Ajánlott eljárások a feladó hitelesítésének támogatásához az Azure Communication Services e-mailjeiben

Ez a cikk a DNS-rekordok e-mail-küldési ajánlott eljárásait és a feladó hitelesítési módszereinek használatát ismerteti, amelyek segítenek megakadályozni, hogy a támadók úgy küldjenek üzeneteket, mintha az Ön tartományából származnának.

E-mail-hitelesítés és DNS-beállítás

Az e-mailek elküldéséhez több lépésre van szükség, amelyek közé tartozik az e-mail feladójának ellenőrzése, a tartomány jó hírnevének ellenőrzése, a víruskeresés, a levélszemét szűrése, az adathalászati kísérletek, a kártevők stb. A megfelelő e-mail-hitelesítés konfigurálása alapvető alapelv az e-mailekbe vetett bizalom kialakításához és a tartomány hírnevének védelméhez. Ha egy e-mail megfelel a hitelesítési ellenőrzéseknek, a fogadó tartomány az adott e-mailre a hitelesítési ellenőrzésekhez társított identitásokhoz már megállapított hírnévnek megfelelően alkalmazhatja az adott e-mailre vonatkozó szabályzatot, és a címzett meggyőződhet arról, hogy ezek az identitások érvényesek.

MX (Mail Exchange) rekord

Az MX (Mail Exchange) rekord az e-mailek megfelelő kiszolgálóra való átirányítására szolgál. Meghatározza azt a levelezési kiszolgálót, amely felelős az e-mailek tartománya nevében való elfogadásáért. A DNS-t frissíteni kell a levelezési tartomány MX rekordjainak legfrissebb adataival, különben az kézbesítési hibákhoz vezet.

SPF (Sender Policy Framework)

Az SPF RFC 7208 egy olyan mechanizmus, amely lehetővé teszi, hogy a tartománytulajdonosok szabványos DNS TXT rekordon keresztül közzétehessék és karbantarthassák azon rendszerek listáját, amelyek jogosultak e-mailek küldésére a nevükben. Ezzel a rekorddal adhatja meg, hogy mely levelezési kiszolgálók jogosultak e-mailek küldésére a tartomány nevében. Segít megelőzni az e-mailek hamisítását, és növelni az e-mailek kézbesítését.

DKIM (Azonosított tartománykulcsok levelezése)

A DKIM RFC 6376 lehetővé teszi, hogy a szervezet a címzett által érvényesíthető módon követelje az üzenetek továbbításáért való felelősséget. Ez a rekord arra is szolgál, hogy hitelesítse azt a tartományt, ahonnan az e-mailt küldi, és segít megakadályozni az e-mailek hamisítását, és növeli az e-mailek kézbesítését.

DMARC (tartományalapú üzenethitelesítés, jelentéskészítés és megfelelőség)

A DMARC RFC 7489 egy skálázható mechanizmus, amellyel a levelezésből származó szervezetek tartományi szintű szabályzatokat és beállításokat fejezhetnek ki az üzenetek érvényesítéséhez, elhelyezéséhez és jelentéséhez, amelyeket a levelezést fogadó szervezetek használhatnak az e-mailek kezelésének javítására. Azt is megadhatja, hogy az e-mail-fogadók hogyan kezeljék a sikertelen SPF- és DKIM-ellenőrzéseket. Ez javítja az e-mailek kézbesítését, és segít megelőzni az e-mailek hamisítását.

ARC (hitelesített fogadott lánc)

Az ARC protokoll RFC 8617 egy hitelesített felügyeleti láncot biztosít egy üzenethez, amely lehetővé teszi az üzenetet kezelő minden entitás számára, hogy azonosítsa azokat az entitásokat, amelyeket korábban kezeltek, valamint az üzenet hitelesítésének értékelése minden ugráskor. Az ARC még nem internetes szabvány, de a bevezetés egyre nő.

Az e-mail-hitelesítés működése

Az e-mail-hitelesítés ellenőrzi, hogy a feladótól érkező e-mailek (például ) megbízhatóak-e, notification@contoso.comés hogy az adott e-mail-tartományhoz (például contoso.com) várt forrásokból származnak-e. Egy e-mail több feladói vagy feladói címet is tartalmazhat. Ezeket a címeket különböző célokra használják. Vegyük például az alábbi címeket:

• A Feladó cím azonosítja a feladót, és meghatározza, hogy hol küldhet visszaküldési értesítéseket, ha az üzenet kézbesítésével kapcsolatos problémák merülnek fel, például nem kézbesítési értesítések. Ez megjelenik egy e-mail borítékos részében, és nem jelenik meg az e-mail-alkalmazás. Ezt néha 5321.MailFrom-címnek vagy fordított elérési útnak is nevezik.

• A Feladó cím a feladó címként jelenik meg a levelezőalkalmazás által. Ez a cím azonosítja az e-mail szerzőjének címét. Vagyis az üzenet megírásáért felelős személy vagy rendszer postaládája. Ezt néha 5322.From címnek nevezik.

• A Sender Policy Framework (SPF) segít ellenőrizni a tartományból küldött kimenő e-maileket (amely a feladótól származik).

• A DomainKeys Identified Mail (DKIM) segítségével biztosítható, hogy a cél levelezőrendszerei megbízhatók legyenek a tartományból kimenő levelekben.

• A tartományalapú üzenethitelesítés, -jelentéskészítés és -megfelelőség (DMARC) együttműködik a feladói szabályzat keretrendszerével (SPF) és a DomainKeys Identified Mail (DKIM) szolgáltatással a levélküldők hitelesítéséhez, valamint annak biztosításához, hogy a cél e-mail-rendszerek megbízzanak a tartományból küldött üzenetekben.

DMARC implementálása

A DMARC SPF és DKIM használatával történő implementálása gazdag védelmet nyújt a hamis és adathalász e-mailek ellen. Az SPF EGY DNS TXT rekorddal adja meg egy adott tartomány engedélyezett küldő IP-címeinek listáját. Az SPF-ellenőrzéseket általában csak az 5321.MailFrom cím alapján hajtják végre. Ez azt jelenti, hogy az 5322.From cím nem hitelesítve lesz, ha önmagában használja az SPF-t. Ez lehetővé teszi, hogy a felhasználó üzenetet kapjon, amely átmegy egy SPF-ellenőrzésen, de hamis 5322.Feladói címmel rendelkezik.

Az SPF DNS-rekordjaihoz hasonlóan a DMARC rekordja egy DNS-szöveges (TXT) rekord, amely segít megelőzni a hamisítást és az adathalászatot. DMARC TXT rekordokat tehet közzé a DNS-ben. A DMARC TXT rekordok ellenőrzik az e-mailek eredetét azáltal, hogy ellenőrzik az e-mail szerzőjének IP-címét a küldő tartomány állítólagos tulajdonosával szemben. A DMARC TXT rekord azonosítja az engedélyezett kimenő e-mail-kiszolgálókat. A cél levelezőrendszerek ezután ellenőrizhetik, hogy a fogadott üzenetek hivatalos kimenő e-mail-kiszolgálókról származnak-e. Ez az 5321.MailFrom és az 5322.From címek közötti eltérést kényszerít ki a tartományból és a DMARC-ból küldött összes e-mail cím között. Ennek elkerülése érdekében be kell állítania a DKIM-et a tartományához.

A DMARC-szabályzatrekordok lehetővé teszik a tartomány számára, hogy bejelentse, hogy az e-mail hitelesítést használ; e-mail-címet biztosít a tartományuk használatával kapcsolatos visszajelzések gyűjtéséhez; és egy kért szabályzatot határoz meg azoknak az üzeneteknek a kezelésére, amelyek nem adnak át hitelesítési ellenőrzéseket. Javasoljuk, hogy

• A DMARC-rekordokat közzétevő házirend-utasítások tartományai lehetőség szerint "p=reject", máskülönben "p=karantén" típusúak.
• A "p=none", "sp=none" és a 100. pct házirend-utasítását<csak átmeneti állapotként kell tekinteni, azzal a céllal, hogy a lehető leggyorsabban eltávolítsa őket.
• Minden közzétett DMARC-szabályzatrekordnak tartalmaznia kell legalább egy "rua" címkét, amely egy postaládára mutat a DMARC összesített jelentéseinek fogadásához, és nem küldhet vissza választ, ha adatvédelmi problémák miatt kap jelentéseket.

Következő lépések

• Ajánlott eljárások a DMARC implementálására

• A DMARC-implementáció hibaelhárítása

• Levelezőtartományok és a feladó hitelesítése az Azure Communication Servicesben

• Ismerkedés az e-mail kommunikációs szolgáltatás létrehozásával és kezelésével az Azure Communication Service-ben

• Első lépések az e-mail-kommunikációs szolgáltatás Azure Communication Service-erőforrással való összekapcsolásával

A következő dokumentumok lehetnek érdekesek Önnek:

• Ismerkedés az e-mail ügyfélkódtárával
• Hogyan küldhet e-maileket egyéni ellenőrzött tartományokkal? Egyéni tartományok hozzáadása
• Hogyan küldhet e-maileket az Azure Managed Domains szolgáltatással? Felügyelt Azure-tartományok hozzáadása