما می‌توانید به سادگی فرآیند احراز هویت ایمیل را به عنوان ارتباط سرور ارسال کننده ایمیل و سرور دریافت کننده ایمیل در نظر بگیرید تا مطمئن شوید که پیام بدون هیچ گونه دستکاری به گیرنده می‌رسد.

پروتکل‌های مهم احراز هویت ایمیل

هر پروتکل احراز هویت ایمیل به جنبه خاصی از امنیت ایمیل می‌پردازد. در اینجا نگاهی عمیق به این ارکان احراز هویت ایمیل می‌اندازیم:

۱. SPF (چارچوب سیاست فرستنده)

SPF به صاحبان دامنه اجازه می‌دهد تا یک رکورد DNS (سیستم نام دامنه) با لیستی از آدرس‌های IP مجاز برای ارسال ایمیل از آن دامنه ایجاد کنند.

وقتی ایمیلی ارسال می‌شود، سرور ایمیل گیرنده، رکورد SPF را بررسی می‌کند تا تأیید کند که ایمیل از یک آدرس IP مجاز ارسال شده است. اگر آدرس IP مطابقت داشته باشد، ایمیل معتبر در نظر گرفته می‌شود.

• ابزارهای اعتبارسنجی:

برخی از ابزارهایی که می‌توانید برای اعتبارسنجی اجزای رکورد SPF استفاده کنید عبارتند از: SPF Record Check از MXToolbox، SPF Lookup از PowerDMARC، Google Postmaster Toolsو بررسی‌کننده‌ی رکورد SPF از نوع EasyDMARC.

این ابزارها پارامترهای کلیدی زیر را اندازه‌گیری می‌کنند تا اطمینان حاصل شود که رکورد SPF شما به درستی پیکربندی و مؤثر است:

  • آدرس های IP: این رکورد آدرس‌های IP مجاز را مشخص می‌کند.
  • خطاهای نحوی: هرگونه خطای نحوی در رکورد SPF را بررسی می‌کند.
  • دامنه فرستندهدامنه موجود در آدرس فرستنده با رکورد SPF بررسی می‌شود تا از مطابقت آن با دامنه مجاز اطمینان حاصل شود.

بیایید ببینیم یک رکورد SPF اولیه چگونه به نظر می‌رسد:

v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com ~all

  • v=spf1: نسخه SPF را نشان می‌دهد.
  • آی‌پی۴:۱۹۲.۰.۲.۰/۲۴: محدوده IP مجاز (192.0.2.0 تا 192.0.2.255).
  • ip4:198.51.100.123: آدرس IP مجاز خاص (198.51.100.123).
  • شامل:_spf.google.com: این بخش به سرور می‌گوید که چه سازمان‌های شخص ثالثی می‌توانند از طرف دامنه ایمیل ارسال کنند. برای مثال، مثال ما به سرورهای ایمیل گوگل اجازه می‌دهد تا برای دامنه ایمیل ارسال کنند.
  • ~ همه: برای ایمیل‌هایی که با رکورد SPF مطابقت ندارند، یک خطای موقت (soft fail) مشخص می‌کند. آن‌ها به عنوان هرزنامه علامت‌گذاری می‌شوند اما همچنان پذیرفته می‌شوند. گزینه جایگزین -all است که نشان می‌دهد ایمیل‌های ثبت نشده باید رد شوند.

اگرچه SPF عالی است، اما محدودیت‌های خودش را هم دارد. برای مثال، احراز هویت SPF دامنه فرستنده را با استفاده از Return-Path تأیید می‌کند، نه آدرس "From:" که گیرندگان می‌بینند. بنابراین، فیشرها می‌توانند با استفاده از یک دامنه جعلی در آدرس Return-Path و جعل آدرس "From" از این بررسی عبور کنند.

به همین دلیل است که برای پر کردن این خلاها به پروتکل‌های احراز هویت ایمیل دیگری نیاز دارید.

۲. DKIM (ایمیل شناسایی‌شده با کلید دامنه)

DKIM تأیید می‌کند که یک سرور ایمیل مجاز، ایمیل را ارسال کرده و محتوای آن در حین انتقال تغییر نکرده است.

این سرویس با استفاده از تکنیک‌های رمزنگاری برای امضای ایمیل‌ها کار می‌کند. وقتی ایمیلی ارسال می‌شود، سرور ایمیل فرستنده بر اساس محتویات ایمیل و یک کلید خصوصی، یک امضای دیجیتال منحصر به فرد تولید می‌کند. این امضا به هدر ایمیل اضافه می‌شود.

سپس سرور ایمیل گیرنده از کلید عمومی مربوطه که در رکوردهای DNS فرستنده منتشر شده است، برای تأیید امضا استفاده می‌کند. اگر امضا معتبر باشد و با کلید عمومی مطابقت داشته باشد، ایمیل از بررسی DKIM عبور می‌کند.

• ابزارهای اعتبارسنجی

ابزارهای متعددی می‌توانند به تأیید و عیب‌یابی پیکربندی‌های DKIM کمک کنند. این ابزارها شامل DKIMValidator.com، Site24x7 DKIM Validator، SimpleDMARC DKIM Checker، EasyDMARC DKIM Checker، Unspam DKIM Checker و Dmarcian's DKIM Inspector می‌شوند.

پارامترهای کلیدی که این ابزارها اعتبارسنجی می‌کنند عبارتند از:

  • امضاامضای دیجیتال موجود در سرآیند پیام ایمیل با کلید عمومی منتشر شده در سوابق DNS فرستنده تأیید می‌شود.
  • دامنهدامنه موجود در امضای DKIM بررسی می‌شود تا از مطابقت آن با دامنه موجود در آدرس «From:» ایمیل اطمینان حاصل شود.
  • گزینشگر: انتخابگر بخشی از امضای DKIM است که مشخص می‌کند از کدام کلید عمومی برای تأیید استفاده شود.

در اینجا مثالی از رکورد DKIM آورده شده است.

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCz4EZLtxhU3jY5EJ/GV6xS…

  • v=DKIM1: نسخه DKIM مورد استفاده را نشان می‌دهد.
  • ک=آرسانوع کلید را مشخص می‌کند، در این مورد، RSA.
  • پ = …: کلید عمومی مورد استفاده برای تأیید امضای DKIM.

پروتکل احراز هویت ایمیل DKIM، مانند SPF، محدودیت‌هایی نیز دارد. اصلی‌ترین محدودیت این است که اگر هکرها به کلیدهای DKIM شما دسترسی پیدا کنند، می‌توانند به راحتی از آنها برای جعل هویت شما استفاده کنند.

بنابراین، مطمئن شوید که مرتباً کلیدهای خود را تغییر می‌دهید. اگر تصمیم دارید امضای DKIM خود را از ارائه‌دهنده خدمات ایمیل (ESP) خود دریافت کنید، از آنهایی که امضاهای مشابهی به کاربران خود می‌دهند، اجتناب کنید.

محبوب ابزارهای ایمیل مارکتینگ مانند Mailchimp، GetResponse یا MailerLite احراز هویت دامنه‌های متعلق به شما یا سازمانتان را با DKIM آسان می‌کنند. این ابزارها با مجموعه ویژگی‌ها و برچسب‌های قیمت متفاوتی ارائه می‌شوند، بنابراین بهتر است در حساب‌های آزمایشی رایگان آنها ثبت نام کنید و آنها را به طور کامل آزمایش کنید.

داشبورد GetResponse نکاتی را در مورد نحوه تنظیم دامنه خود برای ارائه صحیح کمپین ایمیل به شما نشان می‌دهد.

۳. DMARC (احراز هویت پیام مبتنی بر دامنه، گزارش‌دهی و انطباق)

DMARC بر اساس SPF و DKIM ساخته شده است. این کار را با اضافه کردن یک سیاست به رکوردهای DNS یک دامنه انجام می‌دهد. این سیاست مشخص می‌کند که وقتی یک ایمیل در بررسی‌های SPF یا DKIM با شکست مواجه می‌شود، چه اقدامی باید انجام شود - می‌تواند قرنطینه کردن ایمیل، رد کردن آن یا صرفاً نظارت بر دلیل شکست آن باشد.

• ابزارهای اعتبارسنجی

ابزارهای اعتبارسنجی DMARC شامل PowerDMARC Checker Tool، DMARC-Validator.com، EasyDMARC DMARC Record Checker، DMARC-checker.org و MXToolbox DMARC Check Tool می‌شوند.

پارامترهای کلیدی که این ابزارهای DMARC اعتبارسنجی می‌کنند عبارتند از:

  • ترازبندی SPF: اطمینان حاصل می‌کند که دامنه موجود در سربرگ «Return-Path» با دامنه موجود در آدرس «From» مطابقت دارد یا با آن هم‌تراز است.
  • ترازبندی DKIM: تأیید می‌کند که دامنه موجود در امضای DKIM با دامنه موجود در آدرس «From» هم‌تراز است.
  • دامنهتأیید می‌کند که رکوردهای DNS لازم (DMARC، DKIM، SPF) منتشر شده و در دسترس هستند.

در اینجا مثالی از یک رکورد DMARC آورده شده است:

v=DMARC1; p=رد rua=mailto:[ایمیل محافظت شده]؛ adkim=s ؛ aspf=s ؛

  • v=DMARC1: نشان می‌دهد که یک سیاست DMARC وجود دارد
  • p=reject: مشخص می‌کند که ایمیل‌هایی که در بررسی‌های SPF یا DKIM رد می‌شوند، باید رد شوند. p=quarantine نشان می‌دهد که سرورها باید ایمیل‌های ناموفق را «قرنطینه» کنند، در حالی که p=none به این معنی است که حتی ایمیل‌هایی که ناموفق هستند نیز می‌توانند عبور کنند.
  • rua=mailto:[ایمیل محافظت شده]: آدرس ایمیلی که گزارش DMARC را دریافت خواهد کرد. این گزارش حاوی بینش‌های ارزشمندی است که می‌تواند به مدیران در تنظیم سیاست‌های DMARC خود کمک کند.
  • adkim=s و aspf=s: نشان می‌دهد که بررسی‌های DKIM و SPF روی «دقیق» تنظیم شده‌اند. همچنین می‌توانید با تغییر s به r، آنها را روی «راحت» تنظیم کنید.

DMARC به احراز هویت SPF و DKIM مناسب متکی است، بنابراین هرگونه مشکلی با این پروتکل‌ها منجر به عدم موفقیت در بررسی DMARC خواهد شد.

۴. BIMI (شاخص‌های برند برای شناسایی پیام)

BIMI یک استاندارد احراز هویت ایمیل است که با اجازه دادن به برندها برای نمایش لوگوی خود در کنار ایمیل‌هایشان، امنیت ایمیل و تجربه کاربری را افزایش می‌دهد. ایمیل‌های تأیید شده در صندوق ورودی گیرندگان.

وقتی ایمیلی از بررسی‌های احراز هویت DMARC عبور می‌کند، کلاینت‌های ایمیل پشتیبانی‌کننده مانند Gmail، Apple Mail و Yahoo لوگوی برند را در صندوق ورودی نمایش می‌دهند. به تفاوت بین ایمیل‌های دارای BIMI و ایمیل‌های بدون آن توجه کنید.

منبع

این نشانگر بصری به گیرندگان کمک می‌کند تا برند شما را در صندوق ورودی خود تشخیص دهند و همچنین اطمینان حاصل می‌کند که شما فرستنده‌ی قانونی هستید.

این ایمیل‌ها مسلماً در مقایسه با ایمیل‌های غیرمجاز، نرخ باز شدن و نرخ تبدیل بالاتری خواهند داشت. برای بهترین نتیجه، این ایمیل‌ها را با صفحات فرودی که با ابزارهایی مانند Nostra و Intellimize بهینه‌سازی شده‌اند، تکمیل کنید.

• ابزارهای اعتبارسنجی

ابزارهای کلیدی که می‌توانید برای اعتبارسنجی رکوردهای BIMI استفاده کنید شامل EasyDMARC BIMI Record Checker، SimpleDMARC's BIMI Checker، GoDMARC BIMI Record Lookup Tool، Valimail BIMI Validator و VeriMarkCert BIMI Checker می‌شود.

این ابزارهای اعتبارسنجی BIMI معمولاً پارامترهای زیر را بررسی می‌کنند:

  • وجود رکورد BIMIآنها یک رکورد BIMI DNS با پیکربندی مناسب برای دامنه‌ها را بررسی می‌کنند.
  • اعتبار لوگو: تأیید کنید که فایل لوگو مشخصات مورد نیاز را برآورده می‌کند و از طریق URL مشخص شده در رکورد BIMI قابل دسترسی است.

در اینجا یک مثال عالی از یک رکورد BIMI آورده شده است:

v=BIMI1; l=https://your-domain.example/path/to/logo.svg; a=https://your-domain.example/path/to/vmc.pem

  • v=BIMI1: نسخه BIMI را مشخص می‌کند.
  • l=https://your-domain.example/path/to/logo.svg: نشان دهنده آدرس اینترنتی لوگوی شما با فرمت SVG است.
  • a=https://your-domain.example/path/to/vmc.pem: به URL گواهی علامت تجاری تأیید شده (VMC) شما اشاره می‌کند که مالکیت لوگو را اثبات می‌کند.

برای عملکرد BIMI، دامنه باید سیاست‌های احراز هویت DMARC قوی داشته باشد که روی «قرنطینه» یا «رد» تنظیم شده باشند. این بدان معناست که هرگز شرایطی وجود ندارد که BIMI تنها لایه امنیتی باشد.

نتیجه

پروتکل‌های احراز هویت ایمیل مانند SPF، DKIM، DMARC و BIMI با هم کار می‌کنند تا از استفاده غیرمجاز از دامنه شما جلوگیری کرده و از اعتبار فرستنده برند شما محافظت کنند. این امر به بهبود قابلیت تحویل ایمیل کمک می‌کند.

بنابراین، همین امروز این پروتکل‌های احراز هویت ایمیل را پیاده‌سازی کنید.

به یاد داشته باشید، ارائه دهندگان ایمیل، مانند یاهو و جیمیل، الزامات احراز هویت ایمیل را اعمال کرده‌اند. بنابراین، اگر هنوز نمی‌دانید که آیا باید با این پروتکل‌ها و ابزارهای اعتبارسنجی آنها آشنا شوید، پاسخ مثبت است.