علیرغم افزایش محبوبیت پیام‌رسان‌ها و سایر ابزارهای ارتباطی، کماکان ایمیل به عنوان ابزار شماره یک ارتباطات در سطح جهانی مطرح است و سازمان‌ها به شدت به آن متکی هستند، با این حال، اگرچه ایمیل برای تقریباً هر نوع کاربر اینترنتی آشناست، روش‌هایی که از طریق آن، هم فرستندگان و هم گیرندگان ایمیل را در برابر حملات فیشینگ، اسپم و سایر انواع کلاهبرداری‌های ایمیلی محافظت می‌کند، کمتر شناخته شده‌اند.

DKIM (Domain Keys Identified Mail)

SPF (Sender Policy Framework)

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

سه فناوری مهمی هستند که معمولاً توسط ارائه‌دهندگان سرویس ایمیل سازمانی برای محافظت از کاربران در برابر تهدیدات سایبری و کلاهبرداری‌های ایمیلی استفاده می‌شوند. این فناوری‌ها قابلیت اعتماد به ایمیل‌های دریافت شده را بهبود می‌بخشند و خطر دستکاری در حین انتقال ایمیل را کاهش می‌دهند.

هدف این سه فناوری در موارد زیر خلاصه می شود:

1. دامنه ارسال کننده ایمیل مطمئن شود که دیگران نمی توانند از طرف یا به نیابت او ایمیل ارسال کنند.
2. ایمیل در طول مسیر ارسال دستکاری نشود
3. گیرنده ایمیل بتواند ادعا و سلامت دو مورد قبل را بررسی کند و درصورت رد ادعا بتواند درست واکنش نشان دهد.

در این راهنما، به بررسی دقیق‌تر DKIM، SPF، و DMARC می‌پردازیم، تفاوت‌های بین DMARC، DKIM، و SPF را بررسی می‌کنیم، اهمیت آن‌ها را توضیح می‌دهیم و اطلاعاتی در مورد نحوه راه‌اندازی صحیح هر یک از این فناوری‌های حیاتی ارائه می‌دهیم. ادامه مطلب را با ما همراه باشید تا درباره روش های احراز هویت ایمیل که منجر به محافظت از داده‌های شما در پشت صحنه میشوند بیشتر بدانید.

پیشنهاد: ما به عنوان ایمیل سرور امن، به شما ایمیل سرور سازمانی سورنا (امن، پایدار، قدرتمند و بومی) را پیشنهاد می کنیم. لطفا بررسی کنید.

احراز هویت ایمیل چیست؟

احراز هویت ایمیل معمولاً با استفاده از تکنیک‌های رمزنگاری، مانند امضای دیجیتال و رمزگذاری، برای تأیید هویت فرستنده و محافظت از محتوای پیام در برابر دستکاری انجام می‌شود. این فرآیند شامل استفاده از چندین فناوری، از جمله DKIM، SPF، و DMARC است که با همکاری یکدیگر، یک سیستم جامع احراز هویت ایمیل را فراهم می‌کنند.

هنگامی که یک پیام ایمیل احراز هویت می‌شود، به گیرنده اطمینان بالایی می‌دهد که پیام معتبر است و اسپم یا فیشینگ نیست. همچنین با اطمینان از اینکه پیام از دامنه یا آدرس IP ادعا شده ارسال شده است، از جعل هویت (spoofing) جلوگیری می‌کند. توضیح اینکه در جعل هویت، یک مهاجم خود را به جای یک فرستنده ی معتبر جا می‌زند.

چرا احراز هویت ایمیل مهم است؟

با ادامه تکامل جرایم سایبری و افزایش تهدیدات، احراز هویت ایمیل در برنامه امنیت سایبری سازمانی حیاتی است. با این حال، علاوه بر سطح بالای محافظتی که DKIM، DMARC، و SPF ارائه می‌دهند، اگر به درستی پیکربندی نشوند، می‌توانند بر توانایی کاربر در ارسال و دریافت ایمیل تأثیر بگذارند و منجر به مشکلاتی مانند رد شدن ایمیل‌ها، رهگیری توسط افراد غیرمجاز، یا علامت‌گذاری به عنوان اسپم شوند. این موضوع می‌تواند به اختلال در ارتباطات، از دست رفتن اطلاعات حساس، و آسیب به اعتبار افراد و سازمان‌ها نیز منجر شود.

نتایج حاصل از محافظت با استفاده از مکانیسم های احراز هویت ایمیل بسیار مهم هستند:

• جلوگیری از حملات فیشینگ — حملات فیشینگ نوعی رایج از کلاهبرداری ایمیلی هستند که در آن مهاجم خود را به جای یک فرستنده معتبر جا می‌زند تا گیرنده را فریب دهد و اطلاعات حساس را افشا کند. احراز هویت ایمیل می‌تواند با تأیید هویت فرستنده و اطمینان از معتبر بودن پیام، به جلوگیری از فیشینگ کمک کند.

• محافظت از اعتبار برند — احراز هویت ایمیل می‌تواند با جلوگیری از استفاده مجرمان سایبری از آدرس‌های ایمیل یا دامنه‌های جعلی برای ارسال اسپم یا پیام‌های فیشینگ که به اعتبار سازمان آسیب می زنند، به محافظت از اعتبار برند یک سازمان کمک کند.

• تقویت امنیت ایمیل — احراز هویت ایمیل به تقویت کلی امنیت ارتباطات ایمیلی کمک می‌کند و از دسترسی غیرمجاز، دستکاری، و رهگیری غیرمجاز پیام‌های ایمیل جلوگیری می‌کند.

• رعایت مقررات — برخی صنایع و حوزه‌های قضایی مقرراتی دارند که مستلزم اجرای احراز هویت ایمیل هستند. رعایت این مقررات برای جلوگیری از جریمه‌ها و پیامدهای قانونی مهم است.

انواع احراز هویت ایمیل

DKIM، SPF، و DMARC هر کدام به احراز هویت موثر ایمیل کمک می‌کنند و این سه فناوری درکنار یکدیگر اطمینان حاصل می‌کنند که ایمیل هم ایمن و هم کاملاً درست قابل تحویل باشد. در ادامه، به بررسی دقیق‌تر SPF، DKIM، و DMARC می‌پردازیم:

DKIM چیست؟

DKIM (Domain Keys Identified Mail) یک فناوری احراز هویت ایمیل است که از امضاهای رمزنگاری شده برای تأیید اصالت پیام‌های ایمیل استفاده می‌کند. هنگامی که یک پیام ایمیل ارسال می‌شود، DKIM یک امضای دیجیتال به هدر پیام اضافه می‌کند که سرور ایمیل گیرنده می‌تواند آن را بررسی و تأیید کند تا اطمینان حاصل شود که پیام در حین انتقال دستکاری نشده است و از دامنه فرستنده ادعا شده ارسال شده است.

توجه: برای فعال سازی این پروتکل ایمیل سرور شما باید مانند ایمیل سازمانی سورنا، قابلیت پشتیبانی از DKIM و رمزنگاری را داشته باشد. برخی ایمیل سرورها مانند اکسچنج قابلیت را ندارند و باید پلاگین نصب کنید.

SPF چیست؟

SPF (Sender Policy Framework) یک فناوری احراز هویت ایمیل است که به مالک یک دامنه اجازه می‌دهد تا مشخص کند کدام آدرس‌های IP مجاز به ارسال ایمیل از طرف آن دامنه هستند. با این کار، یک سرور وقتی ایمیلی دریافت کند می تواند از روی دامنه آن ایمیل، رکورد SPF را از DNS مربوطه درخواست کند و ببیند که آیا آدرس IP ارسال کننده ی ایمیل، در لیست IP ها مجاز آن دامنه ایمیلی قرار دارد تا اطمینان حاصل شود. اگر بررسی SPF ناموفق باشد، پیام ممکن است به عنوان اسپم علامت‌گذاری شود یا رد شود.

DMARC چیست؟

DMARC (Domain-based Message Authentication, Reporting, and Conformance) یک فناوری بررسی و اعتبارسنجی احراز هویت ایمیل است که مکانیسم‌های خط‌ مشی و گزارش‌دهی را برای DKIM و SPF فراهم می‌کند. درحقیقت DMARC به مالک دامنه اجازه می‌دهد سیاست هایی را مشخص کند که چگونه باید با پیام‌های ایمیلی که بررسی‌های DKIM و SPF را رد می‌کنند، برخورد شود و بازخوردی در مورد نتایج آن بررسی‌ها ارائه می‌دهد. DMARC با اطمینان از اینکه پیام‌های ایمیل تنها در صورتی پذیرفته می‌شوند که خط‌مشی‌های احراز هویت مشخص‌شده توسط مالک دامنه را رعایت کنند، به جلوگیری از جعل ایمیل و فیشینگ کمک می‌کند.

تفاوت‌های DKIM، SPF، و DMARC چیست؟

اگرچه DKIM، SPF، و DMARC همگی فناوری‌های حوزه احراز هویت ایمیل هستند که به جلوگیری از کلاهبرداری ایمیلی و بهبود تحویل‌پذیری ایمیل کمک می‌کنند، اما از چند جهت با یکدیگر تفاوت دارند. در اینجا برخی از تفاوت‌های اصلی بین DKIM، SPF، و DMARC را فهرست می‌کنیم:

DKIM

• از امضاهای رمزنگاری برای تأیید اصالت پیام‌های ایمیل استفاده می‌کند.

• یک امضای دیجیتال به هدر پیام اضافه می‌کند که سرور ایمیل گیرنده می‌تواند آن را تأیید کند.

• با اطمینان از اینکه پیام ایمیل در حین انتقال دستکاری نشده است، به جلوگیری از جعل ایمیل و حملات فیشینگ کمک می‌کند.

• می‌تواند برای تأیید یکپارچگی محتوای پیام و احراز هویت دامنه فرستنده استفاده شود.

SPF

• از رکوردهای DNS برای تأیید اینکه کدام آدرس‌های IP مجاز به ارسال ایمیل از طرف یک دامنه خاص هستند، استفاده می‌کند.

• با اطمینان از اینکه پیام ایمیل از یک آدرس IP مجاز ارسال شده است، به جلوگیری از جعل ایمیل و حملات فیشینگ کمک می‌کند.

• می‌تواند از علامت‌گذاری ایمیل‌ها به عنوان اسپم یا رد شدن آن‌ها توسط سرور ایمیل گیرنده جلوگیری کند.

DMARC

• مکانیسم‌های سیاست امنیتی و گزارش‌دهی را برای DKIM و SPF فراهم می‌کند.

• اطمینان حاصل می‌کند که پیام‌های ایمیل تنها در صورتی پذیرفته می‌شوند که خط‌مشی‌های احراز هویت مشخص‌شده توسط مالک دامنه را رعایت کنند.

• با ارائه بازخورد درباره نتایج بررسی‌های DKIM و SPF، به جلوگیری از جعل ایمیل و حملات فیشینگ کمک می‌کند.

رکوردهای SPF، DKIM، و DMARC کجا ذخیره می‌شوند؟

رکوردهای SPF، DKIM، و DMARC همگی در سرور نام دامنه (DNS) ذخیره می‌شوند.

در ادامه توضیح می‌دهیم که هر نوع رکورد کجا ذخیره می‌شود:

رکوردهای SPF (Sender Policy Framework)

• رکوردهای SPF به‌عنوان رکوردهای DNS از نوع TXT ذخیره می‌شوند. این رکوردها مشخص می‌کنند که کدام آدرس‌های IP مجاز به ارسال ایمیل از طرف یک دامنه هستند. سرور ایمیل گیرنده ایمیل این رکوردها را بررسی می‌کند تا مشروعیت فرستنده را تأیید کند.

رکوردهای DKIM (DomainKeys Identified Mail)

• رکوردهای DKIM نیز به‌عنوان رکوردهای DNS از نوع TXT ذخیره می‌شوند. این رکوردها حاوی کلید عمومی هستند که برای تأیید امضای DKIM در هدر ایمیل استفاده می‌شوند. این کار به گیرنده اطمینان می‌دهد که ایمیل دستکاری نشده است و از دامنه ادعا شده ارسال شده است.

رکوردهای DMARC (Domain-based Message Authentication, Reporting & Conformance)

• گرچه در این مورد الزام نیست، امه به طور معمول رکوردهای DMARC نیز به‌عنوان رکوردهای DNS از نوع TXT ذخیره می‌شوند. این رکوردها خط‌مشی‌هایی را برای برخورد با ایمیل‌هایی که بررسی‌های SPF و DKIM را رد می‌کنند، تعیین می‌کنند. آن‌ها مشخص می‌کنند که آیا چنین ایمیل‌هایی باید رد شوند، قرنطینه شوند، یا تحت نظارت قرار گیرند و همچنین مکانیسم‌های گزارش‌دهی برای نتایج احراز هویت را فراهم می‌کنند.

با استفاده از DNS، این رکوردها به سرورهای ایمیل در سراسر جهان امکان می‌دهند تا اصالت ایمیل‌ها را تأیید کنند و از کلاهبرداری و فیشینگ جلوگیری کنند.

نحوه تنظیم DKIM، SPF، و DMARC

تنظیم DKIM، SPF، یا DMARC یک کار فنی است که بهتر است به متخصصان سپرده شود. با این حال، این یک گام حیاتی برای اطمینان از این است که ایمیل‌های شما به درستی احراز هویت شده و به گیرندگان مورد نظر تحویل داده شوند. در اینجا یک نمای کلی از نحوه تنظیم هر روش احراز هویت ارائه می‌شود تا بتوانید بررسی‌های SPF، DMARC، و DKIM را روی ایمیل خود انجام دهید.

DKIM

1. یک جفت کلید عمومی/خصوصی برای دامنه خود ایجاد کنید.

2. یک رکورد DNS از نوع TXT حاوی کلید عمومی ایجاد کنید.

3. از کلید خصوصی برای افزودن امضای DKIM به پیام‌های ایمیل خود استفاده کنید. همانطور که قبلا اشاره شد ایمیل سرور شما باید قابلیت رمزنگاری را داشته باشد

4. سرور ایمیل خود را پیکربندی کنید تا از DKIM برای امضای ایمیل‌های خروجی استفاده کند.

SPF

1. یک رکورد DNS از نوع TXT برای دامنه خود ایجاد کنید که آدرس‌های IP مجاز برای ارسال ایمیل از طرف شما را فهرست کند.

2. اگر از سرویس ایمیل شخص ثالثی مانند Mailchimp یا Gmail برای ارسال ایمیل استفاده می‌کنید، مکانیسم "include" را به رکورد SPF خود اضافه کنید.

3. رکورد SPF خود را آزمایش کنید تا مطمئن شوید که به درستی پیکربندی شده است.

4. همچنین سرور ایمیل خود را پیکربندی کنید تا از SPF برای تأیید ایمیل‌های ورودی استفاده کند.

DMARC

1. یک خط‌مشی DMARC برای دامنه خود ایجاد کنید و مشخص کنید که آیا ایمیل‌هایی که بررسی‌های احراز هویت را رد می‌کنند، باید رد شوند، قرنطینه شوند، یا تحت نظارت قرار گیرند.

2. یک رکورد DNS از نوع TXT حاوی خط‌مشی DMARC برای دامنه خود ایجاد کنید.

3. ترافیک ایمیل خود را نظارت کنید تا هرگونه مشکل در تنظیمات احراز هویت را شناسایی کنید.

4. سرور ایمیل خود را پیکربندی کنید تا گزارش‌های DMARC را به آدرس ایمیل مشخص‌شده شما ارسال کند.

توجه داشته باشید که مراحل دقیق تنظیم DKIM، SPF، و DMARC ممکن است بسته به ارائه‌دهنده سرویس ایمیل و جزئیات فنی دیگر متفاوت باشد. توصیه می‌شود دستورالعمل‌های دقیق ارائه‌شده توسط ارائه‌دهنده ایمیل خود را دنبال کنید یا با یک متخصص امنیت ایمیل مشورت کنید تا مطمئن شوید که تنظیمات احراز هویت شما به درستی پیکربندی شده است.

تنظیمات در ایمیل سرور سورنا: ایمیل سرور سازمانی سورنا پشتیبانی از تمامی این پروتکل ها (بویژه DKIM و DMARC که سخت تر هستند) را در بخش مدیریت خود دارد و فقط با فعال سازی آنها به روشی ساده تنظیم می شوند.

نحوه بررسی صحت تنظیمات DKIM، SPF، و DMARC

برای بررسی اینکه آیا یک ایمیل، بررسی‌های احراز هویت SPF، DKIM، و DMARC را با موفقیت پشت سر گذاشته است، باید به چند نشانه کلیدی توجه کنید:

• بررسی SPF (Sender Policy Framework): برای اطمینان از اینکه ایمیل‌های شما این بررسی احراز هویت را پشت سر می‌گذارند، به هدر 'Received-SPF' نگاه کنید. اگر عبارت 'pass' را نشان دهد، پیام‌های شما بررسی SPF را با موفقیت پشت سر گذاشته‌اند.

• بررسی DKIM (DomainKeys Identified Mail): برای بررسی اینکه آیا DKIM با موفقیت انجام شده است، به هدر 'Authentication-Results' نگاه کنید و دنبال DKIM بگردید. اگر DKIM وجود داشته باشد و با موفقیت انجام شده باشد، در هدر نشان داده می‌شود.

• بررسی DMARC (Domain-based Message Authentication, Reporting & Conformance): برای بررسی اینکه آیا DMARC با موفقیت انجام شده است، به هدر 'Authentication-Results' نگاه کنید و مقادیر DKIM و SPF را جستجو کنید. اگر هر دو DKIM و SPF وجود داشته باشند و 'pass' را نشان دهند، ایمیل شما بررسی DMARC را با موفقیت پشت سر گذاشته است.

توجه داشته باشید که احراز هویت DKIM و SPF فقط برای ایمیل فعلی معتبر است، بنابراین بهترین روش این است که احراز هویت DKIM و SPF را برای هر ایمیل بررسی کنید. همچنین اگر DKIM، SPF، یا DMARC در مورد دامنه خودتان بررسی‌های احراز هویت را رد کنند، ممکن است نیاز به اعمال تغییراتی در دامنه خود داشته باشید تا ایمیل‌ها با موفقیت تحویل داده شوند.

انتخاب راه‌حل مناسب برای ارتباطات ایمیلی کسب‌وکار شما

هنگام انتخاب راه‌حل مناسب برای ارتباطات ایمیلی کسب‌وکار خود، توجه به چندین عامل مانند اندازه سازمان، سطح امنیتی مورد نیاز، و پیچیدگی زیرساخت ایمیل شما حیاتی است. احتمالاً از ترکیبی از هر سه فناوری استفاده خواهید کرد؛ با این حال، در ادامه به مقایسه DKIM، SPF، و DMARC می‌پردازیم تا بتوانید انتخاب آگاهانه‌ای داشته باشید.

• DKIM برای سازمان‌هایی استفاده می‌شود که می‌خواهند یکپارچگی پیام‌های ایمیل خود را تأیید کنند و دامنه فرستنده را احراز هویت نمایند. این فناوری می‌تواند به‌ویژه برای سازمان‌هایی که حجم زیادی ایمیل ارسال می‌کنند، مانند مؤسسات مالی یا وب‌سایت‌های تجارت الکترونیک، مفید باشد، زیرا می‌تواند به جلوگیری از حملات فیشینگ و سایر انواع کلاهبرداری‌های ایمیلی کمک کند.

• SPF به سازمان‌ها کمک می‌کند تا تأیید کنند که پیام‌های ایمیل از یک آدرس IP مجاز ارسال شده‌اند. این فناوری می‌تواند برای کسب‌وکارهای کوچک تا متوسط که زیرساخت ایمیل پیچیده‌ای ندارند، مفید باشد، زیرا تنظیم و پیاده‌سازی آن نسبتاً آسان است.

• DMARC یک انتخاب خوب برای سازمان‌هایی است که می‌خواهند مکانیسم‌های خط‌مشی و گزارش‌دهی را برای بررسی DKIM و SPF به صورت مکانیزه فراهم کنند. این فناوری می‌تواند به‌ویژه برای سازمان‌های بزرگ‌تر مفید باشد که می‌خواهند اطمینان حاصل کنند که پیام‌های ایمیل به‌درستی مدیریت می‌شوند و خط‌مشی‌های احراز هویت آن‌ها رعایت می‌شود.

نتیجه‌گیری: DKIM، SPF، DMARC

در نهایت، بهترین راه‌حل برای کسب‌وکار شما به نیازها و الزامات خاص شما بستگی دارد. ممکن است مشورت با یک متخصص امنیت ایمیل برای ارزیابی زیرساخت ایمیل فعلی شما و تعیین اینکه کدام محصول یا راه‌حل بیشترین مزایا را برای سازمان شما فراهم می‌کند، مفید باشد.

برای اطلاعات بیشتر در مورد SPF، DKIM، و DMARC، با یکی از کارشناسان فنی دپارتمان ایمیل سازمانی سورنا در شرکت سامان تماس بگیرید تا در مورد نیازهای خود مشورت کنید.

هشدار: همیشه به یاد داشته باشید که امنیت یک فرآیند مداوم است و نیاز به هوشیاری و اقدامات پیشگیرانه دارد. نرم افزار ایمیل سرور سازمانی امن و قوی انتخاب کنید و سپس آن را امن پیکر بندی کنید و در ادامه همیشه مراقب باشید.

سؤالات متداول درباره DKIM، SPF، و DMARC

آیا DMARC به هر دو SPF و DKIM نیاز دارد؟

خیر، DMARC (احراز هویت مبتنی بر دامنه، گزارش‌دهی و انطباق) نیازی به قبول هر دو پروتکل SPF (چارچوب خط‌مشی فرستنده) و DKIM (ایمیل شناسایی‌شده با کلید دامنه) ندارد. DMARC به مالکان دامنه اجازه می‌دهد مشخص کنند که چگونه باید با ایمیل‌هایی که بررسی‌های SPF و/یا DKIM را رد می‌کنند، برخورد شود. این بدان معناست که برای اینکه یک ایمیل DMARC را با موفقیت پشت سر بگذارد، صرفا نیاز به گذراندن خط مشی تعیین شده دارد که می تواند سخت گیرانه برای پاس کردن همه چیز باشد یا سهل گیرانه برای داشتن حداقل ها.

آیا DKIM بدون DMARC کار می‌کند؟

بله، DKIM (ایمیل شناسایی‌شده با کلید دامنه) می‌تواند بدون DMARC کار کند. DKIM یک فناوری احراز هویت ایمیل است که یک امضای رمزنگاری به هدر ایمیل اضافه می‌کند. این امضا می‌تواند توسط سرور ایمیل گیرنده تأیید شود تا اطمینان حاصل شود که پیام دستکاری نشده است و از دامنه فرستنده ادعا شده ارسال شده است.

آیا DMARC فقط با SPF می‌تواند با موفقیت انجام شود؟

بله، DMARC می‌تواند فقط با SPF با موفقیت انجام شود. برای اینکه یک ایمیل با استفاده از SPF، DMARC را با موفقیت پشت سر بگذارد، ایمیل باید بررسی SPF را با موفقیت پشت سر بگذارد و دامنه موجود در "Return-Path" باید با دامنه موجود در هدر "From" هم‌خوانی داشته باشد. اگر این شرایط برقرار باشد، ایمیل می‌تواند DMARC را با موفقیت پشت سر بگذارد، حتی اگر امضای DKIM معتبری نداشته باشد.