המדריך המלא להגנה על דומיין הדואר

אי פעם תהיתם מדוע המיילים שאתם שולחים מגיעים לתיקיית הספאם, למרות שהכול נראה תקין? הגנה נכונה על מוניטין דומיין הדואר (או יותר נכון הדומיין ממנו דואר נשלח) תמנע מהדומיין שלכם להפוך למטרה קלה לזיוף ולנתיב תקיפה נגד הלקוחות והשותפים העסקיים על ידי התחזות לגורמים בארגון שלכם אך גם תסייע לכך שהמיילים יגיעו לתיבת הדואר הנכנס ולא ייעלמו אל תהום תיקיות הספאם שכן בסופו של דבר שניהם נשענים על אותם עקרונות. הרי רוב המיילים הנשלחים מדי יום מסווגים כספאם או כזדוניים, וספקיות הדוא”ל נאבקות בכך בעוצמה על מנת ולהגן על מקבלי הדואר ולכן אם הדוא”ל הנשלח שלכם אינו מאומת כהלכה, ייתכן שהוא כלל לא יגיע לתיבת הדואר הנכנס.

כאן נכנס לתמונה מוניטין הדוא”ל. המוניטין של הדומיין קובע האם ההודעות ינחתו בתיבות הדואר, יסומנו כחשודות או פשוט ייעלמו. המפתח למוניטין חזק טמון בפרוטוקולים כמו SPF, DKIM, DMARC אך גם בשיטות וטכנולוגיות חדשות יותר.

מדריך זה מסביר בדיוק כיצד הפרוטוקולים הללו עובדים, איך להגדיר אותם נכון, ובאילו הגדרות עליכם להשתמש כדי למקסם את אמינות מוניטין הדומיין והמיילים שאתם שולחים ממנו.

נחקור מהו מוניטין דוא”ל, כיצד לשפר אותו, ואילו צעדי אבטחה קריטיים מומלץ ליישם כבר באופן מיידי.

מהו מוניטין דומיין דואר?

חשבו על מוניטין דוא”ל כמו על ציון אשראי – אבל עבור הדומיין. זהו שילוב של התנהגות השולח, פרוטוקולי אימות ואמינות היסטורית. לאורך שרשרת אספקת הדוא”ל יש מספר נקודות בדיקה שמנתחות גורמים אלה כדי להחליט האם ההודעות שלכם יגיעו ליעדן, יסומנו כספאם או ייחסמו לחלוטין.

מוניטין דומיין הדוא”ל מושפע בין היתר מהדברים הבאים:

• תלונות ספאם – אם יותר מדי אנשים מסמנים את המיילים שלכם כספאם, המוניטין שלכם נפגע.
• שיעור ניתורים (Bounce Rates) – שליחת מיילים לכתובות שגויות גורמת לספקי הדוא”ל להטיל ספק באמינותו.
• נפח ושליחת דוא”ל לא עקבית – עליות חדות בכמות המיילים עלולות להפעיל מסנני ספאם.
• רשימות שחורות (Blacklists) – אם הדומיין או ה-IP שלכם מופיעים ברשימות ספאם, רוב המיילים שלכם לא יגיעו ליעדם.
• רשומות DNS לאימות ואבטחה – SPF, DKIM, DMARC, BIMI עליהם נעמיק במדריך זה.

DMARC ו DKIM ,SPF – יסודות הגנת מוניטין דומיין דואר

אימות דוא”ל הוא הבסיס לאבטחת דוא”ל. בלעדיו, תוקפים יכולים לזייף מיילים שנראים כאילו נשלחו מהדומיין שלכם, ובכך להטעות את הנמענים ולגרום להם לחשוב שהודעות זדוניות הן לגיטימיות.

בנוסף, יישום SPF, DKIM וDMARC  לא רק מגן על הדומיין שלכם, אלא גם מבטיח שהמיילים שלכם יגיעו לתיבת הדואר הנכנס במקום לתיקיית הספאם או שבכלל לא יגיעו ליעדם.

שלושת הפרוטוקולים הללו עובדים יחד כדי למנוע זיוף זהות (spoofing), דיוג (phishing) ושימוש לא מורשה בדוא”ל והם קריטיים לכל עסק או ארגון הנשען על תקשורת בדוא”ל.

• SPF (Sender Policy Framework) – קובע אילו שרתים מורשים לשלוח דוא”ל בשם הדומיין שלכם.
• DKIM (DomainKeys Identified Mail) – חותם ומוודא שהודעות לא שונו במהלך ההעברה.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) – מחבר את שניהם, אוכף מדיניות אבטחה ומספק דוחות על ניסיונות זיוף.

זכרו, חשוב לא למהר ולהגדיר מדיניות אבטחה מחמירה מדי מבלי לבדוק אותה תחילה ויש לבצע בדיקות יסודיות ולמצוא את האיזון הנכון בין צורכי שליחת הדוא”ל של העסק שלכם לבין צורכי האבטחה שלכם.

בואו נבין כל רשומה כזו לעומק.

SPF – Sender Policy Framework (מסגרת מדיניות השולח)

SPF מסייע במניעת שליחת דוא”ל בשמכם על ידי שולחים לא מורשים. הוא פועל בכך שהוא מציין אילו שרתי דואר מורשים לשלוח דוא”ל עבור הדומיין שלכם ומאפשר לשרת היעד לבדוק אם כתובת ה-IP של השרת השולח מופיעה ברשומת SPF שלכם. אם לא, ייתכן שהדוא”ל יידחה (בהתאם למדיניות DMARC שהגדרתם אך גם בהתאם למדיניות ה ESG (סנן הדואר) במידה וקיים.

הגדרות מרכזיות ברשומת  SPF

• all- (כשל חמור) – דחיית מלאה דוא”ל בלתי מורשה.
• all~ (כשל רך) – סימון דוא”ל בלתי מורשה (אך עדיין מתאפשרת המסירה).
• all+ (פתוח לגמרי) – מאפשר לכל אחד לשלוח דוא”ל מהדומיין שלכם (לא מומלץ!).

דוגמה לרשומת SPF

v=spf1 mx a ip4:X.X.X.X/32 ip4:X.X.X.X/28 a:ns1.example.com include:emailsender.com ~all

בואו נבין מה כל פרמטר אומר:

• “v=spf1” – מגדיר את גרסת SPF (גרסה 1)
• “mx” – מאפשר לשרתי הדואר (רשומות MX) של הדומיין לשלוח דוא”ל.
• “a” – מתיר לשלוח דוא”ל מכתובת ה-IP הרשומה תחת רשומת A של הדומיין.
• “ip4:X.X.X.X/32 ו-ip4:X.X.X.X/28” – מציין כתובות IP או תתי-רשתות מורשות.
• “a:ns1.example.com” – מאשר לשרת example.com לשלוח דוא”ל בשם הדומיין.
• “include:emailsender.com” – כולל את הגדרות SPF כלומר מ-com ניתן לשלוח בשם example.com.
• “all~” – מדיניות כשל רך, כלומר הודעות ממקורות לא מורשים יתקבלו אך יסומנו כחשודות.

DKIM – DomainKeys Identified Mail (חתימת דומיין דיגיטלית לדואר)

DKIM מוסיף חתימה דיגיטלית (קריפטוגרפית) להודעות הדוא”ל שלכם, כדי להוכיח שהן נשלחו על ידי שולח מורשה ולא שונו במהלך ההעברה ומאפשר לשרת היעד שמקבל את ההודעה לאמת את חתימת DKIM מול מפתח ציבורי השמור ברשומת ה DNS שלכם.

הגדרות מרכזיות ברשומת DKIM

• s= (בוחר) – מזהה את מפתח ה-DKIM.
• p= (מפתח ציבורי) – המפתח הקריפטוגרפי עצמו המשמש לאימות.
• h= (כותרות שנחתמו) – מציין אילו כותרות בהודעה נחתמו לאימות.

דוגמה לרשומת DKIM

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCGP5J7wJ7I0Ke9Zqyy1g+JaBXI1/sL8xmtdFxU…

• “v=DKIM1” – מגדיר את גרסת DKIM (גרסה 1).
• “k=rsa” – מציין את האלגוריתם הקריפטוגרפי (RSA).
• “p=” – מכיל את המפתח הקריפטוגרפי עצמו (MIGfMA0…).

DMARC – Domain-based Message Authentication, Reporting & Conformance (אימות מבוסס דומיין, דיווח והתאמה לדואר)

DMARC מבוסס על SPF ו DKIM ומאפשר לכם (כשולחים) להגדיר כיצד יש להתייחס לכישלונות אימות של ההודעות שלכם אך חשוב לציין כי מקבלי הדוא”ל יכולים לבחור להתעלם ממדיניות DMARC שלכם לאחר שהדוא”ל הגיע לשרת שלהם.

הרשומה בעיקר מתייחסת ל3 האפשרויות בהם השרת המקבל יכול לנקוט כגון דחייה מלאה, הסגר (quarantine), והתעלמות מלאה מכישלון האימות (והשארת ההחלטה בידי המקבל בלבד). הרשומה גם מציינת לאן ניתן לשלוח דיווח על הודעות שכשלו על מנת לאפשר לשולח לשפר וליעל את שליחת הדואר שלו.

הגדרות מרכזיות ברשומת DMARC

• p=X – מציין את הפעולה שיש לנקוט אם בדיקות SPF ו-DKIM נכשלות (אפשרויות: “none”, “quarantine”, “reject”).
• rua=[כתובת דוא”ל] – מציין לאן לשלוח דו”חות סיכום (aggregate reports).
• ruf=[כתובת דוא”ל] – מציין לאן לשלוח דו”חות כישלון (forensic failure reports).
• fo=X – הגדרת הפקת דו”חות כישלון: 0 – דוח רק אם גם SPF וגם DKIM נכשלו, 1 – דוח אם SPF או DKIM נכשלו, d – דוח אם DKIM נכשל (גם אם יש התאמה חלקית), s – דוח אם SPF נכשל (גם אם יש התאמה חלקית).

• adkim=X – קביעת מצב ההתאמה של DKIM (strict או relaxed).
• aspf=X – קביעת מצב ההתאמה של SPF (strict או relaxed).
• pct=X – אחוז ההודעות שיושפעו ממדיניות DMARC (בין 0 ל-100).
• sp=X – קביעת מדיניות עבור תת-דומיינים (none, quarantine, reject).

דוגמה לרשומת DMARC

v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=s; aspf=r; pct=100; sp=reject

• “v=DMARC1” – מגדיר את גרסת DMARC (גרסה 1).
• “p=quarantine” – מגדיר שמיילים שנכשלו בבדיקות SPF או DKIM יועברו להסגר.
• “rua=mailto:[email protected]” – כתובת למשלוח דוחות סיכום.
• “ruf=mailto:[email protected]” – כתובת למשלוח דוחות כישלון מפורטים.
• “fo=1” – מגדיר הפקת דוח במקרה של כישלון SPF או DKIM.
• “adkim=s” – התאמה מחמירה (strict) של DKIM.
• “aspf=r” – התאמה רופפת (relaxed) של SPF.
• “pct=100” אומר ש 100% מהודעות הדוא”ל יושפעו ממדיניות DMARC.
• “sp=reject” – קובע שמדיניות DMARC תוחל גם על תת-דומיינים ובמקרה הזה תדחה לחלוטין הודעות שנכשלות בבדיקות.

איך SPF, DKIM ו DMARC עובדים ביחד כדי להגן על דומיין הדואר מפני התחזות?

אף שיטת אימות דוא”ל אינה מספיקה לבדה. כדי לקבל הגנה מקיפה, יש להשתמש ב-SPF, DKIM ו-DMARC יחד.

ניתן לחשוב עליהם כשכבות הגנה שונות:

SPF – מבטיח שרק שרתי דואר מורשים יכולים לשלוח מיילים בשמכם. בלעדיו, כל אחד היה יכול לזייף את הדומיין שלכם ולשלוח מיילים מזויפים בשמכם.

DKIM – מאמת שהמייל לא שונה במהלך ההעברה. גם אם תוקף יירט את ההודעה וינסה לשנות אותה, חתימת ה-DKIM לא תתאים, ותוכלו לדעת שהמייל זויף.

DMARC – אוכף מדיניות על סמך תוצאות SPF ו-DKIM, מספק נראות לכשלים באימות, ומאפשר לכם לנטר את הפעילות ולמקבל להכניס להסגר או לדחות מיילים חשודים.

שימוש בשלוש הטכנולוגיות יחד מספק מסגרת אבטחה חזקה לדואר האלקטרוני שלכם.

הגנות מתקדמות על דומיין הדואר והדואר הנשלח

עד כאן דנו בעקרונות החשובים ביותר וההגדרות החשובות והבסיסיות ביותר שכל מנהל דומיין דואר צריך ליישם אך חשוב לציין שאיומים חדשים צצים כל הזמן ואיתם שיטות מתקדמות יותר של תוקפים לנצל חולשות בהגדרות הדואר ואף חולשות אנושיות של משתמשים תוך שימוש בהנדסה חברתית.

לכן, ישנן דרכים נוספות להגן הן על מוניטין הדומיין עצמו והן על הדואר הנשלח אשר מתבססות על טכנולוגיות קיימות אך מיישמות אותן באופן ייחודי לצורכי הגנת דואר.

כיום, מדובר בשיטות מתקדמות שדורשות מעט משאבים נוספים אך יותר ויותר ארגונים מיישמים אותן ויש סיבה להאמין שבעתיד יהפכו לסטנדרט.

בהמשך נצלול לשתיים מהן.

BIMI – Brand Indicators for Message Identification
(סימני מותג לזיהוי הודעות)

רשומת BIMI מסייעת למשתמשים לזהות בקלות מיילים אמינים על ידי הצגת הלוגו של המותג שלכם לצד הודעות מאומתות.

BIMI עובד יחד עם DMARC ורק אם המייל שלכם עובר אימות DMARC ולעיתים גם בדיקת VMC (תלוי במקבל הדואר) הלוגו שלכם יוצג בתיבות דואר (נתמכות) ובכך יחזק את אמון המשתמשים, יסייע בזיהוי מותג, ומקל עליהם להבחין בין מיילים לגיטימיים לבין ניסיונות פישינג בקלות ובלי להיכנס לפרטים טכניים.

הגדרות מרכזיות ברשומת BIMI

• _bimi.[yourdomain] – שם רשומת ה-DNS של BIMI.
• l=https://[yourdomain]/[yourlogo].svg –כתובת הלוגו שלכם (חייב שיהיה ב SVG).
• a=https://[yourdomain]/[yourvmc].pem – כתובת תעודת VMC המאשרת את הלוגו שלכם.

דוגמה לרשומת BIMI

default._bimi.example.com “v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/vmc.pem;” 

• _bimi.example.com – שם הדומיין (בדוגמה: example.com).
• v=BIMI1 – מציין את גרסת BIMI (גרסה 1).
• l=https://example.com/logo.svg – מיקום הלוגו באתר com.
• a=https://example.com/vmc.pem – מיקום תעודת ה-VMC המאשרת את הלוגו.

STARTTLS – (in transit) הצפנת דוא"ל בזמן שליחה

STARTTLS משדרג תקשורת דוא”ל רגילה שאינה מוצפנת לרוב לתקשורת מוצפנת ובכך מונע מתוקפים ליירט מידע רגיש במהלך המעבר (in transit).
כאשר נשלח מייל STARTTLS יוצר חיבור TLS  מאובטח בין שרתי דואר. אם שני השרתים תומכים בכך, המייל נשאר מוצפן בזמן השידור (כמו כל תעבורה מוצפנת בTLS  עליה לא נרחיב כאן).

מתקפות מבוססות מוניטין דומיין דואר וכיצד ניתן להגן מפניהן

ישנם איומים רבים המבוססים על דוא”ל ורבים מהם ניתן למנוע באמצעות יישום ההמלצות במדריך זה. להלן כמה מהאיומים המרכזיים:

Spoofing – התחזות וזיוף דומיין לשליחת מיילים מזויפים

במתקפות Spoofing, תוקפים מתחזים לדומיין שלכם ושולחים מיילים מזויפים בשם הארגון שלכם. לרוב, מיילים אלו כוללים קישורי פישינג שמנסים להוציא מידע ממשתמשים או קבצים זדוניים כחלק ממתקפה גדולה יותר.

למרות שלא תוכלו למנוע התקפה על הארגון שלכם אלא באמצעות ESG כן תוכלו לוודא שדומיין שלכם לא ישמש למתקפה נגד ארגונים איתם אתם עובדים או לקוחות של הארגון שלכם ע”י הטמעת SPF, DKIM, ו-DMARC עם מדיניות p=reject, מעקב אחר דוחות DMARC לזיהוי ניסיונות זיוף והפעלת BIMI כדי לאפשר לנמענים לאמת חזותית את מקוריות המיילים.

Backscattering – הצפה בדוחות אי-מסירה עקב זיוף הדומיין שלכם

Backscatter מתרחש כאשר דומיין הארגון מזויף במסעות פרסום של ספאם, מה שגורם להצפה של הודעות חזרה (bounce messages) על מיילים שמעולם לא שלחתם.

פתרון אפשרי הוא שימוש במדיניות DMARC מחמירה, הגדרת שרת הדואר לדחות מיילים משולחים בלתי מורשים וקביעת מדיניות לטיפול בהודעות החזרה כדי למנוע תגובות מיותרות.

Impersonation Attacks – תקיפות התחזות למנהלים, ספקים או עובדים

במתקפות התחזות תוקפים משתמשים בהנדסה חברתית כדי להפעיל לחץ על משתמשים ולגרום להם להעביר כספים או לחשוף מידע רגיש.

פתרון אפשרי הוא הגדרת מדיניות SPF, DKIM, ו-DMARC מחמירה והפעלת BIMI כדי לאפשר זיהוי חזותי של אימות המיילים.

סיכום

מוניטין הדוא”ל שלכם אינו רק עניין של הימנעות מהספאם – הוא עוסק באבטחה, אמון והגנה על המותג, הלקוחות והשותפים שלכם.

• התחלו עם SPF, DKIM ו-DMARC כדי להגן על מוניטין דומיין הדוא”ל שלכם.
• השתמשו ב-STARTTLS להצפנת מיילים בזמן שליחה.
• יישמו VMC ו BIMI לשיפור נראות המותג שלכם.
• הכי חשוב – המשיכו לנטר את המוניטין שלכם באמצעות כלים כמו Google Postmaster Tools, MX Toolbox, Cloudflare ועוד.

חשוב לציין שמדובר בקווים כללים בלבד ויש צורך להתאים את התוכנית לכל ארגון באופן ייחודי.