Как улучшить доставляемость с помощью email-аутентификации

Чтобы добраться до входящих своих клиентов с помощью email-маркетинговых кампаний, ваш домен должен быть доверенным ресурсом. В противном случае сообщения попадут в папку со спамом и останутся незамеченными. Email-аутентификация помогает избежать этого.

Что же такое аутентификация домена электронной почты, почему она важна и какие существуют протоколы email-аутентификации? Давайте разберемся.

Что такое email-аутентификация?

Email-аутентификация — это процедура, которая подразумевает проверку адреса электронной почты отправителя для подтверждения того, что он уполномочен рассылать письма с определенного домена. Она также помогает подтвердить, что домен принадлежит конкретному агенту пересылки почты (Mail Transfer Agent, MTA), уполномоченному передавать письма.

(Источник: Selzy)

Проще говоря, email-аутентификация помогает подтвердить, что отправитель является тем, за кого себя выдает. Такая проверка позволяет выявить спамеров и лишить их возможности рассылать письма.

Почему это важно?

Разобравшись с тем, что такое email-аутентификация, давайте выясним, почему она важна. Email-аутентификация повышает безопасность вашего домена, подтверждая серверам, что ваши письма приходят из достоверного источника. Это, в свою очередь, защищает ваш бренд от мошенничества и выдавания себя за другого.

Благодаря тому, что аутентификация предотвращает вредоносную деятельность с вашего домена, он приобретает надежную репутацию среди интернет-провайдеров. Это показывает, что вы являетесь надежным и заслуживающим доверия отправителем, и, что самое главное, поддерживает доставляемость ваших писем на хорошем уровне.

В долгосрочной перспективе безопасность домена и высокий уровень доставляемости писем способствуют повышению доверия к вашему бренду и формированию его положительного имиджа.

Протоколы email-аутентификации

Понять, что такое аутентификация почтового отправителя, недостаточно — суть процесса заключается в методах или протоколах email-аутентификации. Они отличаются от почтовых протоколов, тех, которые используются для SMTP или IMAP серверов. Итак, давайте рассмотрим протоколы SPF, DKIM, DMARC и выясним, что это такое и чем они отличаются.

(Источник: ZetaGlobal)

SPF-запись 

SPF расшифровывается как Sender Policy Framework и представляет собой список IP-адресов в домене. Эти адреса авторизованы и, следовательно, им разрешено отправлять письма. Запись SPF содержится в файле .txt и присутствует в системе доменных имен (Domain Name System, DNS) отправителя. SPF является широко распространенным протоколом для email-аутентификации.

(Источник: ZetaGlobal)

Поэтому, когда вы отправляете письмо и оно достигает сервера адресата для входящих писем, SPF email-аутентификация выполняет проверку. Это DNS-поиск, который проходит через все записи SPF. Если ваш email-адрес найден в ходе поиска, то письмо попадает в почтовый ящик получателя. В противном случае оно будет отклонено и не будет отправлено дальше.

Лучшие практики для SPF

SPF имеет различные классификаторы — они сообщают серверу о том, что делать с конкретным IP-адресом. К классификаторам относятся:

• + — Pass, что означает, что IP-адрес прошел проверку и письмо может быть принято;
• - — Hard Fail, означающий, что IP не прошел тест и письмо должно быть отклонено;
• ~ — Soft Fail, сигнализирующий о неудачной проверке; письмо принимается, но помечается как неудачное;
• ? — Neutral test result (не провал, не пропуск), и, скорее всего, письмо будет принято, хотя оно может быть и отклонено.

Хотя эти значения вполне однозначны, классификаторы — это просто рекомендации о том, что сервер должен сделать с письмом, чтобы его можно было проигнорировать. Например, письмо с оценкой Pass может быть отправлено в спам, а с оценкой Hard Fail может быть принято.

Обычно для большинства почтовых отправителей подходит классификатор Soft Fail. Это гарантирует, что все ваши письма будут отправлены, но в случае неудачи они будут помечены как "SPF failed". Neutral policy — еще один распространенный вариант.

Поскольку Soft Fail принимает все ваши сообщения, вы сохраните коэффициент доставляемости писем при использовании SPF. В то же время, вам не придется рисковать безопасностью, поскольку все подозрительные письма будут помечены как таковые.

Запись DMARC

DMARC расшифровывается как Domain-based Message Authentication Reporting and Conformance. Этот протокол email-аутентификации дает владельцам доменов широкие полномочия в отношении того, как их неудачные сообщения будут обработаны на входящем сервере получателя.

DMARC обеспечивает дополнительный уровень безопасности, надстроенный над другими протоколами, что называется выравниванием домена. Это делает запись чрезвычайно эффективной для предотвращения спуфинга, выдачи себя за другого человека и другого вредоносного поведения.

DMARC также комбинируется с другими протоколами, обеспечивая максимальную безопасность. Использование одного протокола недостаточно для того, чтобы гарантировать, что все ваши письма дойдут до получателей, а DMARC помогает справиться с письмами, которые не прошли проверку политики SPF или DKIM.

(Источник: Agari)

Помимо перечисленных возможностей, DMARC также позволяет получать отчеты от серверов о производительности и доставляемости ваших писем. Это дает возможность выяснить причины, по которым ваши письма не доходят, и вовремя решить проблемы. В конце концов, DMARC помогает поддерживать стабильную доставляемость писем и укрепляет доверие к вашему бренду.

Лучшие практики для DMARC 

Как уже упоминалось, DMARC позволяет указывать серверу, что делать с неудачными письмами. В частности, есть три политики, которые вы можете выбрать, чтобы решить, как обращаться с неудачными письмами:

• reject — отклонять письма;
• quarantine — разрешать письма, но доставлять их в папку спама;
• none — не делать ничего.

Последняя политика подразумевает, что неудачные письма рассматриваются так, как если бы не был настроен DMARC. Поэтому на основании других критериев письмо может быть принято, отправлено в спам или отклонено.

Хотя политика "None" может показаться полезной, она помогает в мониторинге кампаний и анализе отчетов, не оказывая негативного влияния на авторизованные рассылки и общую доставляемость писем. Эту политику также рекомендуется выбирать, если вы начинаете использовать DMARC, чтобы понять, как она работает.

Кроме того, вы можете выбрать процент неудачных писем, к которым будет применяться политика, используя тег "pct", который установит для остальных сообщений значение "None".

Говоря о выравнивании домена, можно установить значение "Strict" или "Relaxed". "Relaxed" лучше всего подходит для отправки писем через внешние службы (почтовых провайдеров). Поскольку "Strict" выравнивание домена подразумевает, что адреса отправки и возврата одинаковы, DMARC не сработает, если вы отправите свои письма с адреса, на который нет ответа.

Запись DKIM

DKIM расшифровывается как DomainKeys Identified Mail и является еще одним стандартным протоколом для email-аутентификации, также эффективным для предотвращения фишинга.

Запись DKIM содержит ключ шифрования и криптографическую подпись, которые используются для проверки email-адреса с помощью открытого ключа на стороне получателя. Как и SPF, запись хранится в виде файла .txt в DNS отправителя.

(Источник: Australian Cyber Security Centre)

Протокол DKIM шифрует ключ домена для email-аутентификации в 3 этапа:

1. Отправитель создает подпись DKIM, определяя, какие поля (например, адрес электронной почты, текст сообщения и т. д.) следует включить. 
2. Почтовая система создает хэш-строку из выбранных текстовых полей. 
3. Хеш-строка шифруется с помощью закрытого ключа, доступ к которому имеет только отправитель.

Для идентификации email-адреса сервер ищет соответствие между закрытым и открытым ключами в DMS. Если таковое имеется, подпись DKIM может быть расшифрована до хэш-строки, и письмо будет доставлено. Если же совпадения нет, проверка DKIM не проходит, и письмо, скорее всего, будет отклонено.

Лучшие практики для DKIM

Помимо отсутствия соответствия между закрытым и открытым ключами, проверка DKIM может не пройти по другим причинам. Чтобы избежать сбоев DKIM, не допускайте следующих случаев:

• поля в хэш-строке изменяются во время прохождения письма;
• длина закрытого ключа меньше 1024 или 2048 бит; любые другие длины больше не поддерживаются;
• DNS-зона домена отправителя недоступна для поиска, что является частой проблемой у некачественных хостинг-провайдеров.

Чтобы запись DKIM была безопасной и эффективной, необходимо регулярно обновлять закрытые и открытые ключи. Обновляя ключи один или два раза в год, вы предотвращаете любые риски рассылки спама с вашего домена.

При смене ключей убедитесь в наличии двух подписей — некоторые письма могут все еще находиться в пути, и смена обоих ключей с одной подписью приведет к сбою проверки DKIM. Но если у вас есть несколько подписей, одна из них пройдет, даже если другая не пройдет.

Запись DKIM также является наиболее подходящей для автопереадресации писем. Когда вы используете ESP, DKIM не считает ошибкой то, что адреса отправителя и обратного адреса отличаются (как SPF). Это происходит потому, что подпись присваивается тексту письма, который остается неизменным при автопересылке.

Следует ли использовать все протоколы email-аутентификации?

Узнав, что такое email-аутентификация, вы, скорее всего, теперь понимаете важность сочетания различных почтовых протоколов. DMARC, DKIM и SPF обрабатывают аутентификацию домена совершенно разными способами, что означает, что использование только одного протокола не сможет обеспечить все ваши потребности в аутентификации.

Так как каждый протокол проводит проверку по-разному, использование нескольких или всех трех методов дает наивысший уровень безопасности домена и доставляемости писем.

Как протестировать email-аутентификацию?

Существует множество способов проверки email-аутентификации, как вручную, так и автоматически. Чтобы выполнить ручную проверку, отправьте тестовое письмо пользователю Gmail, нажмите «Еще» на полученном письме и выберите «Показать оригинал». Вы увидите новое окно с результатами проверки SPF, DKIM и DMARC. Если они "PASS", то ваш домен аутентифицирован.

(Источник: Mailtrap)

Вы также можете найти множество инструментов для автоматической email-аутентификации, например DMARC Analyzer, который проверяет все три протокола, DNS Checker, DKIM Wizard и другие инструменты для проверки одного протокола.

С помощью Postmaster Tools от Gmail можно проверять эффективность работы электронной почты, выявлять ошибки доставки и анализировать подробные отчеты о спаме. Для отслеживания данных и просмотра разнообразных информационных дашбордов необходимо иметь аккаунт Google.

Еще один инструмент, автоматизирующий email-аутентификацию и выполняющий регулярные проверки за вас, — Mailtrap Email API. Он проверяет ваш домен по всем трем протоколам и автоматически обновляет ключи DKIM каждые четыре месяца. С этим инструментом вы всегда можете быть уверены, что ваш домен аутентифицирован.

В завершение

Email-аутентификация — это проверка домена, которая подтверждает его надежность и безопасность и помогает поддерживать высокую доставляемость писем. Аутентификация осуществляется с помощью трех типов протоколов: SPF, DMARC и DKIM. Хотя каждый протокол может подтвердить подлинность вашего домена, лучше всего использовать три записи вместе, чтобы гарантировать, что ваш email-адрес всегда будет аутентифицирован.