Autentizace odchozí pošty: SPF, DKIM a DMARC
Aktuální statistiky hovoří o tom, že přibližně 20 % odchozích e-mailů nikdy nedorazí ke svému příjemci. Důvodů může být více, ale pokud pomineme překlepy v adrese příjemce (dalších zhruba 10 %), je na vině obvykle opatření e-mailových poskytovatelů (Seznam.cz, Gmail, apod.) proti SPAMu nebo phishingu.
Snaha o filtraci spamu a podvržených mailů má své důvody. Tím hlavním je ochrana uživatelů – málokdo má zájem dostávat nevyžádané e-maily. Podvržené e-maily a phishing jsou navíc potenciální hrozbou a jejich množství včetně SPAMu poměrně výrazně převyšuje množství skutečně vyžádané pošty.
Zajímá Vás aktuální stav Vašeho (Vašich) e-mailů? Zkuste si je zdarma otestovat pomocí služby Mail Tester.
Jak se tedy bránit tomu, aby naše e-maily nebyly servery příjemců zahazovány? Vliv na tuto skutečnost má více faktorů, zejména následující:
- samotný obsah a formát e-mailu
- vyhodnocení softwarem SpamAssasin
- autentizace e-mailu
- existence odchozího serveru na některém z blacklistů
Co můžeme přímo ovlivnit je právě autentizace odchozích e-mailů. Tu je možné realizovat několika způsoby, které si zde vysvětlíme, a přiložíme návod na jejich konfiguraci přímo ve Vaší administraci u nás na hostingu.
Sender Policy Framework (SPF)
SPF je mechanismus, pomocí kterého řekneme serveru příjemce, který mailserver může odesílat naši poštu. Toho dosáhneme definicí DNS záznamu, který může vypadat například takto:
nasedomena.cz. 1800 IN TXT "v=spf1 a mx ip4: 89.187.149.22/24 -all"
Nevýhoda je, že si tento mechanismus neporadí s přesměrováním pošty z jedné domény na druhou doménu, čímž se změní odchozí server a SPF pak neodpovídá. Můžeme ale nastavit tzv. SoftFail, který říká serveru příjemce, aby zprávu nezahodil, ale označil jako podezřelou. Tatáž komplikace nastává v případě použití jiného odchozího serveru (SMTP).
Postup:
V naší administraci lze tento záznam nastavit pomocí následujícího postupu:
- Po přihlášení do administrace klikneme na záložku DNS (1)
- Vybereme DNS zónu (2), kterou chceme upravit
- Klikneme na záložku Záznamy (3)
- Klikneme na tlačítko přidání záznamu SPF (4)
- Ponecháme výchozí hodnoty a potvrdíme pomocí tlačítka Uložit (5)
Tím je nastavení dokončeno a Váš nový SPF záznam je aktivní.
DomainKeys Identified Mail (DKIM)
Pokud tento mechanismus zjednodušíme, tak jej můžeme popsat jako podepisování hlaviček odchozích e-mailů, aby mohl příjemce ověřit, zda po cestě nedošlo k jejich záměně.
My tedy přidáme do DNS náš veřejný klíč, odchozí server (SMTP) podepíše tajným klíčem vybrané údaje z hlavičky a přidá podpis do hlavičky odesílaného e-mailu. Příjemce pak ověří pomocí veřejného klíče v DNS, zda podpis odpovídá. Pokud ne, může e-mail odmítnout.
Ani tento mechanismus není úplně dokonalý – je teoreticky možné hlavičku podvrhnout, další komplikací mohou být některé antivirové programy, které automaticky přidávají patičky e-mailů, což v případě podepsání celého e-mailu může způsobit, že podpis nebude odpovídat skutečnosti.
Postup:
V naší administraci lze tento záznam nastavit pomocí následujícího postupu:
- Po přihlášení do administrace klikneme na záložku E-MAIL, v levém panelu na záložku E-mailové domény a následně na doménu (1), pro kterou si přejeme povolit DKIM
- V nově otevřeném nastavení klikneme na řádek DomainKeys Identified Mail (DKIM) (2)
- Objeví se nové nastavení, kde zatrhneme povolit DKIM (3)
- Poté klikneme na Generovat DKIM Privátní-klíč (4). Jakmile bude klíč vygenerován, potvrdíme vše tlačítkem Uložit ve spodní části formuláře
- V horním panelu klikneme na záložku DNS a poté vybereme doménu (5), pro kterou nastavujeme DKIM
- klikneme na záložku Záznamy (6)
- Klikneme na tlačítko přidání záznamu DKIM (7)
- Dojde k automatickému vygenerování klíče, stačí tedy jen vše potvrdit kliknutím na tlačítko Uložit
Tím je nastavení dokončeno a Váš nový DKIM záznam je aktivní.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Tato metoda prakticky kombinuje obě předchozí metody a navíc přidává definici toho, co se má stát, pokud některá z podmínek není splněna, plus definici zpětné vazby (abychom se jako odesílatel dozvěděli o zjištěných problémech).
Je opět potřeba přidat odpovídající DNS záznam, který může vypadat např. takto:
_dmarc.returnpath.net. TXT IN 600 7ms "v=DMARC1; p=none; rua=mailto:dmarc_agg@auth.returnpath.net; ruf=mailto:dmarc_afrf@auth.returnpath.net; rf=afrf; pct=100"
Nastavení definuje, jaké domény jsou chráněny, jak jsou chráněny (SPF/DKIM) a co se stane v situaci, kdy některá z ochran není splněna.
Výhodou je, že lze nastavit několik variant ochrany:
- monitoring (kterým je dobré začít, získáme zpětnou vazbu o tom, jak příjemci řeší naše e-maily, aniž by docházelo k nějakým dalším akcím)
- karanténa (email, který nesplňuje podmínky, skončí ve spamu)
- odmítnutí (závěrečná fáze, kdy nesplňující e-maily jsou zahozeny a vůbec nejsou doručeny)
Postup:
V naší administraci lze tento záznam nastavit pomocí následujícího postupu:
- Po přihlášení do administrace klikneme na záložku DNS (1)
- Vybereme DNS zónu (2), kterou chceme upravit
- Klikneme na záložku Záznamy (3)
- Klikneme na tlačítko přidání záznamu DMARC (4)
- V nastavení si můžete zvolit politiku serveru příjemce (viz předchozí text). Pro začátek doporučujeme zvolit Žádná (5). Pokud bude vše fungovat přibližně měsíc, zkuste se sem vrátit a nastavit Karanténu. Po dalším cca měsíci je možné zvolit Odmítnutí
- Do obou kolonek s e-maily vyplňte e-mailovou adresu, kam si přejete zasílat reporty (6)
- Dále je vhodné zatrhnout upozorňování na selhání všech mechanismů (7)
- Nakonec označíme záznam jako Aktivní (8)
- Záznam uložíme (9)
Tím je nastavení dokončeno a Váš nový DMARC záznam je aktivní.
V případě doplňujících otázek se na nás můžete s důvěrou obrátit.