Неотдавна, Google и някои други доставчици на имейл услуги започнаха да отхвърлят съобщения, които не преминават през удостоверяване на тяхната автентичност. В тази статия ще разгледаме защо се получава този проблем и как да го разрешим.
На първо място, трябва да знаете какво точно е имейл удостоверяване (email authentication).
Какво е имейл удостоверяване?
Повечето хора свързват имейл удостоверяването с имейл адреса и паролата си. Всъщност, този термин означава нещо различно. Имейл удостоверяване (или валидация) е набор от технологии, които доставчиците на имейл услуги използват, за да потвърдят идентичността на имейл сървъра, изпратил дадено съобщение. Оригиналният протокол, използван за обмен на съобщения (Simple Mail Transfer Protocol, по-известен просто като SMTP) няма подобна функционалност (все пак е създаден през далечната 1982 г.).
SMTP съобщенията за грешка могат да са доста загадъчни:
550-5.7.1 This message does not have authentication information or fails to pass authentication checks. To best protect our users from spam, the message has been blocked. Please visit
https://support.google.com/mail/answer/81126#authentication for more information. d16si9512682pgi.148 - gsmtp
Две основни технологии се използват за имейл удостоверяване:
- SPF - Sender Policy Framework
- DKIM - DomainKeys Identified Mail
Как работи имейл удостоверяването?
SPF и DKIM използват различен подход да удостоверят дадено съобщение. И двете използват DNS записи, но те съдържат различна информация. Когато имейл сървър получи съобщение, той проверява тези записи и на базата на резултатите, които получи, определя дали съобщението е пратено от легитимен сървър или не.
Спам филтрите, които ползваме в ICDSoft, използват и двете технологии с цел по-добро разпознаване и премахване на нежеланите съобщения.
SPF
SPF е съкращение от Sender Policy Framework. SPF DNS записът съдържа информация кои имейл сървъри (SMTP) могат да изпращат писма за дадено домейн име. Ако използвате SPF защита, можете да сложите различни SMTP сървъри в DNS записа без да се налага да правите нещо по-специално на който и да е от тези сървъри. Последната част от записа (~all) указва по какъв начин трябва да се третира съобщение, получено от сървър, който не е споменат в записа. В примерния запис по-долу, “~all” означава “SOFTFAIL“. С други думи, подобно съобщение ще бъде маркирано като неудостоверено, но няма да бъде отхвърлено. Ако искате съобщението да не бъде доставено изобщо, можете да използвате "-all”. Можете да намерите подробна информация как точно работи SPF защитата на Wikipedia страницата, посветена на тази защита.
Така изглежда примерен SPF запис: v=spf1 a mx include:smtp-spf.someserver.com ~all
Процесът по SPF валидация:
Ето как работи SPF:
SPF защитата работи само ако получаващият сървър прави проверка за SPF имейл удостоверяване. Проверката е проста - когато сървърът получи съобщение, проверява дали IP адресът на изпращащия сървър е изброен в SPF DNS записа на домейн името на изпращача. Според резултата и настройката как да се третира подобно съобщение (~all, например), сървърът решава дали съобщението да бъде доставено нормално, отхвърлено, или доставено и маркирано като спам.
DKIM / DomainKeys
DKIM (DomainKeys Identified Mail) защитата използва публичен криптографски ключ, с който съобщенията се подписват. Недостатъкът на този метод е, че за да се използва, трябва да се направят някои промени по софтуера на имейл сървъра, което значи, че трябва да се свържете с администратора на сървъра. За сравнение, SPF защитата не изисква нищо повече от създаването на един DNS запис.
С ICDSoft, DKIM защитата е пусната по подразбиране
Използвайте доставчик, който разбира от имейли
Всеки сървър, оторизиран да изпраща съобщения, трябва да подписва съобщенията с частен ключ (private key). Този ключ има уникален съответстващ публичен ключ (public key), който се публикува в DKIM DNS записа. Имейл сървърите, които получат дадено съобщение, използват този публичен ключ да проверят автентичността на съобщението (тъй като само оторизирани сървъри имат правилния частен ключ от двойката ключове).
Така изглежда примерен DKIM запис: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDTYf0C/D2g0vFGjYWb5gzZ2WDnBHiq++iHkCyQ1upCSokENuDAgRfAiWrW1M1Ge6dbZoI5RPzChmKe7PMqZf7fzj0+dvn6VP//r/+cZd6nmMh65cN/iwwl7ncP6rngI8B4cfmgPfjU0eY46F511mThvAQ4TLvj7Han5qMZrG5FzwIDAQAB
Процесът по DKIM валидация:
Използването на DKIM защита предполага, че сървърът, който получи съобщение, ще провери неговата автентичност. Ако подобна проверка е пусната, получаващият сървър ще провери т.нар. имейл хедъри на съобщението и ще ги сравни с публичния ключ в DKIM DNS записа за домейна. Ако съобщението не мине тази проверка успешно, то ще бъде третирано според настройките на сървъра за подобен случай.
Защо Gmail изведнъж започна да блокира съобщения?
Google е най-големият доставчик на имейл услуги в наши дни. Над един милиард потребители ползват Gmail и GSuite. Анти-спам защитата на тези услуги е много добра, но това има и своите недостатъци - много потребители често намират легитимни съобщения в спам папките си.
Google наскоро обновиха анти-спам филтрите си и започнаха да блокират съобщения, изпратени без имейл удостоверяване. Това свари неподготвени много потребители на Gmail, още повече, че не ни е известно планове за това действие да са били обявявани някъде предварително.
Макар че подобна промяна може да е полезна в борбата с нежеланите съобщения, властта, която Gmail има върху имейл услугата като цяло поражда притеснения. Ако те променят политиката си в дадена насока, всички имейл сървъри трябва да ги последват, дори техните администратори да не са съгласни с промяната. В този конкретен случай мислим, че промяната, която Google налагат, е за добро, така че я подкрепяме.
През 2014, подобна необявена предварително промяна от страна на друг от големите играчи, Yahoo, наруши работата на милиони пощенски списъци. Бяха засегнати клиенти на всички големи доставчици на имейл услуги. Можете да прочетете повече за този случай тук: Yahoo email anti-spoofing policy breaks mailing lists.
Клиентите на ICDSoft също бяха засегнати и се наложи да обновим софтуера, който управлява пощенските списъци в нашата система.
Как да предотвратите блокирането на съобщения от страна на Gmail?
Накратко, трябва да пуснете имейл удостоверяване за домейните във Вашия акаунт. За всеки нов клиент на ICDSoft, SPF и DKIM защитите са пуснати по подразбиране. В комбинация с голямото дисково пространство, анти-спам защитата и ниските цени, които предлагаме, сме предпочитаният избор за много потребители на имейл услуги. Освен това, предлагаме безплатно преместване на уебсайт (и имейли) с всеки хостинг акаунт.
Ако сте съществуващ клиент, можете да пуснете DKIM и SPF защитите от секция “DNS записи” в Контролния панел, където трябва да цъкнете на бутона “Включи” за всяка от тях.
Повечето други доставчици на имейл услуги също би трябвало да предлагат лесен начин да включите тези две защити. В противен случай, можете да използвате някой онлайн генератор на SPF и DKIM записи, като например https://mxtoolbox.com/SPFRecordGenerator.aspx.