1. ראשי
  2. מה זה SPF ו-DKIM ואיך הם קשורים לשיפור עבירות ומניעת התקפות פישינג?

מה זה SPF ו-DKIM ואיך הם קשורים לשיפור עבירות ומניעת התקפות פישינג?

בדרך מהשרת של רב מסר אל היעד – תיבות המייל של הנמענים – הדיוורים שלכם צריכים לעבור הרבה מלכודות ומחסומים. המטרה המשותפת שלנו (שלכם ושל רב מסר) היא להגדיל את העבירות (שיעור הדיוורים שמצליח במשימה ומגיע ליעד) ככל האפשר.

יש כמובן הרבה פעולות שרב מסר מבצעת מאחורי הקלעים כדי לשפר את עבירות המייל, אבל יש גם לא מעט פעולות שאתם יכולים לבצע כדי לשפר את העבירות.

אחת הפעולות המומלצות מאוד היא אימות הדומיין באמצעות SPF ו-DKIM, ועל כך נסביר במאמר הזה.

כדי ללמוד איך להגדיר דומיין פרטי מאומת לשליחת דיוורים בר-מסר, קיראו את המאמר הזה.

מדוע יש צורך בטכנולוגיות אימות לדואר אלקטרוני?

אחד המרכיבים החשובים שהשרת המקבל (למשל gmail) משתמש בהם בבואו לקבוע אם להעביר את הדיוור לתיבת המייל, להשליך אותו לתיבת הספאם או לחסום אותו לחלוטין הוא הכושר לאמת את זהות שולח המייל – כשהמטרה המרכזית לכך היא לצמצם את התופעה של התקפות דיוג (phishing).

בהתקפת דיוג התוקף מתחזה לגורם אחר, בדרך כלל ידוע ובעל מונטין (בנק, דואר ישראל וכו') ובאמצעות ההתחזות מנסה לאסוף פרטים מהנמען – למשל סיסמת כניסה או מספר כרטיס אשראי. 

מסיבות היסטוריות, פרוטוקול הדואר האלקטרוני (SMTP) מכיל חולשה מובנית – היעדר מנגנון אימות הצד השולח. הסיבה היא שהמתכננים של הפרוטוקול היו תמימים ולא ראו את הצורך באמצעי אבטחה ואימות זהות. הדואר האלקטרוני החל כאמצעי התכתבות לחוקרים באוניברסיטאות והאבות המייסדים פשוט לא חזו את השימוש הנרחב בו ובטח לא את השימוש הזדוני.

בטכנולוגיה הבסיסית של דואר אלקטרוני אין באמת אפשרות קלה לזהות את שולח המייל באמצעות כתובת המייל. למעשה כל אחד יכול למשל לפתוח תיבת מייל ולשלוח מייל מהכתובת president@whitehouse.org ולהתחזות בכך לנשיא ארצות הברית. נכון, מעטים יאמינו שנשיא ארצות הברית כותב להם, אבל רבים עלולים כן להאמין שבנק הפועלים או דואר ישראל כותבים להם, והם יפעלו לתומם על פי ההנחיות הכתובות במייל. 

מה עושים היום כדי לפתור את הבעיה?

אין פתרון מלא לבעיית אימות שולח המייל, אבל הפתרון שנמצא ואומץ על ידי גופים רבים הוא "להרכיב" על הפרוטוקול הקיים אלמנטים שתפקידם להבטיח, לפחות חלקית, את האפשרות לאמת את השולח. כלומר לוודא שהוא מי שהוא אומר שהוא.

השיטות עליהן אנחנו מדברים, SPF ו-DKIM, מכסות כל אחת חלק אחר של הבעיה, ומשלימות זו את זה.

מה עושה ואיך עובדת SPF?

SPF, ראשי תיבות של Sender Policy Framework, היא דרך לוודא שמקור המייל הוא שרת מורשה, ולא מתחזה.

אחד הפרמטרים שהשרת המקבל כן יכול לדעת בוודאות (או כמעט בוודאות ליתר נכון) הוא את כתובת ה-IP של השרת השולח. בעת משלוח מייל השרת השולח מתחבר לשרת המקבל באמצעות פרוטוקול התקשורת SMTP וכדי שתוכל בכלל להתקיים תקשורת כתובת ה-IP של כל אחד מהם (כתובת שהיא זיהוי המחשב המחובר לאינטרנט) חייבת להיות ידוע לשניהם. 

מכיוון שקשה מאוד לזייף את כתובת ה-IP היא למעשה משמשת כעוגן עבור אימות SPF.

לדוגמה, נניח שהשרת של רב מסר שולח את המיילים שלו מהכתובת 69.63.184.142, ונניח שאתם הבעלים של הדומיין mydomain.com ויש לכם כתובות מייל בדומיין הזה (למשל info@mydomain.com). הגדרת SPF דורשת מכם להודיע לעולם שאתם כבעלי הדומיין mydomain.com האצלתם את הסמכות לשלוח מייל בשמכם על השרת שכתובת ה IP שלו היא 69.63.184.142.  

לאחר שהודעתם לעולם שהמיילים שלכם נשלחים דרך השרת של רב מסר שכתובתו 69.63.184.142, כל השרתים שמנהלים את תיבות המייל של הנמענים שלכם (למשל Gmail או כל שרת מקבל אחר) יכולים לבדוק אם אכן המייל שהגיע בשמכם הגיע מאותו שרת שאתם מרשים לו לשלוח בשמכם.

אם גורם זדוני כלשהו רוצה להתחזות אליכם ולשלוח גם הוא מייל מהכתובת info@mydomain.com הוא עדיין יוכל לעשות זאת, אבל הוא יישלח את המייל שלו משרת שונה מהשרת של רב מסר (כי כדי להיות מנוי על שירות רב מסר חובה להזדהות ואז יהיה קל לתפוס אותו) וכל השרתים שמנהלים את תיבות המייל של הנמענים שלו יחשדו בו שהוא מתחזה, כי לשרת שלו לא הרשיתם לשלוח מייל בשמכם.

אז איך מודיעים לעולם שכתובת IP מסוימת מורשית לשלוח בשמנו? הפתרון הוא להשתמש ברשומות ה-DNS.

לא ניכנס כאן יותר מדי להסבר הטכני אז בקצרה (מאוד) DNS ראשי תיבות של Domain Name System הם רשת של שרתים שבהם מופיעה מידע רלוונטי על הדומיין. למשל אם בדומיין הזה שוכן אתר אינטרנט ברשומות ה DNS מופיע הכתובת (ה-IP) של אותו של השרת שבו מאוחסן האתר. זו למעשה המערכת שמאפשרת לנו לגלוש באמצעות השמות הידידותיים של הדומיינים ולא באמצעות כתובת IP. 

לכל בעל דומיין (ורק לו) יש זכות לפרסם רשומות בדומיין שלו. מערכת ה-SPF מנצלת את היכולת הזו של ה-DNS – וזה המפתח להשלמת פתרון ה-SPF. בעל הדומיין מפרסם רשומה מיוחדת שנקראת רשומת SPF שבה הוא מציין את כתובת ה-IP (או מספר כתובות) שמורשה לשלוח מייל בעבור הדומיין שלו. כל גורם באינטרנט, ובפרט שרת שמנהל תיבות מייל, יכול למשוך את הרשומה זו וכך לדעת אם המייל שהגיע אכן נשלח מבעל הדומיין. 

מה עושה ואיך עובדת DKIM? 

DKIM, ראשי תיבות של DomainKeys Identified Mail היא דרך למנוע זיוף והתחזות של הודעות מייל.

בסעיף הקודם הראינו איך ה-SPF עוזר למנוע הונאות. אבל מסתבר שהוא פותר רק חלק מהבעיה. יש עוד צורות של הונאה ולכן אנחנו צריכים גם את שיטת DKIM

DKIM מיועד להוסיף שכבת הוכחה נוספת לאימות השולח, כדי להתמודד עם עוד אתגרים של הונאה.

ספציפית, DKIM מבטיח שלא רק שהמייל נשלח מהגורם הנכון אלא שגם אף גורם זדוני לא שינה אותו בדרך והוא הגיע לתיבת הנמען בדיוק כפי שיצא משרת השולח.

DKIM מבוסס על הטכנולוגיה של חתימה דיגיטלית. אין לנו כאן מקום לתת הסבר מלא כיצד עובדת חתימה דיגיטלית (כדרך אגב נזכיר שחתימה דיגיטלית היא מרכיב חשוב במטבע הקריפטוגרפי ביטקוין), אבל הנה תיאור כללי:

  • השרת ששולח את המייל משתמש במפתח סודי (שנקרא גם מפתח פרטי) כדי "לחתום את המייל היוצא" משמעות החתימה היא חישוב של מספר מסוים, ייחודי כאשר הקלט הוא תוכן המייל.
  • את המספר הזה השרת ממקם באזור של המייל שאינו גלו למקבל המייל (אלא אם כן יבקש לראות אותו) אבל כן גלוי לשרת המקבל שנקרא ה header של המייל.
  • השרת המקבל את המייל קורא את החתימה מה header, מפענח את החתימה באמצעות מפתח אחר שאינו סודי, נקרא לו "מפתח ציבורי" שנמצא, כמו שתיארנו ב-SPF, ברשומות ה DNS של בעל הדומיין.
  • אם הפיענוח עבר בהצלחה, הכל טוב והמייל עבר את מבחן ה-DKIM. 
  • אם השרת המקבל לא מצליח לפענח את החתימה הדיגיטלית, משמעות הדבר שהמייל השתנה בדרך או שהשולח אינו מי שהוא טוען שהוא.  

איך SPF ו-DKIM תורמים לעבירות שלכם? 

אימות הדומיין באמצעות SPF ו-DKIM אינו מבטיח שהמיילים שלנו לא יכנסו לספאם, או אפילו שהם לא יחסמו לחלוטין. אבל שימוש נכון בטכנולוגיות האלו בהחלט עשוי להקטין את הסיכון שבכך.

כדי ללמוד איך מגדירים דומיין מאומת לדיוור ברב מסר קיראו את המאמר כאן.

אימות הדומיין שלכם יאפשר למערכות מייל (למשל Gmail) גם לסמוך עליכם יותר, וגם לזהות את הדומיין הפרטי שלכם בתוך כל הדיוורים של רב מסר, ולנהל עבורכם רישום נפרד (או כמעט נפרד) של מונטין שולח. באופן זה תהיו תלויים יותר בעצמכם ותראו גם יותר ברכה במאמצים נוספים של שיפור דיוק הדיוורים שלכם:

אם תקפידו על כל אלה, אז אימות הדומיין שלכם יאפשר לכם להיות מופרדים מכל יתר השולחים של רב מסר שאולי חלקם משווקים קצת פחות אחראיים וחרוצים מכם.

עודכן בתאריך ינואר 2, 2022

הצלחנו לעזור לך?