Važne promjene kod Gmaila – novi standardi provjere autentičnosti

Mnogi kibernetički napadi (kao što je phishing) izvode se putem emaila. Kako bi se zaštitili, pružatelji email usluga poduzimaju određene mjere. Primjer za to je Google, koji je od 1. veljače odlučio učvrstiti sigurnosna pravila za masovnu poštu unutar Gmaila.

Ovaj članak je napisan s ciljem:

> Osobama koje šalju emailove na Gmail adrese ili koriste Gmail email sandučiće
> Entitetima koji upravljaju email infrastrukturom, a žele biti informirani o najnovijim standardima autentifikacije emaila
> Osobama i tvrtkama kojima je stalo do zaštite reputacije svoje tvrtke i izbjegavanja problema povezanih s neautentičnim email porukama koje mogu smanjiti povjerenje klijenata

Što Google planira?

Od veljače 2024., Google (vlasnik Gmaila) će zahtijevati od svih pružatelja email usluga snažnu autentifikaciju poruka kroz sljedeće sigurnosne mehanizme: SPF, DKIM i DMARC[1]. Ako tvrtka koja održava vaš email ne pruži ove standarde, postoji stvarna opasnost da vaša poruka neće stići do primatelja s adresom @gmail.com. Ove promjene utječu na osobe koje šalju masovne pošiljke (više od 5000 poruka dnevno).

Slučajno je baš Gmail najpopularniji email servis na svijetu; samo u Hrvatskoj ga koristi gotovo 3 milijuna korisnika. Ta ogromna popularnost može izazvati znatnu zbunjenost ako se svi pružatelji internetskih usluga ne prilagode na vrijeme uvjetima koje postavlja Google. Zašto globalni div poduzima ove korake? Glavni argument je borba protiv neželjene pošte, phishinga i zaštita korisnika.

Od veljače 2024., svaki email poslan s neautentificiranog izvora prema Gmailu ili Yahoou vjerojatno će završiti u mapi SPAM ili će biti odbačen.

Novi Googleovi zahtjevi – ukratko

1. Svi pružatelji hostinga usluga su dužni osigurati autentifikacijske parametre za poruke poslane s njihovih servera (automatski dodajući SPF ili DKIM zapise za podržane domene).
   
2. Pružatelji usluga moraju osigurati da domene ili IP adrese pošiljatelja sadrže reverse DNS zapise, također poznate kao PTR zapisi.
   
3. Svi pružatelji usluga moraju koristiti TLS veze za slanje e-mailova.
   
4. Indeks neželjene pošte prijavljen u alatima Postmaster mora biti niži od 0,10%. Preporučuje se izbjegavanje dostizanja indeksa neželjene pošte jednakog ili većeg od 0,30%. Ako se emailovi šalju verificiranim primateljima (oni koji su dali svoj pristanak), ne bi trebalo biti problema s ispunjavanjem ovog zahtjeva. Međutim, ako se emailovi šalju velikoj grupi primatelja, uključujući one koji nisu dali pristanak, postoji mogućnost da budu označeni kao spam, stoga postoji mogućnost da se ovaj uvjet neće ispuniti.
   
5. Nove poruke moraju biti oblikovane sukladno standardu Internet Message Format. Svi programi za slanje pošte ispravno stvaraju emailove. Ovo uvjet može biti ključan za korisnike koji samostalno oblikuju svoje emailove, primjerice putem internetskih aplikacija koje ne koriste uobičajene knjižnice.
   
6. Zabrana slanja poruka s pošiljateljskom adresom u domeni gmail.com izvan infrastrukture Gmaila. (Google zahtijeva da poruke poslane s Gmaila dolaze samo s njihovih poslužitelja).

SPF, DKIM, DMARC: što je to?

U suštini, mogli biste ih nazvati ‘čuvarima’ vaših mailova. Zašto? Zato što im je zadatak osigurati da vaši emailovi sigurno stignu do vašeg odabranog primatelja. Potpuno isto kao što biste povjerili kuriru ili poštanskom radniku sigurnu pošiljku koja mora stići od točke A do točke B. Ne smije biti otvorena od strane neželjenih osoba niti oštećena. Trebala bi stići točno na mjesto koje ste odredili (u slučaju elektroničke pošte, ne smije završiti u spamu).

Dodatno, primjena SPF-a, DKIM-a i DMARC-a sprječava krivotvorenje podataka domene, istovremeno štiteći njihovu vjerodostojnost. Zato i na serverima tvrtke Cyber_Folks koristimo ove parametre. SPF zapisi povezani s domenama automatski se stvaraju tijekom prvog konfiguriranja hosting računa ili kada se domene dodaju na server. Kroz cPanel sučelje, automatski se generira i DKIM zapis. Međutim, klijenti čije su domene održavane na vanjskim DNS serverima (koji nisu u vlasništvu tvrtke Cyber_Folks) moraju sami dodati odgovarajuće zapise. To proizlazi isključivo iz činjenice da nemamo mogućnost mijenjanja tih DNS-ova.

• SPF ima ulogu u određivanju koji su poslužitelji ovlašteni slati e-mail u ime domene. To je oblik autentikacije koji sprečava krivotvorenje identiteta pouzdanog pošiljatelja. Vrijednost TXT zapisa za SPF izgleda ovako:

v=spf1 includes:_spf.cyberfolks.hr~all

• DKIM ima ulogu osiguravanja autentičnosti i integriteta poruke putem digitalnog potpisa njezinog sadržaja. Bilo kakve promjene u temi ili sadržaju rezultirat će DKIM verifikacijskom pogreškom, te poruka neće biti isporučena. Javni ključ povezan s privatnim ključem potpisivanja objavljen je u DNS zapisima domene. Primjer javnog ključa DKIM je:

k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrLHiExVd55zd/IQ/J/mRwSRM
AocV/hMB3jXwaHH36d9NaVynQFYV8NaWi69c1veUtRzGt7yAioXqLj7Z4TeEUoOLgrKsn8
YnckGs9i3B3tVFB+Ch/4mPhXWiNfNdynHWB cPcbJ8kjEQ2U8y78dHZj1YeRXXVvWob2OaKynO8/lQIDAQAB

Ova podešavanja doprinose sigurnosti i potvrđivanju autentičnosti e-mail poruka, osiguravajući da se šalju samo iz ovlaštenih izvora, a njihov sadržaj nije mijenjan tijekom prijenosa.

Kako izgleda proces slanja svake e-mail poruke?

1. Korisnik šalje e-mail putem e-mail klijenta (npr. Outlook, Thunderbird) ili webmail klijenta (npr. cyberfolks.hr/webmail-prijava).
2. E-mail se obrađuje putem programa za slanje pošte koji dodaje dodatne informacije u zaglavlje poruke. To uključuje: e-mail adresu pošiljatelja, e-mail adresu primatelja, te DKIM autentikacijski parametar (ako je ispravno konfiguriran).
3. E-mail se šalje na odredišni server.
4. Odredišni server obrađuje e-mail i ovisno o parametrima autentikacije, dodjeljuje mu ocjenu pouzdanosti na temelju koje ga dodaje ili ne dodaje u email sandučić primatelja. Ako je ocjena niska, može ga smatrati nedovoljno pouzdanom porukom (SPAM). Valja imati na umu da u situaciji kada vlasnik domene u DMARC postavi politiku na “reject”, poruka može biti odbijena već na početku procesa dostave i nikada neće završiti u mapi Spam.

cyber_Folks i zahtjevi Googlea

Želite provjeriti da li je vaš email spreman za promjene? To možete učiniti online koristeći besplatne alate poput mxtoolbox.com ili vamsoft.com.

MXtoolbox je online alat koji pruža različite funkcije vezane uz analizu i praćenje poštanskog sandučića. Jedna od njegovih mogućnosti je ocjena konfiguracije SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) i DMARC (Domain-based Message Authentication, Reporting, and Conformance) mehanizama za domenu, što pomaže u zaštiti od phishinga i spoofinga.

Planirane promjene koje su najavili Google i Yahoo imaju za cilj podizanje standarda sigurnosti e-maila. Ovo nije samo borba protiv SPAM-a, već prije svega korak prema naprednijoj zaštiti korisnika od različitih kibernetičkih prijetnji. Novi zahtjevi za snažnom autentikacijom, poput SPF-a, DKIM-a i DMARC-a, potvrđuju identitet servera, povećavajući sigurnost korisnika i štiteći od prijetnji krivotvorenja povjerenog servera.

Izvor:
[1] google.com