E-posti autentimine: mis see on ja milleks seda vaja?

Autentimine on kõige esimene samm, mida tuleb teha, kui tegeled e-kirjade saatmisega isiklikust postkastist või kasutades mõnda meiliturunduse tarkvara. Selles pole õnneks midagi keerulist, sest kui juba tead, kuidas teha copy-paste’i, oled sama hea kui poolel teel. Mida aga edasi teha, sellest kirjutab lähemalt Smaily turundusjuht Tanel Rand.

Autentimine võimaldab nii meiliprogrammil kui ka adressaadil endal kontrollida, kas konkreetsest domeenist saadetud e-kiri on autentne ning pärineb ikka õigelt inimeselt või ettevõttelt. Täpselt samal viisil töötab näiteks pank, paludes kliendil oma isikut kinnitada enne, kui saab mistahes taotlustega edasi liikuda. Ilma isikut tõendava dokumendita saab võib-olla sissemakse teha, kuid oma konto saldole sa ligi ei pääse.

Kui sul on pangaga pikaajaline suhe ja pangaametnik tunneb sind ära ka ilma ID-kaarti või juhiluba nägemata, võib ta sulle juba veidi rohkem lubada. Siiski on ilma isikut tõendava dokumendita väga piiratud võimalused ja mõnikord võivad pangad sind edaspidi lihtsalt teenindamata jätta. Sama võib juhtuda sinu meilidega! 

Oma e-kirjade autentimiseks pead tagama, et saadad oma e-kirja domeenipõhise e-posti aadressi kaudu. Autentimine toimubki domeeni tasemel. See tähendab, et kui soovid meili saata tasuta aadressi kasutades – näiteks @gmail.com või @yahoo.com kaudu – ei saa sa meiliaadressi ise autentida, kuna ei oma domeene gmail.com ega yahoo.com. Rääkimata sellest, et seda domeeni jagavad väga paljud kasutajad maailmas. 

Autentimine aitab tõestada, et just sina oled see, kes konkreetse e-kirja saadab. Postkastid hoolivad oma klientide turvalisusest ja soovivad tuvastada ning eristada seaduslikke saatjaid igasugustest võltsijatest. Autentimine on esimene asi, mida nad sellepärast jälgivad. 

DKIM ehk seifimeetod 

Kõige rohkem kasutatakse kolme peamist autentimise vormi. Esimene neist on DKIM (Domain Keys Identified Mail).

DKIM aitab kaitsta nii meili saatjaid kui saajaid rämpsposti, võltsimise ja andmepüügi eest. Kui e-kiri on allkirjastatud DKIM-võtmega, aitab see postkastil kinnitada, et oled meili tegelik saatja ning kasutatud domeen kuulub just sinule. 

Et mõista, kuidas see tehniliselt töötab, on kõige lihtsam võrrelda DKIM-meetodit pangas oleva seifiga.

Paljudel seifidel on nimelt kahe võtmega süsteem. Üks võti kuulub pangale ja teine sulle. Mõlemad võtmed peavad töötama, et seif avaneks ning tekiks juurdepääs selle sisule. Kui üks võtmetest ei sobi, siis seif lihtsalt ei avane.

 

Sul on vaja unikaalset DKIM-võtit igas kasutatavas meilitööriistas, mis saadab sinu domeeni kasutades e-kirju välja.

Selleks pole vaja teha muud, kui sinu kasutatava tööriista poolt antud kahe väärtuse (võtme) kopeerimine ja nende kleepimine oma DNS-paneelile. Kui omad veebisaiti või oled oma isikliku postkasti juba valmis seadistanud, on sul ka DNS-paneel juba olemas.

Põhimõtteliselt on DKIM digiallkiri, mis lisatakse sinu meili päisesse peale saatmisnupu vajutamist ning mille sihtpostkast kinnitab peale e-kirja kättesaamist. Digitaalallkiri sisaldab kahte krüptograafilist räsi (päis ja kirja sisu) ning teavet selle kohta, kuidas digiallkiri genereeriti. Vastuvõttev meiliserver kasutab seda teavet saatja avaliku DKIM-võtme otsimiseks (see, mille kleepisid oma DNS-paneelile) ja e-kirjas oleva allkirja dekrüpteerimiseks eesmärgiga neid kahte võrrelda. Kui need ühtivad, loetakse sinu e-posti aadress DKIM-iga autendituks. 

SPF ehk volikirja meetod

Oluline on domeeni autentimine kõikide tööriistadega, mis sinu domeeni kasutades kirju saadavad. Postkastid ja adressaadid vajavad, et meilid saadakse tööriistadega, millel on selleks luba. Kõik sinu SPF-registri kirjed võimaldavad vastuvõtval postkastil näha, kas kiri saadeti sobivatelt IP-delt või mitte.

SPF kinnitab ja näitab e-postkastile, et kiri on saadetud volitatud meiliserveri IP-aadressidelt. Kui saadad e-kirja, kasutades konkreetset meiliturundusteenuse pakkujat, edastab teenuse osutaja sulle DNS-i kirjed, mille peab oma DNS-paneelile lisama. Need võimaldavad neil sinu nimel turvaliselt e-kirju saata.

Tehniliselt käib see nii.

Kui ostad domeeni ja saadad e-kirju oma isiklikult ettevõtte e-posti aadressilt näiteks G Suite'i abil, on e-kirja edastajaks Gmail. Kui kasutad Smailyt, saadab Smaily sinu e-kirju oma IP-aadressidelt. SPF minimeerib riski, et teised oma e-kirju saates teeskleksid, et need pärinevad sinu domeenist. SPF võimaldab postkastidel kontrollida, kas e-kiri pärines IP-delt, millel on luba saata teie domeeniga meile. Igal juurdomeenil võib olla ainult üks SPF-kirje ja iga alamdomeeni jaoks samuti ainult üks. 

Kui minu organisatsioonil oleks need neli meiliaadressi, oleks DNS-paneelil üks SPF-kirje iga juurdomeeni või alamdomeeni kohta:

Samuti oleks üks kirje aadresside smaily.com, email.smaily.com ja transactional.smaily.com kohta. Kui sul on juurdomeeni või alamdomeeni kohta rohkem kui üks SPF-kirje, võivad sinu SPF ja DMARC ebaõnnestuda. 

Siin on näide domeeni SPF-kirjest:

v=spf1 include:_spf.google.com include:md02.com ~all

Sellel SPF-kirjel kaks korda esinev “include” (eesti keeles: “sisalda”) lubab saata e-kirju Google'i ja ka konkreetse meiliturundustööriista kaudu. Alltoodud pildil ongi näha, et iga “include” jaoks on olemas seotud IP-aadresside seeria. Need on IP-d, millelt on lubatud e-kirju saata:

SPF-i võib võrrelda volikirja andmisega oma abikaasale, vanematele või näiteks oma raamatupidajale. Igaüks võib sinuna esinedes panka minna, kuid vaid volikirja omanikud saavad kinnituse ja loa sinu nimel pangas toimetada.

DMARC ehk petiste tuvastamise süsteem

Kolmas autentimisviis on äärmiselt kasulik ja huvitav. DMARC (Domain-Based Message Authentication Reporting And Performance) tähendab domeenipõhist sõnumite autentimise aruandlust. Nagu võib juba aimata, aitab see turbemeede kaitsta e-kirja saatjaid ning saajaid võltsitud meilide eest.

Huvitav on see, et DMARC võimaldab sul postkastidele öelda, mida teha meilidega, millel pole läbivat SPF- või DKIM-võtit. Kui määrad reegliks "none" (ehk “puudub”), võid lasta oma adressaadi postkastil otsustada, mida saabunud e-kirjaga edasi teha. Samuti saab postkasti teavitada soovist, et autentimata meilid läheksid rämpsposti kausta või eelistaksid need täielikult karantiini või tagasilükkamise poliitika alusel ära blokeerida. See on justkui sinu isiklik pettuste osakond, mis annab märku, kui sinu aadressi üritatakse ära kasutada ja e-kirju võltsida. 

Kindlasti ei soovi sa, et kõrvalised isikud saadaksid sinu domeeni kasutades e-kirju, kuna see mõjutab sinu domeeni mainet ja e-kirjade edastatavust. Samuti võib see mõjutada ka sinu enda mainet, kuna sa ei tea, millise sisuga e-kirju võivad petturid välja saata. Pealegi ei pruugi sa olla teadlik tööriistadest, mida libameilide väljasaatmiseks kasutatakse.

Autentimise puhul mõtlevad saatjad kõige lihtsamatele e-kirja saatmise tööriistadele nagu näiteks isiklikud postkastid või meiliturunduse tööriistad. Ära unusta, et on palju rohkem tööriistu, mille kaudu sinu domeeniga meile saata – näiteks raamatupidamissüsteemid või kalendrikutsed. Kui sa ei taga oma aadresside autentimist, mõjutab see nendelt saadetavate e-kirjade paigutust adressaadi postkastis –  eriti juhul, kui DMARC-i reeglid on märgitud tugevamaks.  

Pank jälgib pidevalt, mis sinu kontode või krediitkaartidega toimub ja teavitab sind sellest, kui midagi näib valesti olevat. Kui kontoga seonduvalt toimub mõni tegevus, mida pank ei suuda selgitada ega mõista, blokeerivad nad makse ja küsivad sinult, kuidas soovid edasi toimida. Näiteks kas soovid makse läbi lasta või mitte? Sarnased põhimõtted kehtivad ka DMARC-i kasutamisel oma domeeni autentimiseks.

Kui DMARC on paigas, saad igapäevaselt e-kirju näiteks Google’i ja Hotmaili postkastidelt. Need sisaldavad teavet näiteks DMARC-i ebaõnnestumise põhjustest (põhjuseks võib olla katkine DKIM-võti) ja IP-aadressist, millelt need saadeti. Oma krediitkaardi puhul tahad sa ju olla kindel, millal seda, ehk sinu identiteeti kasutatakse.

DMARC-i teabemeilid aitavad sul probleemide põhjused välja selgitada ja vead parandada. Alustamisel on oluline määrata poliitika sättele “none”. See tagab, et varud endale aega kõikide saadetavate ja autentimata meilide leidmiseks ja probleemide lahendamiseks. 

Kuidas edasi?

Esimese sammuna on oluline mõista, miks autentimine on oluline. Teine samm on juba loendi koostamine kõikidest sulle teadaolevatest tööriistadest, mis saadavad e-kirju või teateid sinu domeeni kaudu. Kiire otsing nende tööriistade andmebaasides või sätetes aitab sul koguda kõik DNS-i kirjed, mida pead oma DNS-paneelile kopeerima ja kleepima.

Smaily sissekanded leiad siit.

Kui sa pole kindel, mida kopeerida, võta julgelt ühendust oma majutusteenuse pakkuja või meiliturundustööriista kasutajatoega. Kui sul on loend kõikidest lisamist vajavatest DKIM-, SPF- ja DMARC-võtmetest, saavad nad sind abistada selle protsessi kiire läbiviimisega või nõustada sind selle õiges rakendamises. 

Kui vajad täiendavat abi, võta julgelt ühendust Smaily klienditoega või registreeru Let’s Authenticate the World saidil, et saaksid teha seda tasuta, ilma pakkumiseta.

Jaga
Nõuandja