Regelverket för vilka mail som ska undgå att fastna i mottagarens skräppost har skärpts. Till skillnad från en skräppostare som inte vill bli spårad så behöver avsändare av legitima meddelanden kunna bli spårad av mottagaren för att garantera att mail kommer fram och att relationen till mottagaren upprätthålls.
Avsändare kan styrka sin legitimitet genom ett använda ett antal olika tekniker. Ofta används ordet ”autentisera” vilket betyder att kontrollera identitet vid kommunikation mellan två system. Den spårning som per automatik kan kontrolleras av mottagarens mailserver är uppgifter som finns angivna i avsändarens domän och DNS.
Utöver den viktiga och nödvändiga spårningen av avsändare finns även teknik för kryptering av utskick och bevakning/statistik för utskick.
Verifierad avsändare
Det finns ett antal avsändare angivna i ett e-postmeddelande och det måste gå att verifiera den avsändare som du använder i dina utskick. Det används till exempel en avsändaradress i själva kommunikationen mellan mailservrar (Message Transfer Agent, MTA) och man kan jämföra det med avsändaradressen på fysiska kuvert. Denna går oftast att se i meddelandet om man tar fram egenskaperna för det men visas normalt inte i e-postklienten direkt.
Sedan finns det en adress i själva meddelandet, det är denna du ser i ditt e-postprogram. Jämför med den adress som står i det fysiska brevet som låg i kuvertet. Utöver detta finns även en ”svara till” adress. Den används om avsändaren vill att svaret på brevet ska gå till en annan adress än den som brevet skickades ifrån. Detta är vanligt när brev skickas från obevakade brevlådor, tex fakturautskick mm.
Krypterade mailutskick
Utöver att det är viktigt att kunna spåra avsändaren är det också vettigt att komplettera med kryptering av mailutskick så att innehåll i e-mail såsom t.ex. kunddata ej kan fångas upp av obehörig. Det ger trygghet för mottagaren och ger ett seriöst intryck av avsändare. De flesta mailklienter indikerar med ett stängt hänglås för de mail som skickats med kryptering och ett öppet hänglås för de mail som skickats okrypterat. Dvs samma typ av symboler som för säkra webbplatser i webbläsare (https. Secure Socket Layer, SSL).
Bevakning och statistik
Med statistik och bevakning av utskick går det även att få uppföljning på hur många utskick som gjorts inom respektive kategori samt detaljerad information om varje enskilt mail när mailet skickades, när det mottogs av mottagarens mailserver, när kunden öppnar mailet (om de väljer att ladda bilder) och eventuella mail som nekas av mottagare (kanske fel skriven e-postadress).
Utskick från Avabrava och ShopSetup
Avabrava skickar ut stora mängder mail från kunders e-handelslösningar och webblösningar med deras respektive domäner. Mailutskicken görs från Avabrava och ShopSetup mailservertjänster och domäner men där avsändaren är våra kunder och deras respektive unika domän. Denna struktur måste säkras upp med teknik för säkra mailutskick.
Exempel på mail som skickas ut från e-handelslösningar och webblösningar är välkomstmail/bekräftelse vid registrering, beställningsbekräftelse, sparad varukorg, glömt lösenord och kontakta oss.
För avsändaren av legitima meddelanden är det alltså viktigt att kunna bli spårad av mottagaren. Annars blir det svårt att hålla uppe relationen med mottagaren eftersom man annars kan bli likställd med en skräppostare. Man kan styrka sig som avsändare genom ett använda ett antal olika tekniker enligt nedan.
SPF
SPF eller Sender Policy Framework används för att styrka att den server som skickar e-post för en viss domän har rätt att göra det. Genom att placera speciella så kallade poster i DNS servrarna som hanterar din domän kan mottagaren kontrollera att e-posten kommer från rätt servrar. Premissen här är att det bara är ägaren som har kontrollen över DNS informationen och därmed är den också pålitlig. Kontrollen görs mot e-postadressen som används i kommunikationen mellan e-postservrarna, men det börjar bli vanligt att man även kontrollerar mot avsändaradressen som står i meddelandet.
Läs mer Openspf.org
DKIM
En annan teknik för att säkerställa att avsändaren är rätt kallas DKIM, eller Domain Keys Identified Mail. Det går ut på att man kryptografiskt signerar sina meddelande på ett sätt så att mottagande e-postservrar kan verifiera att meddelandet skickats från rätt organisation. Den information som behövs för att identifiera den avsändande organisationen publiceras i DNS på samma sätt som SPF.
Läs mer DKIM.org
DMARC
Ett tredje sätt att styrka sin identitet är att använda DMARC, Domain-based Message Authentication, Reporting & Conformance. DMARC baseras på både SPF och DKIM och principen går ut på att avsändaren berättar vilka av skyddsmekanismerna som används och hur mottagaren skall agera ifall det kommer e-post som inte matchar dem. Syftet är att täcka upp för de fall där e-post skickas som av någon anledning inte matchar SPF eller använder DKIM. Se det som en policy som beskriver för mottagaren hur din organisation verifierar att e-posten kommer från just er.
Metoden ger även möjlighet för avsändaren att ta emot rapporter från mottagarna om meddelande som matchar och inte matchar policyn. Avsändaren får då en kontinuerlig uppföljning av att alla som skickar e-post för domänen följer regelverket och kan fånga upp de fall när policyn inte efterlevs.
Läs mer: DMARC.org
Glöm inte kontroll av innehållet.
Ovan har vi bara beskrivit de åtgärder du behöver göra på teknisk nivå men det tar dig bara igenom första nivån av kontroller i spamfiltret. Det utförs även en mängd kontroller på innehållet i själva meddelandet.
Kontakta gärna Avabrava om ni har några frågor om säkra mailutskick.
Vill du veta mer? Kontakta mig!
- Tobbe Ekberg
- Creative director ecommerce & web
- 070 771 54 50
- tobbe@avabrava.se
