ווי צו וואַלאַדייט דיין E- בריוו אָטענטאַקיישאַן איז באַשטעטיקט ריכטיק (DKIM, DMARC, SPF)

DKIM וואַלידאַטאָר DMARC SPF

אויב איר שיקט בליצפּאָסט אין קיין טיפּ פון באַנד, דאָס איז אַ ינדאַסטרי ווו איר זענט שולדיק און איר מוזן באַווייַזן דיין ומשולד. מיר אַרבעטן מיט פילע קאָמפּאַניעס וואָס העלפֿן זיי מיט זייער בליצפּאָסט מייגריישאַן, IP וואָרמינג און דעליוועראַביליטי ישוז. רובֿ קאָמפּאַניעס טאָן ניט אפילו פאַרשטיין אַז זיי האָבן אַ פּראָבלעם.

די ומזעיק פּראָבלעמס פון דעליוועראַביליטי

עס זענען דריי ומזעיק פּראָבלעמס מיט E- בריוו דעליוועראַביליטי וואָס געשעפטן טאָן ניט וויסן:

  1. דערלויבעניש - E- בריוו סערוויס פּראַוויידערז (עספּ) פירן די אַפּט-אין פּערמישאַנז ... אָבער די אינטערנעט סערוויס שפּייַזער (ISP) מאַנידזשיז די גייטוויי פֿאַר די דעסטיניישאַן E- בריוו אַדרעס. עס ס טאַקע אַ שרעקלעך סיסטעם. איר קענט טאָן אַלץ רעכט ווי אַ געשעפט צו קריגן דערלויבעניש און בליצפּאָסט אַדרעסעס, און די ISP האט קיין געדאַנק און קען פאַרשפּאַרן איר סייַ ווי סייַ.
  2. ינבאָקס פּלייסמאַנט - ESPs העכערן הויך דעליוועראַביליטי ראַטעס וואָס זענען בייסיקלי ומזין. אַן E- בריוו וואָס איז ראַוטיד גלייַך צו די אָפּפאַל טעקע און קיינמאָל געזען דורך דיין E- בריוו אַבאָנענט איז טעקניקלי איבערגעגעבן. אין סדר צו באמת מאָניטאָר דיין ינבאָקס פּלייסמאַנט, איר מוזן נוצן אַ זוימען רשימה און גיין צו יעדער יספּ. עס זענען סערוויסעס וואָס טאָן דאָס.
  3. שעם - ISPs און דריט-פּאַרטיי באַדינונגס אויך האַלטן שעם סקאָרז פֿאַר די שיקט IP אַדרעס פֿאַר דיין E- בריוו. עס זענען בלאַקקליסץ וואָס ISPs קען נוצן צו פאַרשפּאַרן אַלע דיין E- בריוו בעסאַכאַקל, אָדער איר קען האָבן אַ נעבעך שעם וואָס וואָלט ברענגען איר צו די אָפּפאַל טעקע. עס זענען אַ נומער פון סערוויסעס איר קענען נוצן צו מאָניטאָר דיין IP שעם ... אָבער איך וואָלט זיין אַ ביסל פּעסימיסטיש ווייַל פילע טאָן ניט האָבן ינסייט אין יעדער יספּ אַלגערידאַמז.

Email אָטענטאַקיישאַן

די בעסטער פּראַקטיסיז פֿאַר מיטאַגייטינג קיין ינבאָקס פּלייסמאַנט ישוז איז צו ענשור אַז איר האָבן שטעלן אַרויף אַ נומער פון דנס רעקאָרדס וואָס ISPs קענען נוצן צו קוקן אַרויף און ענשור אַז די ימיילז וואָס איר שיקן זענען באמת געשיקט דורך איר און נישט דורך עמעצער פּריטענדינג צו זיין דיין פירמע. . דאָס איז דורכגעקאָכט דורך אַ נומער פון סטאַנדאַרדס:

  • סענדער פּאָליטיק פראַמעוואָרק (SPF) - די אָולדאַסט נאָרמאַל אַרום, דאָס איז ווו איר רעגיסטרירן אַ טקסט רעקאָרד אויף דיין פעלד רעגיסטראַציע (דנס) וואָס דערקלערט וואָס דאָומיינז אָדער IP אַדרעסעס פון דיין פירמע איר שיקן E- בריוו. פֿאַר בייַשפּיל, איך שיקן E- בריוו פֿאַר Martech Zone פון Google וואָרקספּאַסע און פֿון סירקופּרעסס (מיין אייגענע ESP דערווייַל אין ביתא). איך האָבן אַ SMTP פּלוגין אויף מיין וועבזייטל צו שיקן דורך Google, אַנדערש איך וואָלט האָבן אַן IP אַדרעס אַרייַנגערעכנט אין דעם.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • פעלד- באזירט אָנזאָג אָטענטאַקיישאַן, רעפּאָרטינג און קאַנפאָרמאַנסע (DMARC) - דער נייַער סטאַנדאַרט האט אַ ינקריפּטיד שליסל וואָס קענען וואַלאַדייץ ביידע מיין פעלד און די סענדער. יעדער שליסל איז געשאפן דורך מיין סענדער, און ינשורינג אַז E- בריוו געשיקט דורך אַ ספּאַממער קענען נישט זיין ספּאָאָפעד. אויב איר נוצן Google Workspace, דאָ ס ווי צו ינסטאַלירן DMARC.
  • DomainKeys יידענאַפייד מעיל (DKIM) - ארבעטן צוזאמען מיט די DMARC רעקאָרד, דעם רעקאָרד ינפאָרמז ISPs ווי צו מייַכל מיין DMARC און SPF כּללים און ווו צו שיקן קיין דעליוועראַביליטי ריפּאָרץ. איך ווילן די יספּ צו אָפּוואַרפן קיין אַרטיקלען וואָס טאָן ניט פאָרן DKIM אָדער SPF, און איך ווילן זיי צו שיקן ריפּאָרץ צו דעם בליצפּאָסט אַדרעס.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • סאָרט ינדיקאַטאָרס פֿאַר אָנזאָג לעגיטימאַציע (BIMI) - די נואַסט אַדישאַן, BIMI גיט אַ מיטל פֿאַר יספּ און זייער E- בריוו אַפּלאַקיישאַנז צו ווייַזן די לאָגאָ פון די סאָרט אין די E- בריוו קליענט. עס איז ביידע אַן אָפֿן נאָרמאַל ווי אַ ענקריפּטיד נאָרמאַל פֿאַר Gmail ווו איר אויך דאַרפֿן אַ ינקריפּטיד באַווייַזן. די סערטיפיקאַץ זענען שיין טייַער, אַזוי איך טאָן ניט טאָן דאָס נאָך.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

נאטיץ: אויב איר דאַרפֿן הילף צו באַשטעטיקן דיין E- בריוו אָטענטאַקיישאַן, טאָן ניט קווענקלען צו קאָנטאַקט מיין פירמע Highbridge. מיר האָבן אַ קאָלעקטיוו פון E- בריוו פֿאַרקויף און דעליוועראַביליטי עקספּערץ וואָס קענען אַרוישעלפן.

ווי צו וואַלאַדייט דיין E- בריוו אָטענטאַקיישאַן

אַלע מקור אינפֿאָרמאַציע, רעלע אינפֿאָרמאַציע און וואַלאַדיישאַן אינפֿאָרמאַציע פֿאַרבונדן מיט יעדער E- בריוו איז געפֿונען אין די אָנזאָג כעדערז. אויב איר זענט אַ מומחה אין דעליוועראַביליטי, די ינטערפּריטיישאַן איז גאַנץ גרינג ... אָבער אויב איר זענט אַ אָנהייבער, זיי זענען ינקרעדאַבלי שווער. דאָ איז ווי דער אָנזאָג כעדער קוקט ווי אונדזער נוזלעטער, איך האָבן גרייאַד עטלעכע פון ​​די אַוטאָרעספּאָנד ימיילז און קאמפאניע אינפֿאָרמאַציע:

אָנזאָג כעדער - DKIM און SPF

אויב איר לייענען דורך, איר קענען זען וואָס מיין DKIM כּללים זענען, צי DMARC פּאַסיז (עס טוט נישט) און אַז SPF פּאַסיז ... אָבער דאָס איז אַ פּלאַץ פון אַרבעט. עס איז אַ פיל בעסער וואָרקאַראָונד, אָבער, און דאָס איז צו נוצן DKIMValidator. DKIMValidator גיט איר אַן E- בריוו אַדרעס וואָס איר קענען לייגן צו דיין נוזלעטער רשימה אָדער שיקן דורך דיין אָפיס E- בריוו ... און זיי איבערזעצן די כעדער אינפֿאָרמאַציע אין אַ שיין באַריכט:

ערשטער, עס וואַלאַדייץ מיין DMARC ענקריפּשאַן און DKIM כסימע צו זען צי עס פּאַסיז אָדער נישט (עס טוט נישט).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

דערנאָך, עס קוקט מיין SPF רעקאָרד צו זען אויב עס פּאַסיז (עס טוט):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

און לעסאָף, עס גיט מיר ינסייט אויף דער אָנזאָג זיך און צי דער אינהאַלט קען פלאַג עטלעכע SPAM דיטעקשאַן מכשירים, טשעקס צו זען אויב איך בין אויף בלאַקליסט, און דערציילט מיר צי עס איז רעקאַמענדיד צו שיקן צו די אָפּפאַל טעקע אָדער נישט:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

זייט זיכער צו פּרובירן יעדער ESP אָדער דריט-פּאַרטיי מעסידזשינג דינסט וואָס דיין פירמע שיקט E- בריוו צו ענשור אַז דיין E- בריוו אָטענטאַקיישאַן איז רעכט סעטאַפּ!

פּרובירן דיין E- בריוו מיט DKIM וואַלידאַטאָר

אַנטפּלעקונג: איך נוצן מיין צוגעבן לינק פֿאַר Google וואָרקספּאַסע אין דעם אַרטיקל.