ปกป้องเซิร์ฟเวอร์อีเมลธุรกิจขนาดเล็กของคุณ: จาก DNSSEC ไปจนถึง dmarc, dkim และ SPF
บทนำ
ในฐานะเจ้าของธุรกิจขนาดเล็กการรักษาความปลอดภัยเซิร์ฟเวอร์อีเมลของคุณควรมีความสำคัญสูงสุด ไซเบอร์อาชญากรอย่างต่อเนื่องเป้าหมายเซิร์ฟเวอร์อีเมลเพื่อเข้าถึงข้อมูลที่มีความสำคัญกระจายมัลแวร์หรือกระทำการฉ้อโกง การใช้ DNS S SSEC, dmarc, dkim และ SPF ที่ดีที่สุด สามารถช่วยปกป้องเซิร์ฟเวอร์อีเมลของคุณและรักษาความสมบูรณ์ของการสื่อสารทางธุรกิจของคุณ ในบทความนี้เราจะสำรวจมาตรการรักษาความปลอดภัยเหล่านี้และหารือเกี่ยวกับข้อผิดพลาดของการส่งต่อจดหมายโดยตรงที่อาจทำให้เกิดผล SPF บวกเท็จ
- DNSSEC: ส่วนขยายการรักษาความปลอดภัยระบบชื่อโดเมน
DNSSEC เป็นโปรโตคอลการรักษาความปลอดภัยที่จำเป็นที่ให้การตรวจสอบและความสมบูรณ์แก่ระบบชื่อโดเมน (DNS) ช่วยให้มั่นใจได้ว่าข้อมูลที่คุณได้รับจากเซิร์ฟเวอร์ DNS เป็นของแท้และไม่เปลี่ยนแปลง โดยการใช้ DNSSEC คุณสามารถปกป้องเซิร์ฟเวอร์อีเมลของคุณจากการเป็นพิษแคช DNS และการโจมตีที่ใช้ DNS อื่น
เพื่อเปิดใช้งาน DNSSEC:
- ติดต่อผู้ดูแลโดเมนของคุณและขอให้พวกเขาเปิดใช้งาน DNSSEC สำหรับโดเมนของคุณ
- สร้างคีย์คู่ประกอบด้วยคีย์ส่วนตัวและสาธารณะ
- สร้างบันทึก DS สำหรับโดเมนของคุณและส่งไปยังโดเมนของคุณ
- Dmarc: การตรวจสอบข้อความการรายงานและความสอดคล้องตามโดเมน
Dmarc เป็นโปรโตคอลการตรวจสอบความถูกต้องทางอีเมลที่ช่วยปกป้องโดเมนของคุณจากการใช้งานที่ไม่ได้รับอนุญาตเช่น phishing และ spoofing. มันทำงานโดยการตรวจสอบว่าโดเมนของผู้ส่งได้เผยแพร่บันทึก SPF และ dkim และโดยคำแนะนำที่ได้รับเซิร์ฟเวอร์วิธีการจัดการอีเมลที่ไม่มีการรับรอง
การใช้ dmarc:
- เผยแพร่บันทึก SPF สำหรับโดเมนของคุณ
- ตั้งค่า dkim ลงนามในเซิร์ฟเวอร์อีเมลของคุณ
- สร้างบันทึกนโยบาย dmarc ในการตั้งค่า DNS ในโดเมนของคุณระบุระดับการบังคับใช้และตัวเลือกการรายงาน
- Dkim: domainkeys ระบุจดหมาย
Dkim เป็นวิธีการตรวจสอบสิทธิ์ทางอีเมลที่ใช้ลายเซ็นการเข้ารหัสเพื่อตรวจสอบความถูกต้องของข้อความอีเมล ด้วยการเซ็นชื่ออีเมลขาออกของคุณด้วยคีย์ส่วนตัวคุณสามารถพิสูจน์ได้ว่าข้อความถูกส่งจากโดเมนของคุณและยังไม่ได้ถูกดัดแปลงระหว่างการขนส่ง
เพื่อเปิดใช้งาน dkim:
- สร้างคีย์คู่ dkim สำหรับโดเมนของคุณ
- เพิ่มคีย์สาธารณะในบันทึก DNS ของโดเมนของคุณเป็นบันทึก ชุดเครื่องมือ1xt
- กำหนดค่าเซิร์ฟเวอร์อีเมลของคุณเพื่อลงชื่อข้อความขาออกด้วยคีย์ส่วนตัว
- SPF: กรอบนโยบายผู้ส่ง
SPF เป็นมาตรฐานการตรวจสอบสิทธิ์ทางอีเมลที่ช่วยให้เจ้าของโดเมนระบุที่อยู่ IP ที่ได้รับอนุญาตให้ส่งอีเมลในนามของพวกเขา นี้จะช่วยปกป้องโดเมนของคุณจากการใช้ในสแปมและแคมเปญ phishing.
ใช้ SPF:
- สร้างบันทึก SPF สำหรับโดเมนของคุณในการตั้งค่า DNS แสดงที่อยู่ IP ที่ได้รับอนุญาต
- กำหนดค่าเซิร์ฟเวอร์อีเมลของคุณเพื่อตรวจสอบบันทึก SPF สำหรับข้อความที่เข้ามาและปฏิเสธผู้ส่งที่ไม่ได้รับอนุญาต
- ข้อผิดพลาดของการส่งต่อจดหมายโดยตรงและ SPF positives เท็จ
การส่งต่อจดหมายโดยตรงบางครั้งอาจทำให้เกิดบวกเท็จ SPF เมื่ออีเมลถูกส่งต่อที่อยู่ IP ของผู้ส่งเดิมจะถูกเก็บรักษาไว้ทำให้เซิร์ฟเวอร์รับตรวจสอบบันทึก SPF ของผู้ส่งเดิม หากที่อยู่ IP ของเซิร์ฟเวอร์ส่งต่อไม่ได้รับอนุญาตในบันทึก SPF ของผู้ส่งเดิมอีเมลอาจถูกทำเครื่องหมายว่าล้มเหลว
เพื่อหลีกเลี่ยงปัญหานี้:
- ใช้บริการส่งต่อจดหมายที่รองรับ SRS (รูปแบบการเขียนซ้ำของผู้ส่ง) เพื่อเขียนเส้นทางการส่งคืนใหม่เพื่อให้แน่ใจว่าการตรวจสอบ SPF จะดำเนินการอย่างถูกต้อง
- เพิ่มที่อยู่ IP ของเซิร์ฟเวอร์ส่งต่อลงในบันทึก SPF ของผู้ส่งเดิมหากคุณควบคุมได้
บทสรุป
การปกป้องเซิร์ฟเวอร์อีเมลธุรกิจขนาดเล็กของคุณเป็นสิ่งสำคัญในภูมิทัศน์ดิจิทัลในปัจจุบัน โดยการใช้ DNSSEC, dmarc, dkim และ SPF คุณสามารถปรับปรุงความปลอดภัยทางอีเมลของคุณอย่างมีนัยสำคัญและปกป้องธุรกิจของคุณจากภัยคุกคามทางไซเบอร์ ระมัดระวังกับการส่งต่อจดหมายโดยตรงและใช้ขั้นตอนที่จำเป็นเพื่อหลีกเลี่ยงบวกปลอม SPF ด้วยมาตรการเหล่านี้ในสถานที่คุณสามารถปกป้องการสื่อสารทางอีเมลของคุณและมุ่งเน้นไปที่การเติบโตธุรกิจของคุณ
ก่อนที่จะดำน้ำเข้าไปในการดำเนินการของแต่ละโปรโตคอลการรักษาความปลอดภัย, มันเป็นสิ่งสำคัญที่จะเข้าใจ syntax ของพวกเขา. ตารางต่อไปนี้มี syntax ตัวอย่างสำหรับบันทึก DNSSEC, dmarc, dkim และ SPF โปรดทราบว่านี่เป็นเพียงตัวอย่างเท่านั้นและคุณควรเปลี่ยนที่ยึดตำแหน่งด้วยโดเมนที่อยู่ IP และกุญแจสาธารณะที่แท้จริงของคุณ นอกจากนี้คุณอาจต้องปรับค่า TTL (time-to-Live) ตามต้องการ เมื่อคุณคุ้นเคยกับ syntax คุณสามารถเริ่มกำหนดค่าบันทึก DNS ของโดเมนของคุณเพื่อเพิ่มความปลอดภัยของเซิร์ฟเวอร์อีเมลของคุณ
| โปรโตคอลรักษาความปลอดภัย | ตัวอย่าง syntax |
|---|---|
| DNSSEC | Example.com ค่ะ 86400ใน DS 12345 8 2 0234567890อาBCDEF1234567890อาBCDEF1234567890 |
| Marc dmarc | _ Dmarc.example.com 86400ใน txt "V = Marc dmarc1; P = ปฏิเสธ; Rua = mailto:reports@example.com" |
| ดีคิม | ตัวเลือก _ domainkey.example.com 86400ใน txt "V = ดีคิม1; K = RSอา; P = PUBLIC_KEY_HERE" |
| SPF | Example.com ค่ะ 86400ใน txt "V = a:mail.example.com เอ็มเอ็กซ์ spf1 ip4:192.0.2.1-ทั้งหมด" |
* โปรดทราบว่านี่คือ syntax ตัวอย่างและคุณควรเปลี่ยน placeholders กับโดเมนจริงที่อยู่ IP และคีย์สาธารณะของคุณ คุณอาจต้องปรับค่า TTL (time-to-Live) ตามต้องการ
ด้านล่างนี้เป็นตารางที่แสดงบันทึก DNS S ต่างๆและ syntax ตัวอย่างของพวกเขา บันทึกเหล่านี้ใช้เพื่อวัตถุประสงค์ที่แตกต่างกันเช่นชี้โดเมนของคุณไปยังเว็บเซิร์ฟเวอร์เซิร์ฟเวอร์อีเมลหรือตรวจสอบโดเมนเป็นเจ้าของ
| ประเภทการบันทึก DNS S | ตัวอย่าง syntax | วัตถุประสงค์ |
|---|---|---|
| อา | Example.com ค่ะ 86400ใน192.0.2.1 | แผนที่โดเมนไปยังที่อยู่ที่ IPv4 |
| อาอาอาอา อาอา | Example.com ค่ะ 86400ใน อาอาอาอา อาอา 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | แผนที่โดเมนไปยังที่อยู่ที่ IPv6 |
| ซีเมด | www.example.com.ค่าาา 86400ใน Nam E example.com. | สร้างนามแฝงสำหรับโดเมนอื่น |
| เอ็มเอ็กซ์ | Example.com ค่ะ 86400ใน เอ็มเอ็กซ์ 10 mail.example.com | ระบุเซิร์ฟเวอร์จดหมายสำหรับโดเมน |
| TXT | Example.com ค่ะ 86400ใน txt "V = a:mail.example.com เอ็มเอ็กซ์ spf1 ip4:192.0.2.1-ทั้งหมด" | จัดเก็บข้อมูลที่ใช้ข้อความเพื่อวัตถุประสงค์ต่างๆ |
| ซีอาร์วี | _ SIP _ tcp.example.com 86400ใน ซีอาร์วี 0 5 5060 sipserver.example.com | ให้ข้อมูลเกี่ยวกับบริการที่มีอยู่ |
| NS | Example.com ค่ะ 86400ใน N S ns1.example.com | Delegates โซน DNS เพื่อใช้เซิร์ฟเวอร์ชื่อเฉพาะ |
| พีทีอาร์ | 1.2.0.192 in-addr.arpa 86400ในเวลาแปซิฟิก R example.com | แผนที่ที่อยู่ IP ไปยังโดเมน (ย้อนกลับ DNS) |
| โซอา | Example.com ค่ะ 86400 A ns1.example.com มาก Hostmaster.example.com (ซีเรียลรีเฟรชลองใหม่หมดอายุขั้นต่ำ) | มีข้อมูลการบริหารเกี่ยวกับโซน DNS |