Как проверить правильность настройки аутентификации по электронной почте (DKIM, DMARC, SPF)

DKIM Валидатор DMARC SPF

Если вы отправляете электронную почту в любом объеме, это отрасль, в которой вы считаетесь виновным и должны доказывать свою невиновность. Мы работаем со многими компаниями, помогая им с миграцией электронной почты, подогревом IP-адресов и проблемами доставки. Большинство компаний даже не осознают, что у них есть проблема.

Невидимые проблемы доставляемости

Есть три невидимые проблемы с доставляемостью электронной почты, о которых компании не подозревают:

  1. Разрешение – Поставщики услуг электронной почты (ESP) управлять разрешениями на выбор… но интернет-провайдер (Интернет-провайдер) управляет шлюзом для целевого адреса электронной почты. Это действительно ужасная система. Вы можете делать все правильно, как бизнес, чтобы получить разрешение и адреса электронной почты, а интернет-провайдер понятия не имеет и может заблокировать вас в любом случае.
  2. Размещение в папке "Входящие" – ESP способствуют высокому возможность доставки ставки, которые в основном ерунда. Электронная почта, которая направляется непосредственно в папку нежелательной почты и никогда не просматривается вашим подписчиком электронной почты, технически доставляется. Чтобы по-настоящему следить за своим размещение в почтовом ящике, вы должны использовать исходный список и просмотреть каждого интернет-провайдера. Есть сервисы, которые этим занимаются.
  3. репутации - Интернет-провайдеры и сторонние службы также поддерживают оценку репутации IP-адреса, отправляющего вашу электронную почту. Существуют черные списки, которые интернет-провайдеры могут использовать, чтобы полностью заблокировать всю вашу электронную почту, или у вас может быть плохая репутация, из-за которой вы будете перенаправлены в папку нежелательной почты. Существует ряд сервисов, которые вы можете использовать для мониторинга репутации вашего IP… но я был бы немного пессимистичен, поскольку многие на самом деле не имеют представления об алгоритмах каждого интернет-провайдера.

Аутентификация по электронной почте

Передовой опыт для устранения любых проблем с размещением в папке «Входящие» заключается в том, чтобы убедиться, что вы настроили ряд записей DNS, которые интернет-провайдеры могут использовать для поиска, и убедиться, что отправляемые вами электронные письма действительно отправлены вами, а не кем-то, выдающим себя за вашу компанию. . Это делается с помощью ряда стандартов:

  • Основы политики отправителя (SPF) — самый старый стандарт, здесь вы регистрируете запись TXT при регистрации домена (DNS), в котором указано, с каких доменов или IP-адресов вы отправляете электронную почту для своей компании. Например, я отправляю письмо для Martech Zone из Рабочая область Google и от ЦиркуПресс (мой собственный ESP в настоящее время находится в стадии бета-тестирования). У меня есть плагин SMTP на моем веб-сайте, чтобы также отправлять через Google, иначе я бы также включил в него IP-адрес.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • ДоменАутентификация сообщений на основе, отчетность и соответствие (DMARC) — в этом более новом стандарте есть зашифрованный ключ, который может проверить как мой домен, так и отправителя. Каждый ключ создается моим отправителем, что гарантирует, что электронные письма, отправленные спамером, не могут быть подделаны. Если вы используете Google Workspace, вот как настроить DMARC.
  • Идентифицированная почта DomainKeys (DKIM) — Работая вместе с записью DMARC, эта запись информирует интернет-провайдеров о том, как обрабатывать мои правила DMARC и SPF, а также о том, куда отправлять любые отчеты о доставке. Я хочу, чтобы интернет-провайдеры отклоняли любые сообщения, которые не проходят DKIM или SPF, и я хочу, чтобы они отправляли отчеты на этот адрес электронной почты.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • Индикаторы бренда для идентификации сообщений (Бий) — новейшее дополнение, BIMI предоставляет средства для интернет-провайдеров и их почтовых приложений для отображения логотипа бренда в почтовом клиенте. Существует как открытый стандарт, так и зашифрованный стандарт для Gmail где вам также нужен зашифрованный сертификат. Сертификаты довольно дорогие, поэтому я пока этого не делаю.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

ПРИМЕЧАНИЕ. Если вам нужна помощь в настройке аутентификации по электронной почте, не стесняйтесь обращаться в мою фирму. Highbridge. У нас есть команда эксперты по почтовому маркетингу и доставляемости что может помочь.

Как проверить подлинность вашей электронной почты

Вся исходная информация, информация о ретрансляции и информация о проверке, связанная с каждым электронным письмом, находится в заголовках сообщений. Если вы эксперт по доставляемости, интерпретировать их довольно легко… но если вы новичок, это невероятно сложно. Вот как выглядит заголовок сообщения для нашего информационного бюллетеня, я выделил серым цветом некоторые электронные письма автоответчика и информацию о кампании:

Заголовок сообщения — DKIM и SPF

Если вы прочтете, то увидите, каковы мои правила DKIM, проходит ли DMARC (не проходит) и проходит ли SPF… но это большая работа. Однако есть гораздо лучший обходной путь, и его можно использовать DKIMValidator. DKIMValidator предоставляет вам адрес электронной почты, который вы можете добавить в свой список рассылки новостей или отправить по электронной почте вашего офиса… и они преобразуют информацию заголовка в хороший отчет:

Во-первых, он проверяет мое шифрование DMARC и подпись DKIM, чтобы увидеть, проходит ли оно (не проходит).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Затем он просматривает мою запись SPF, чтобы убедиться, что она проходит (так и происходит):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

И, наконец, он дает мне представление о самом сообщении и о том, может ли содержимое помечать некоторые инструменты обнаружения спама, проверяет, не нахожусь ли я в черных списках, и сообщает мне, рекомендуется ли отправлять его в папку нежелательной почты:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Обязательно протестируйте каждый ESP или стороннюю службу обмена сообщениями, с которой ваша компания отправляет электронную почту, чтобы убедиться, что ваша аутентификация по электронной почте настроена правильно!

Проверьте свою электронную почту с помощью DKIM Validator

Раскрытие информации: я использую свою партнерскую ссылку для Рабочая область Google в этой статье.