Як перевірити, чи правильно налаштована аутентифікація електронної пошти (DKIM, DMARC, SPF)

Валідатор DKIM DMARC SPF

Якщо ви надсилаєте електронні листи будь-якого типу, це галузь, де вас вважають винним і повинні довести свою невинуватість. Ми співпрацюємо з багатьма компаніями, допомагаючи їм з міграцією електронної пошти, підігрівом IP-адреси та проблемами доставки. Більшість компаній навіть не усвідомлюють, що у них взагалі є проблеми.

Невидимі проблеми доставки

Є три невидимі проблеми з доставкою електронної пошти, про які підприємства не знають:

  1. дозвіл – Постачальники послуг електронної пошти (ESP) керувати дозволами на включення... але постачальник послуг Інтернету (ISP) керує шлюзом для адреси електронної пошти призначення. Це справді жахлива система. Ви можете робити все правильно, як компанія, щоб отримати дозвіл та адреси електронної пошти, а провайдер не має уявлення і все одно може заблокувати вас.
  2. Розміщення папки "Вхідні" – ESPs сприяють високому результативність тарифи, які в основному дурниці. Електронна пошта, яка спрямовується безпосередньо в папку небажаних даних і ніколи не бачить ваш передплатник електронної пошти, технічно доставляється. Щоб по-справжньому стежити за своїми розміщення поштової скриньки, ви повинні використати початковий список і подивитися на кожного провайдера. Є служби, які це роблять.
  3. Репутація – Інтернет-провайдери та сторонні служби також підтримують оцінку репутації для IP-адреси, яка надсилає вашу електронну пошту. Існують чорні списки, які інтернет-провайдери можуть використовувати, щоб заблокувати всю вашу електронну пошту, або у вас може бути погана репутація, через яку вас буде перенаправлено в папку зі сміттям. Існує ряд сервісів, які ви можете використовувати для моніторингу вашої IP-репутації… але я був би трохи песимістичний, оскільки багато хто насправді не мають уявлення про алгоритми кожного провайдера.

Автентифікація електронної пошти

Найкращий спосіб пом’якшити будь-які проблеми з розміщенням папки «Вхідні» – переконатися, що ви налаштували ряд записів DNS, які провайдери можуть використовувати для пошуку та переконатися, що електронні листи, які ви надсилаєте, справді надсилаються вами, а не кимось, що видають себе за вашу компанію. . Це здійснюється за допомогою кількох стандартів:

  • Рамка політики щодо відправника (SPF) – найстаріший стандарт, тут ви реєструєте запис TXT під час реєстрації вашого домену (DNS), де вказано, з яких доменів або IP-адрес ви надсилаєте електронні листи для вашої компанії. Наприклад, я надсилаю електронну пошту для Martech Zone від Google Workspace і від CircuPress (мій власний ESP зараз у бета-версії). У мене є плагін SMTP на моєму веб-сайті, який також можна надсилати через Google, інакше я б також включив IP-адресу.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • ОбластьАутентифікація повідомлень, звітність та відповідність на основі (DMARC) – у цьому новішому стандарті є зашифрований ключ, який може перевіряти як мій домен, так і відправника. Кожен ключ створює мій відправник, що гарантує, що електронні листи, надіслані спамером, не можуть бути підроблені. Якщо ви використовуєте Google Workspace, ось як налаштувати DMARC.
  • Ідентифікована пошта DomainKeys (DKIM) – Працюючи разом із записом DMARC, цей запис інформує провайдерів, як поводитися з моїми правилами DMARC і SPF, а також куди надсилати будь-які звіти про доставку. Я хочу, щоб постачальники послуг Інтернету відхиляли будь-які повідомлення, які не проходять DKIM або SPF, і я хочу, щоб вони надсилали звіти на цю адресу електронної пошти.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • Індикатори бренду для ідентифікації повідомлень (БІМІ) – новітнє доповнення, BIMI надає можливість для провайдерів та їхніх програм електронної пошти відображати логотип бренду в поштовому клієнті. Є як відкритий стандарт, так і зашифрований стандарт для Gmail де також потрібен зашифрований сертифікат. Сертифікати досить дорогі, тому я поки цього не роблю.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

ПРИМІТКА. Якщо вам потрібна допомога щодо налаштування будь-якої автентифікації електронної пошти, не соромтеся звертатися до моєї компанії Highbridge. У нас є команда Експерти з маркетингу електронної пошти та доставки що може допомогти.

Як перевірити автентифікацію електронної пошти

Вся вихідна інформація, інформація про передачу та інформація про перевірку, пов’язана з кожним електронним листом, міститься в заголовках повідомлення. Якщо ви експерт із забезпечення доставлення, інтерпретувати це досить легко… але якщо ви новачок, це неймовірно складно. Ось як виглядає заголовок повідомлення для нашого інформаційного бюлетеня. Деякі електронні листи з автовідповідями та інформацію про кампанію виділені сірим кольором:

Заголовок повідомлення - DKIM і SPF

Якщо ви прочитаєте, ви можете побачити, які мої правила DKIM, чи проходить DMARC (він ні) і що SPF проходить… але це дуже багато роботи. Однак є набагато кращий обхідний шлях, яким варто скористатися DKIMValidator. DKIMValidator надає вам адресу електронної пошти, яку ви можете додати до свого списку інформаційних бюлетенів або надіслати електронною поштою в офісі… і вони перетворюють інформацію заголовка у гарний звіт:

По-перше, він перевіряє моє шифрування DMARC і підпис DKIM, щоб перевірити, чи проходить воно (не проходить).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Потім він шукає мій запис SPF, щоб перевірити, чи він проходить (це так):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

І, нарешті, він дає мені уявлення про саме повідомлення та чи може вміст позначати деякі інструменти виявлення СПАМу, перевіряє, чи я в чорних списках, і повідомляє мені, чи рекомендується його надсилати до папки небажаної інформації:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Обов’язково перевірте кожен ESP або сторонній сервіс обміну повідомленнями, з якого ваша компанія надсилає електронні листи, щоб переконатися, що ваша аутентифікація електронної пошти правильно налаштована!

Перевірте свою електронну пошту за допомогою DKIM Validator

Розкриття інформації: Я використовую своє партнерське посилання для Google Workspace в цій статті.