Если вы отправляете большое количество маркетинговых писем, ваша электронная почта может не попасть в ваш почтовый ящик, если вы не настроили аутентификацию электронной почты. Мы работаем со многими компаниями, помогая им с миграцией электронной почты, потеплением IP и доставкой. Большинство компаний даже не осознают, что у них есть проблема; они думают, что подписчики просто не интересуются их электронными письмами.
Содержание
Фишинг
Проблема заключается в растущей проблеме вредоносных и мошеннических электронных писем. фишинг для электронной почты. Фишинг — это кибератака, при которой отдельные лица или организации пытаются обманом заставить людей раскрыть конфиденциальную информацию, такую как пароли или данные кредитной карты, маскируясь под заслуживающих доверия людей. В основном это делается по электронной почте. Злоумышленник отправит электронное письмо, которое будет выглядеть из законного источника, а затем перенаправит вас на целевую страницу, которая, по вашему мнению, является страницей входа в систему или другой страницей аутентификации, где жертва случайно вводит свою личную информацию.
Невидимые проблемы с доставкой
Есть три невидимые проблемы доставки электронной почты, о которых компании не знают:
- Разрешение – Поставщики услуг электронной почты (ESP) управляют разрешениями на согласие, а поставщики услуг Интернета (ISP) управляют шлюзом адреса электронной почты назначения. Это изначально порочная система, которая привела к возникновению мошеннических схем, таких как фишинг. Вы, как компания, можете сделать все правильно, чтобы получить разрешение и адреса электронной почты, но интернет-провайдер понятия об этом не имеет и все равно может заблокировать вас. Интернет-провайдеры предполагают, что вы являетесь спамером или рассылаете вредоносные электронные письма… если вы не докажете обратное.
- Размещение в папке «Входящие» – ESP постоянно продвигает высокие показатели доставки, что глупо. Электронная почта, которая попадает прямо в папку нежелательной почты и никогда не отображается вашим подписчиком электронной почты, технически доставляется. Чтобы по-настоящему отслеживать размещение вашего почтового ящика, используйте список семян и проверьте каждого интернет-провайдера, чтобы определить, находится ли ваша электронная почта в папке «Входящие» или в папке «Нежелательная почта». Моя компания также может предоставить вам это тестирование.
- Репутация – Интернет-провайдеры и сторонние службы также поддерживают оценку репутации вашего отправляющего IP-адреса. Существуют черные списки, которые интернет-провайдеры могут использовать для полной блокировки всей вашей электронной почты, иначе у вас может возникнуть плохая репутация, из-за которой вы попадете в папку нежелательной почты. Существует множество сервисов, которые вы можете использовать для мониторинга репутации вашего IP-адреса, но я был бы немного пессимистичен, поскольку многие не имеют представления об алгоритме каждого интернет-провайдера.
Аутентификация по электронной почте
Лучший метод решения проблем с размещением входящих сообщений – убедиться, что вы настроили записи аутентификации электронной почты, которые интернет-провайдеры могут использовать для поиска и проверки того, что отправляемые вами электронные письма действительно исходят от вас, а не от кого-то, выдающего себя за них. Это делается с использованием нескольких стандартов:
- Структура политики отправителей (SPF) — более старый стандарт, согласно которому вы регистрируете запись TXT в реестре доменов (DNS), которая сообщает вам, с каких доменов или IP-адресов вы отправляете электронные письма вашей компании. Например, я отправляю электронные письма в зону Martech из Google Workspace.
v=spf1 include:_spf.google.com ~all- Доменаутентификация сообщений, отчетность и соответствие требованиям на основе (DMARC) — этот последний стандарт имеет зашифрованный ключ, который может аутентифицировать как мой домен, так и отправителя. Каждый ключ разрабатывается моим отправителем, что гарантирует невозможность подделки писем, отправленных спамером. Если вы используете Google Workspace, следуйте инструкциям ниже. как настроить DMARC.
- Почта, определенная DomainKeys (DKIM) — вместе с записью DMARC эта запись сообщает интернет-провайдерам, как обрабатывать мои правила DMARC и SPF и куда отправлять отчеты о доставке. Я хочу, чтобы интернет-провайдеры отклоняли все сообщения, которые не проходят проверку DKIM или SPF, и я хочу, чтобы они отправляли сообщения на этот адрес электронной почты.
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; fo=s;- Индикаторы бренда для идентификации сообщений (BIMI) – последнее дополнение, BIMI, предоставляет интернет-провайдерам и их почтовым приложениям возможность отображать логотип бренда в своем почтовом клиенте. Существует как открытый стандарт, так и зашифрованный стандарт Gmail, где также требуется зашифрованный сертификат проверенной маркировки (VMC). Сертификаты стоят дорого, поэтому я пока этим не занимаюсь. VMC выдает два принятых органа проверки знаков: доверительный и ДигиСерт. Более подробную информацию можно найти на сайте Группа БИМИ.
v=BIMI1; l=Как проверить аутентификацию электронной почты
Всю информацию об источнике, передаче и проверке, связанную с каждым электронным письмом, можно найти в заголовках сообщений. Их довольно легко интерпретировать, если вы эксперт по доставке, но невероятно сложно, если вы новичок. Вот как выглядит заголовок нашего информационного бюллетеня; Я выделил серым некоторые электронные письма автоответчиков и детали кампании:
Если вы прочитаете, вы увидите мои правила DKIM, проходы DMARC (нет совпадений) и проходы SPF… но это большая работа. Однако есть гораздо лучшее решение DKIMValidator. DKIMValidator предоставляет вам адрес электронной почты, который вы можете добавить в список информационных бюллетеней или отправить по офисной электронной почте… и они превращают информацию заголовка в красивый отчет:
Сначала он проверяет мое шифрование DMARC и подпись DKIM, чтобы убедиться, что оно проходит (это не так).
DKIM Information:
DKIM Signature
Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
s=cpmail; t=1643110423;
bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Signature Information:
v= Version: 1
a= Algorithm: rsa-sha256
c= Method: relaxed/relaxed
d= Domain: circupressmail.com
s= Selector: cpmail
q= Protocol:
bh= PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers: Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data: HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup
Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature
result = fail
Details: body has been alteredЗатем он ищет мою запись SPF, чтобы проверить, прошла ли она (да):
SPF Information:
Using this information that I obtained from the headers
Helo Address = us1.circupressmail.com
From Address = [email protected]
From IP = 74.207.235.122
SPF Record Lookup
Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)
Result code: pass
Local Explanation: martech.zone: Sender is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="[email protected]"; helo=us1.circupressmail.com; client-ip=74.207.235.122Наконец, он дает мне представление о самом сообщении и о том, может ли его содержимое пометить некоторые инструменты обнаружения спама, проверяет, нахожусь ли я в черных списках, и сообщает мне, стоит ли отправлять его в папку нежелательной почты.
SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown:
-5.0 RCVD_IN_DNSWL_HI RBL: Sender listed at
high trust
[74.207.235.122 listed in list.dnswl.org]
0.0 SPF_HELO_NONE SPF: HELO does not publish an SPF Record
0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
identical to background
0.0 HTML_MESSAGE BODY: HTML included in message
0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
valid
0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
Colors in HTML
0.1 DKIM_INVALID DKIM or DK signature exists, but is not validОбязательно проверьте все ESP или сторонние службы обмена сообщениями, с которых ваша компания отправляет электронную почту, чтобы убедиться, что ваша аутентификация электронной почты настроена правильно.
Лучшие практики внедрения DMARC
Правильная реализация DMARC имеет решающее значение для безопасности электронной почты и репутации отправителя. Выбор политики зависит от ваших целей аутентификации электронной почты и вашей готовности решать потенциальные проблемы. Ниже приводится разбивка этих трех политик.
- Нет (p = нет): Эта политика обычно используется для мониторинга и сбора данных, не влияя на доставку ваших сообщений электронной почты. Это позволяет владельцам доменов видеть, кто отправляет почту от имени их домена. Это хорошая отправная точка для понимания того, как обрабатывается ваша электронная почта, и выявления потенциальных проблем с аутентификацией без риска законной доставки электронной почты. Хотя может показаться, что политика игнорируется, это ценный диагностический инструмент, позволяющий убедиться, что все настроено правильно, прежде чем переходить к более ограничительным политикам.
- Карантин (p=карантин): Эта политика сообщает почтовым серверам получателей, что к сообщениям электронной почты, не прошедшим проверку DMARC, следует относиться с подозрением. Обычно это означает помещение их в папку со спамом, а не полное их отклонение. Это золотая середина, которая снижает риск отклонения законных писем и одновременно обеспечивает защиту от мошеннических писем. Это хороший следующий шаг после этого никто как только вы подтвердите, что ваши законные электронные письма проходят проверку DMARC.
- Отклонить (p = отклонить): Это наиболее безопасная политика, которая сообщает принимающим серверам, что электронные письма, не прошедшие проверку DMARC, должны быть отклонены. Эта политика эффективно предотвращает фишинговые атаки и гарантирует, что получателям доходят только проверенные электронные письма. Однако это следует реализовать тщательно после тщательного тестирования с политиками «нет» и, возможно, «карантин», чтобы избежать отклонения законных электронных писем.
Лучший опыт:
- Начать с р = нет для сбора данных и обеспечения надлежащей аутентификации ваших законных электронных писем.
- Перейти к p=карантин чтобы начать защищать свой домен, одновременно снижая риск законного отклонения электронной почты.
- Наконец, перейдите в р=отклонить когда вы уверены, что ваши методы отправки электронной почты полностью соответствуют DMARC, чтобы обеспечить максимальную защиту от мошенничества с электронной почтой.
Каждый шаг должен включать анализ отчетов DMARC и корректировку методов отправки электронной почты, чтобы обеспечить правильную аутентификацию законных электронных писем.
Построитель записей SPF Средство проверки SPF и DKIM Инспектор BIMI
