Autentizace odchozí pošty: SPF, DKIM a DMARC

6. 3. 2015

Aktuální statistiky hovoří o tom, že přibližně 20 % odchozích e-mailů nikdy nedorazí ke svému příjemci. Důvodů může být více, ale pokud pomineme překlepy v adrese příjemce (dalších zhruba 10 %), je na vině obvykle opatření e-mailových poskytovatelů (Seznam.cz, Gmail, apod.) proti SPAMu nebo phishingu.

Snaha o filtraci spamu a podvržených mailů má své důvody. Tím hlavním je ochrana uživatelů – málokdo má zájem dostávat nevyžádané e-maily. Podvržené e-maily a phishing jsou navíc potenciální hrozbou a jejich množství včetně SPAMu poměrně výrazně převyšuje množství skutečně vyžádané pošty.

Zajímá Vás aktuální stav Vašeho (Vašich) e-mailů? Zkuste si je zdarma otestovat pomocí služby Mail Tester.

Jak se tedy bránit tomu, aby naše e-maily nebyly servery příjemců zahazovány? Vliv na tuto skutečnost má více faktorů, zejména následující:

  • samotný obsah a formát e-mailu
  • vyhodnocení softwarem SpamAssasin
  • autentizace e-mailu
  • existence odchozího serveru na některém z blacklistů

Co můžeme přímo ovlivnit je právě autentizace odchozích e-mailů. Tu je možné realizovat několika způsoby, které si zde vysvětlíme, a přiložíme návod na jejich konfiguraci přímo ve Vaší administraci u nás na hostingu.

Sender Policy Framework (SPF)

SPF je mechanismus, pomocí kterého řekneme serveru příjemce, který mailserver může odesílat naši poštu. Toho dosáhneme definicí DNS záznamu, který může vypadat například takto:

nasedomena.cz. 1800 IN TXT "v=spf1 a mx ip4: 89.187.149.22/24 -all"

Nevýhoda je, že si tento mechanismus neporadí s přesměrováním pošty z jedné domény na druhou doménu, čímž se změní odchozí server a SPF pak neodpovídá. Můžeme ale nastavit tzv. SoftFail, který říká serveru příjemce, aby zprávu nezahodil, ale označil jako podezřelou. Tatáž komplikace nastává v případě použití jiného odchozího serveru (SMTP).

Postup:

V naší administraci lze tento záznam nastavit pomocí následujícího postupu:

  1. Po přihlášení do administrace klikneme na záložku DNS (1)
  2. Vybereme DNS zónu (2), kterou chceme upravit

    spf_01_02

    Přidání záznamu SPF – krok 1 a 2

  3. Klikneme na záložku Záznamy (3)

    Přidání záznamu SPF - krok 3

    Přidání záznamu SPF – krok 3

  4. Klikneme na tlačítko přidání záznamu SPF (4)

    Přidání záznamu SPF - krok 4

    Přidání záznamu SPF – krok 4

  5. Ponecháme výchozí hodnoty a potvrdíme pomocí tlačítka Uložit (5)

    Přidání záznamu SPF - krok 5

    Přidání záznamu SPF – krok 5

Tím je nastavení dokončeno a Váš nový SPF záznam je aktivní.

DomainKeys Identified Mail (DKIM)

Pokud tento mechanismus zjednodušíme, tak jej můžeme popsat jako podepisování hlaviček odchozích e-mailů, aby mohl příjemce ověřit, zda po cestě nedošlo k jejich záměně.

My tedy přidáme do DNS náš veřejný klíč, odchozí server (SMTP) podepíše tajným klíčem vybrané údaje z hlavičky a přidá podpis do hlavičky odesílaného e-mailu. Příjemce pak ověří pomocí veřejného klíče v DNS, zda podpis odpovídá. Pokud ne, může e-mail odmítnout.

Ani tento mechanismus není úplně dokonalý – je teoreticky možné hlavičku podvrhnout, další komplikací mohou být některé antivirové programy, které automaticky přidávají patičky e-mailů, což v případě podepsání celého e-mailu může způsobit, že podpis nebude odpovídat skutečnosti.

Postup:

V naší administraci lze tento záznam nastavit pomocí následujícího postupu:

  1. Po přihlášení do administrace klikneme na záložku E-MAIL, v levém panelu na záložku E-mailové domény a následně na doménu (1), pro kterou si přejeme povolit DKIM

    Přidání záznamu DKIM - krok 1

    Přidání záznamu DKIM – krok 1

  2. V nově otevřeném nastavení klikneme na řádek DomainKeys Identified Mail (DKIM) (2)

    Přidání záznamu DKIM - krok 2

    Přidání záznamu DKIM – krok 2

  3. Objeví se nové nastavení, kde zatrhneme povolit DKIM (3)
  4. Poté klikneme na Generovat DKIM Pivátní-klíč (4). Jakmile bude klíč vygenerován, potvrdíme vše tlačítkem Uložit ve spodní části formuláře

    Přidání záznamu DKIM - krok 3 a 4

    Přidání záznamu DKIM – krok 3 a 4

  5. V horním panelu klikneme na záložku DNS a poté vybereme doménu (5), pro kterou nastavujeme DKIM

    Přidání záznamu DKIM - krok 5

    Přidání záznamu DKIM – krok 5

  6. klikneme na záložku Záznamy (6)

    Přidání záznamu DKIM - krok 6

    Přidání záznamu DKIM – krok 6

  7. Klikneme na tlačítko přidání záznamu DKIM (7)

    Přidání záznamu DKIM - krok 7

    Přidání záznamu DKIM – krok 7

  8. Dojde k automatickému vygenerování klíče, stačí tedy jen vše potvrdit kliknutím na tlačítko Uložit

Tím je nastavení dokončeno a Váš nový DKIM záznam je aktivní.

Domain-based Message Authentication, Reporting and Conformance (DMARC)

Tato metoda prakticky kombinuje obě předchozí metody a navíc přidává definici toho, co se má stát, pokud některá z podmínek není splněna, plus definici zpětné vazby (abychom se jako odesílatel dozvěděli o zjištěných problémech).

Je opět potřeba přidat odpovídající DNS záznam, který může vypadat např. takto:

_dmarc.returnpath.net. TXT IN 600 7ms "v=DMARC1; p=none; rua=mailto:dmarc_agg@auth.returnpath.net; ruf=mailto:dmarc_afrf@auth.returnpath.net; rf=afrf; pct=100"

Nastavení definuje, jaké domény jsou chráněny, jak jsou chráněny (SPF/DKIM) a co se stane v situaci, kdy některá z ochran není splněna.

Výhodou je, že lze nastavit několik variant ochrany:

  • monitoring (kterým je dobré začít, získáme zpětnou vazbu o tom, jak příjemci řeší naše e-maily, aniž by docházelo k nějakým dalším akcím)
  • karanténa (email, který nesplňuje podmínky, skončí ve spamu)
  • odmítnutí (závěrečná fáze, kdy nesplňující e-maily jsou zahozeny a vůbec nejsou doručeny)

Postup:

V naší administraci lze tento záznam nastavit pomocí následujícího postupu:

  1. Po přihlášení do administrace klikneme na záložku DNS (1)
  2. Vybereme DNS zónu (2), kterou chceme upravit

    Přidání záznamu DMARC - krok 1 a 2

    Přidání záznamu DMARC – krok 1 a 2

  3. Klikneme na záložku Záznamy (3)

    Přidání záznamu DMARC - krok 3

    Přidání záznamu DMARC – krok 3

  4. Klikneme na tlačítko přidání záznamu DMARC (4)

    Přidání záznamu DMARC - krok 4

    Přidání záznamu DMARC – krok 4


  5. V nastavení si můžete zvolit politiku serveru příjemce (viz předchozí text). Pro začátek doporučujeme zvolit Žádná (5). Pokud bude vše fungovat přibližně měsíc, zkuste se sem vrátit a nastavit Karanténu. Po dalším cca měsíci je možné zvolit Odmítnutí
  6. Do obou kolonek s e-maily vyplňte e-mailovou adresu, kam si přejete zasílat reporty (6)
  7. Dále je vhodné zatrhnout upozorňování na selhání všech mechanismů (7)

    Přidání záznamu DMARC - krok 5, 6 a 7

    Přidání záznamu DMARC – krok 5, 6 a 7

  8. Nakonec označíme záznam jako Aktivní (8)
  9. Záznam uložíme (9)

    Přidání záznamu DMARC - krok 8 a 9

    Přidání záznamu DMARC – krok 8 a 9

Tím je nastavení dokončeno a Váš nový DMARC záznam je aktivní.

V případě doplňujících otázek se na nás můžete  s důvěrou obrátit.

© Copyright 2006–2017 Zserver s.r.o. RSS Staň se fanouškem Ceny jsou uvedeny bez 21% DPH