Ważne zmiany w Gmail – nowe standardy uwierzytelniania

Wiele cyberataków (jak np. phishing) jest realizowanych z wykorzystaniem poczty elektronicznej. Dostawcy pocztowi starają się temu przeciwdziałać. Przykładem jest Google, który od 1 lutego postanowił mocno zaostrzyć reguły bezpieczeństwa w Gmailu dla masowych wysyłek.

Ten artykuł powstał z myślą o:

• osobach wysyłających maile na skrzynki pocztowe gmail lub korzystających ze skrzynek gmail.
• podmiotach zarządzających infrastrukturą pocztową, które chcą być na bieżąco z najnowszymi standardami uwierzytelniania poczty e-mail
• osobach i firmach, którym zależy na ochronie reputacji swojej firmy i unikaniu problemów związanych z nieautentycznymi wiadomościami e-mail, osłabiającym zaufanie klientów.

Co szykuje Google?

Od lutego 2024, Google (właściciel Gmaila) zacznie wymagać od wszystkich dostawców poczty, silnego uwierzytelniania wiadomości poprzez następujące zabezpieczenia: SPF, DKIM i DMARC[1]. Jeżeli firma w której utrzymujesz pocztę nie zapewni takich standardów, to istnieje realne ryzyko, że Twoja wiadomość nie dotrze do odbiorcy z adresem @gmail.com. Zmiany mają dotyczyć osób, które prowadzą wysyłki masowe (ponad 5000 wiadomości dziennie).

Tak się składa, że gmail jest najpopularniejszym serwisem pocztowym na świecie; tylko w Polsce korzysta z niego blisko 22 mln. użytkowników. [2]. Taka skala sprawia, że może powstać niemałe zamieszanie, jeśli nie wszyscy dostawcy internetowi dostosują się w porę do warunków stawianych przez Google. Dlaczego światowy gigant to robi? Główny argument to walka ze spamem, phishingiem i ochrona użytkowników.

Od lutego 2024 każdy e-mail wysłany z nieuwierzytelnionego źródła do skrzynki w Gmail lub Yahoo, prawdopodobnie znajdzie się w folderze SPAM lub zostanie odrzucony.

Nowe wymagania Google w pigułce

1. Wszyscy operatorzy hostingowi mają obowiązek zapewnić parametry uwierzytelniania do wiadomości wysyłanych z ich serwerów (automatycznie dodawać do obsługiwanych domen rekordy SPF lub DKIM). Taki obowiązek, na dostawców obsługujących powyżej 500 tys. kont e-mail, nakłada również Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej.
   
   
2. Operatorzy muszą zapewnić, aby domeny lub adresy IP nadawcy zawierały rekordy revDNS, zwane również rekordami PTR.
   
   
3. Każdy z operatorów musi używać połączenia TLS do przesyłania e-maila.
   
   
4. Wskaźnik spamu raportowany w narzędziach Postmaster musi być poniżej 0,10%. Zaleca się unikanie osiągnięcia wskaźnika spamu równego lub wyższego niż 0,30%. Jeśli e-maile są wysyłane do zweryfikowanych odbiorców (którzy wyrazili na to zgodę), nie powinno być problemu ze spełnieniem tego wymagania. Jednak jeśli e-maile są wysyłane do dużej grupy odbiorców, w tym tych, którzy nie wyrazili zgody, mogą być raportowane jako spam. W związku z tym wymaganie to może nie zostać spełnione.
   
   
5. Wiadomości muszą być sformatowane zgodnie ze standardem Internet Message Format. Wszystkie programy pocztowe poprawnie tworzą e-maile. To wymaganie może być istotne dla klientów, którzy tworzą swoje e-maile indywidualnie, na przykład w aplikacjach internetowych, które nie korzystają z popularnych bibliotek.
   
   
6. Zakaz wysyłania wiadomości z adresem From: w domenie gmail.com poza infrastrukturą Gmaila. (Google chce, aby wiadomości wysyłane z Gmaila były wysyłane tylko z ich serwerów).

Parametry uwierzytelniania SPF, DKIM, DMARC – co oznaczają?

W uproszczeniu można ich nazwać „strażnikami” Twojej poczty. Dlaczego? Bowiem mają za zadanie zadbać, aby Twój e-mail został bezpiecznie dostarczony do wskazanego przez Ciebie adresata. Zupełnie tak, jak powierzasz kurierowi lub listonoszowi zabezpieczoną przesyłkę, która musi dotrzeć z punktu A do punktu B. Nie może zostać otworzona przez niepożądane osoby, ani uszkodzona. Powinna dotrzeć w dokładnie wskazane przez Ciebie miejsce. (w przypadku poczty elektronicznej nie powinna trafić do Spamu).

Dodatkowo stosowanie SPF, DKIM i DMARC przeciwdziała podszywaniu się pod dane domeny, chroniąc jednocześnie ich wiarygodność. Dlatego na serwerach cyber_Folks również stosujemy te parametry. Rekordy SPF związane z domenami są automatycznie tworzone podczas pierwszej konfiguracji konta hostingowego lub gdy domeny są dodawane do serwera. Korzystając z panelu DirectAdmin, automatycznie jest też generowany rekord DKIM. Natomiast klienci, których domeny są utrzymywane na zewnętrznych serwerach DNS (nie należących do cyber_Folks), muszą samodzielnie dodać odpowiednie rekordy. Wynika to wyłącznie z tego, że nie mamy wtedy możliwości modyfikować tych DNS.

• Rola SPF polega na określeniu, które serwery są upoważnione do wysyłania poczty w imieniu domeny. To forma uwierzytelniania, zapobiegająca podszywaniu się pod zaufanego nadawcę. Wartość rekordu txt dla SPF wygląda tak:

v=spf1 includes:_spf.domain.pl~all

• Rola DKIM polega na zapewnieniu autentyczności i integralności wiadomości poprzez cyfrowe podpisanie jej treści. Modyfikacja tematu bądź zawartości spowoduje błąd weryfikacyjny DKIM, wiadomość nie zostanie odebrana. Klucz publiczny skojarzony z prywatnym kluczem podpisywania jest publikowany w rejestrze DNS domeny. Przykład publicznego klucza DKIM to:

k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrLHiExVd55zd/IQ/J/mRwSRMAocV/hMB3jXwaHH36d9NaVynQFYV8NaWi69c1veUtRzGt7yAioXqLj7Z4TeEUoOLgrKsn8YnckGs9i3B3tVFB+Ch/4mPhXWiNfNdynHWB cPcbJ8kjEQ2U8y78dHZj1YeRXXVvWob2OaKynO8/lQIDAQAB

Te ustawienia przyczyniają się do bezpieczeństwa i potwierdzenia autentyczności wiadomości e-mail, sprawiając, że wysyłane są tylko przez uprawnione źródła, a  ich treść nie jest zmieniana w trakcie wysyłki.

Dla wszystkich domen w cyber_Folks, dodaliśmy rekord uwierzytelniania DMARC , aby wzmocnić bezpieczeństwo wysyłania wiadomości e-maili. DMARC integruje SPF i DKIM, zapewniając uwierzytelnianie i umożliwiając nadawcom kontrolę nad obsługą wiadomości. Zapewnia również raporty do monitorowania aktywności e-maili i identyfikowania potencjalnych problemów związanych z bezpieczeństwem. Wdrażając DMARC, możesz znacznie poprawić ochronę przed spamem, phishingiem i innymi zagrożeniami. Jako właściciel domeny określasz czy parametry uwierzytelniania SPF i/lub DKIM mają zostać włączone oraz co się dzieje, w przypadku ich braku bądź błędnego ustawienia

Maciej Polewczyński, Senior Devops w cyber_Folks

Jak wygląda proces wysyłki każdej wiadomości email?

1. Użytkownik wysyła e-maila z programu pocztowego (np. Outlook, Thunderbird) lub klienta poczty internetowej (np. cyberfolks.pl/poczta).
   
   
2. E-mail jest przetwarzany przez program pocztowy, który dodaje dodatkowe informacje w nagłówku wiadomości. Należą do nich: adres e-mail nadawcy, adres e-mail odbiorcy, oraz parametr uwierzytelniania DKIM (jeśli jest poprawnie skonfigurowany).
   
   
3. E-mail jest wysyłany do serwera docelowego.
   
   
4. Serwer docelowy przetwarza e-mail i w zależności od parametrów uwierzytelniania przypisuje mu punktację wiarygodności, na podstawie której dodaje go do skrzynki odbiorczej lub nie. Jeśli punktacja jest słaba, może uznać go za mało wiarygodną wiadomość (SPAM). Pamiętaj jednak, że w sytuacji gdy właściciel domeny w DMARC ustawił politykę na „reject” to wiadomość może zostać odrzucona już na początkowym etapie odbioru i nigdy nie trafi do folderu Spam.

cyber_Folks a wymagania Google

Jako wiodący operator infrastruktury internetowej, spełniamy wszystkie wymagania narzucone przez Google. Dzięki temu, nasi klienci cyber_Folks mogą odetchnąć z ulgą, nie martwiąc się o poprawne działania skrzynek pocztowych w domenach zarejestrowanych u nas. Jeśli zaś chodzi o domeny zarejestrowane w cyber_Folks ale delegowane poza naszą firmę – tutaj obsługa tych restrykcji jest w 100% powierzona operatorowi do którego owa domena została wydelegowana.

Jak samodzielnie sprawdzić, czy wysłany e-mail spełnia te wytyczne?

Chcesz sprawdzić, czy Twoja skrzynka pocztowa jest przygotowana na zmiany? Zrobisz to online. W tym celu możesz skorzystać z darmowych narzędzi takich jak: mxtoolbox.com bądź vamsoft.com.

MXtoolbox to narzędzie online, które oferuje różne funkcje związane z analizą i monitorowaniem skrzynki pocztowej. Jednym z jego możliwości jest ocena konfiguracji mechanizmów SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) i DMARC (Domain-based Message Authentication, Reporting, and Conformance) dla domeny, co pomaga w zabezpieczeniu przed phishingiem i spoofingiem.

Zapowiedziane przez Google i Yahoo zmiany mają na celu zwiększenie standardów bezpieczeństwa poczty e-mail. To nie tylko walka ze SPAM-em, to przede wszystkim krok ku bardziej zaawansowanej ochronie użytkowników przed różnorodnymi zagrożeniami cybernetycznymi. Nowe wymagania dotyczące silnego uwierzytelniania, takie jak SPF, DKIM i DMARC potwierdzają tożsamość nadawcy, zwiększając bezpieczeństwo użytkowników i chroniąc przed podszywaniem się pod zaufanego nadawcę.

Źródło:
[1] google.com
[2] wirtualnemedia.pl