פרוטוקולים של אבטחת אי-מיילים: SPF, DKIM ו-DMARC - מי מה ואיך
לשימוש בפרוטוקולים SPF, DKIM ו-DMARC חשיבות מכרעת באבטחת אי-מיילים כי במידה ומייל לא כולל את שלוש הפרוטוקולים רוב הסיכויים שהמייל שאתם שולחים ימצא את דרכו לתיקיית הספאם. במדריך זה תמצאו הסבר תמציתי על עבודת הפרוטוקולים ואיך להשתמש בהם בבטחה.
מהם הפרוטוקולים לאבטחת אי-מיילים וכיצד הם עובדים?
קודם כל ננסה להבין מה אומר כל פרוטוקול:
-
SPF (Sender Policy Framework):
-
SPF מסייע למנוע התחזות לדואר אלקטרוני על ידי בדיקת כתובת ה-IP של השולח מול רשימה של שולחים מורשים המפורסמת ברשומות ה-DNS של הדומיין השולח.
-
איך עובד? הדומיין השולח כולל רשומת TXT ב-DNS שלו עם רשימה של שרתי דואר מורשים שיכולים לשלוח מיילים בשם אותו דומיין.
-
-
DKIM (DomainKeys Identified Mail):
-
DKIM מספק חתימה דיגיטלית שמאמת את אמיתות ושלמות הודעת הדואר האלקטרוני במטרה להבטיח שלא נעשה שינוי בתכני האי-מייל לאחר המשלוח.
-
איך עובד? שרת הדואר השולח חותם על מיילים יוצאים באמצעות מפתח פרטי, בעוד השרת הקולט מאמת את החתימה באמצעות המפתח הציבורי המפורסם ברשומות ה-DNS של הדומיין השולח.
-
-
DMARC (Domain-based Message Authentication, Reporting & Conformance):
-
DMARC דורש לפעולתו את הפרוטוקולים SPF ו-DKIM תפקידו להכתיב לשרתי הדואר בצד המקבל מה לעשות במקרה שאימות SPF או DKIM נכשל, כגון הטלת סגר או דחייה במקור של הדואר האלקטרוני.
-
איך עובד? הדומיין השולח מפרסם מדיניות DMARC ברשומות ה-DNS, המציינת מה לעשות עם מיילים שנכשלו. הוא כולל גם מידע לאן לשלוח דוחות עבור דואר אלקטרוני שנכשל.
-
מאיפה מקבלים את הרשומות ומה עושים איתם?
בדרך כלל, האיש הטכני האחראי על אתר האינטרנט מקבל את רשומות ה-DNS הכוללות את הפרוטוקולים: SPF, DKIM ו-DMARC מספק המיילים. זה יכול להיות Microsoft 365, Google Workspace או SendGrid, וכיו"ב. את הרשומות צריך להזין כרשומות DNS אצל רשם הדומיינים של האתר דוגמת: LiveDNS, גלקום או AWS.
איך בודקים את תקינות רשומות ה-DNS?
יש שתי שיטות עיקריות לבדיקת תקינות רשומות ה-DNS.
הקלה, אם יש למערכת ההפעלה שלכם יש גישה לטרמינל או לשורת הפקודות, היא להשתמש בפקודות nslookup.
לוידוא SPF:
$ nslookup -type=TXT <your_domain_here.co.il>לוידוא DMARC:
$ nslookup -type=TXT _dmarc.<your_domain_here.co.il>לוידוא DKIM:
$ nslookup -type=TXT mail._domainkey.<your_domain_here.co.il>
הגישה הנוספת לבדיקה היא לשלוח מהדומיין שלכם מייל ל-gmail שלכם. פותחים את המייל המתקבל, ולוחצים על אייקון ה-3 נקודות. מתוך הדרופ שנפתח בוחרים באפשרות "show original" ואז נפתחת טבלה שמציגה את ההדרים במייל. אם יש שם בעיות הם יוצגו.
אם זה לא מספיק, אז אפשר להעתיק את ההדר על ידי הקלקה על הכפתור הכחול "copy to clipboard" ואז להדביק את ההדרים של המייל בתוך כלי בדיקה של גוגל שכתובתו:
toolbox.googleapps.com/apps/messageheader
שם הבדיקה היא יותר מעמיקה.
מדריכים נוספים בסדרה על כישורי מחשב שעשויים לעניין אותך
שימוש בקובץ hosts למניעת גלישה לאתרים מסוימים ולשינוי הכתובת שאליה גולשים מהמחשב
לכל המדריכים בסדרה על כישורי מחשב
אהבתם? לא אהבתם? דרגו!
0 הצבעות, ממוצע 0 מתוך 5 כוכבים
המדריכים באתר עוסקים בנושאי תכנות ופיתוח אישי. הקוד שמוצג משמש להדגמה ולצרכי לימוד. התוכן והקוד המוצגים באתר נבדקו בקפידה ונמצאו תקינים. אבל ייתכן ששימוש במערכות שונות, דוגמת דפדפן או מערכת הפעלה שונה ולאור השינויים הטכנולוגיים התכופים בעולם שבו אנו חיים יגרום לתוצאות שונות מהמצופה. בכל מקרה, אין בעל האתר נושא באחריות לכל שיבוש או שימוש לא אחראי בתכנים הלימודיים באתר.
למרות האמור לעיל, ומתוך רצון טוב, אם נתקלת בקשיים ביישום הקוד באתר מפאת מה שנראה לך כשגיאה או כחוסר עקביות נא להשאיר תגובה עם פירוט הבעיה באזור התגובות בתחתית המדריכים. זה יכול לעזור למשתמשים אחרים שנתקלו באותה בעיה ואם אני רואה שהבעיה עקרונית אני עשוי לערוך התאמה במדריך או להסיר אותו כדי להימנע מהטעיית הציבור.
שימו לב! הסקריפטים במדריכים מיועדים למטרות לימוד בלבד. כשאתם עובדים על הפרויקטים שלכם אתם צריכים להשתמש בספריות וסביבות פיתוח מוכחות, מהירות ובטוחות.
המשתמש באתר צריך להיות מודע לכך שאם וכאשר הוא מפתח קוד בשביל פרויקט הוא חייב לשים לב ולהשתמש בסביבת הפיתוח המתאימה ביותר, הבטוחה ביותר, היעילה ביותר וכמובן שהוא צריך לבדוק את הקוד בהיבטים של יעילות ואבטחה. מי אמר שלהיות מפתח זו עבודה קלה ?
השימוש שלך באתר מהווה ראייה להסכמתך עם הכללים והתקנות שנוסחו בהסכם תנאי השימוש.