Aktuální statistiky hovoří o tom, že přibližně 20 % odchozích e-mailů nikdy nedorazí ke svému příjemci. Důvodů může být více, ale pokud pomineme překlepy v adrese příjemce (dalších zhruba 10 %), je na vině obvykle opatření e-mailových poskytovatelů (Seznam.cz, Gmail, apod.) proti SPAMu nebo phishingu.
Snaha o filtraci spamu a podvržených mailů má své důvody. Tím hlavním je ochrana uživatelů – málokdo má zájem dostávat nevyžádané e-maily. Podvržené e-maily a phishing jsou navíc potenciální hrozbou a jejich množství včetně SPAMu poměrně výrazně převyšuje množství skutečně vyžádané pošty.
Zajímá Vás aktuální stav Vašeho (Vašich) e-mailů? Zkuste si je zdarma otestovat pomocí služby Mail Tester.
Jak se tedy bránit tomu, aby naše e-maily nebyly servery příjemců zahazovány? Vliv na tuto skutečnost má více faktorů, zejména následující:
- samotný obsah a formát e-mailu
- vyhodnocení softwarem SpamAssasin
- autentizace e-mailu
- existence odchozího serveru na některém z blacklistů
Co můžeme přímo ovlivnit je právě autentizace odchozích e-mailů. Tu je možné realizovat několika způsoby, které si zde vysvětlíme, a přiložíme návod na jejich konfiguraci přímo ve Vaší administraci u nás na hostingu.
Sender Policy Framework (SPF)
SPF je mechanismus, pomocí kterého řekneme serveru příjemce, který mailserver může odesílat naši poštu. Toho dosáhneme definicí DNS záznamu, který může vypadat například takto:
nasedomena.cz. 1800 IN TXT "v=spf1 a mx ip4: 89.187.149.22/24 -all"
Nevýhoda je, že si tento mechanismus neporadí s přesměrováním pošty z jedné domény na druhou doménu, čímž se změní odchozí server a SPF pak neodpovídá. Můžeme ale nastavit tzv. SoftFail, který říká serveru příjemce, aby zprávu nezahodil, ale označil jako podezřelou. Tatáž komplikace nastává v případě použití jiného odchozího serveru (SMTP).
Postup:
V naší administraci lze tento záznam nastavit pomocí následujícího postupu:
- Po přihlášení do administrace klikneme na záložku DNS (1)
- Vybereme DNS zónu (2), kterou chceme upravit
- Klikneme na záložku Záznamy (3)
- Klikneme na tlačítko přidání záznamu SPF (4)
- Ponecháme výchozí hodnoty a potvrdíme pomocí tlačítka Uložit (5)
Tím je nastavení dokončeno a Váš nový SPF záznam je aktivní.
DomainKeys Identified Mail (DKIM)
Pokud tento mechanismus zjednodušíme, tak jej můžeme popsat jako podepisování hlaviček odchozích e-mailů, aby mohl příjemce ověřit, zda po cestě nedošlo k jejich záměně.
My tedy přidáme do DNS náš veřejný klíč, odchozí server (SMTP) podepíše tajným klíčem vybrané údaje z hlavičky a přidá podpis do hlavičky odesílaného e-mailu. Příjemce pak ověří pomocí veřejného klíče v DNS, zda podpis odpovídá. Pokud ne, může e-mail odmítnout.
Ani tento mechanismus není úplně dokonalý – je teoreticky možné hlavičku podvrhnout, další komplikací mohou být některé antivirové programy, které automaticky přidávají patičky e-mailů, což v případě podepsání celého e-mailu může způsobit, že podpis nebude odpovídat skutečnosti.
Postup:
V naší administraci lze tento záznam nastavit pomocí následujícího postupu:
- Po přihlášení do administrace klikneme na záložku E-MAIL, v levém panelu na záložku E-mailové domény a následně na doménu (1), pro kterou si přejeme povolit DKIM
- V nově otevřeném nastavení klikneme na řádek DomainKeys Identified Mail (DKIM) (2)
- Objeví se nové nastavení, kde zatrhneme povolit DKIM (3)
- Poté klikneme na Generovat DKIM Privátní-klíč (4). Jakmile bude klíč vygenerován, potvrdíme vše tlačítkem Uložit ve spodní části formuláře
- V horním panelu klikneme na záložku DNS a poté vybereme doménu (5), pro kterou nastavujeme DKIM
- klikneme na záložku Záznamy (6)
- Klikneme na tlačítko přidání záznamu DKIM (7)
- Dojde k automatickému vygenerování klíče, stačí tedy jen vše potvrdit kliknutím na tlačítko Uložit
Tím je nastavení dokončeno a Váš nový DKIM záznam je aktivní.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
Tato metoda prakticky kombinuje obě předchozí metody a navíc přidává definici toho, co se má stát, pokud některá z podmínek není splněna, plus definici zpětné vazby (abychom se jako odesílatel dozvěděli o zjištěných problémech).
Je opět potřeba přidat odpovídající DNS záznam, který může vypadat např. takto:
_dmarc.returnpath.net. TXT IN 600 7ms "v=DMARC1; p=none; rua=mailto:dmarc_agg@auth.returnpath.net; ruf=mailto:dmarc_afrf@auth.returnpath.net; rf=afrf; pct=100"
Nastavení definuje, jaké domény jsou chráněny, jak jsou chráněny (SPF/DKIM) a co se stane v situaci, kdy některá z ochran není splněna.
Výhodou je, že lze nastavit několik variant ochrany:
- monitoring (kterým je dobré začít, získáme zpětnou vazbu o tom, jak příjemci řeší naše e-maily, aniž by docházelo k nějakým dalším akcím)
- karanténa (email, který nesplňuje podmínky, skončí ve spamu)
- odmítnutí (závěrečná fáze, kdy nesplňující e-maily jsou zahozeny a vůbec nejsou doručeny)
Postup:
V naší administraci lze tento záznam nastavit pomocí následujícího postupu:
- Po přihlášení do administrace klikneme na záložku DNS (1)
- Vybereme DNS zónu (2), kterou chceme upravit
- Klikneme na záložku Záznamy (3)
- Klikneme na tlačítko přidání záznamu DMARC (4)
- V nastavení si můžete zvolit politiku serveru příjemce (viz předchozí text). Pro začátek doporučujeme zvolit Žádná (5). Pokud bude vše fungovat přibližně měsíc, zkuste se sem vrátit a nastavit Karanténu. Po dalším cca měsíci je možné zvolit Odmítnutí
- Do obou kolonek s e-maily vyplňte e-mailovou adresu, kam si přejete zasílat reporty (6)
- Dále je vhodné zatrhnout upozorňování na selhání všech mechanismů (7)
- Nakonec označíme záznam jako Aktivní (8)
- Záznam uložíme (9)
Tím je nastavení dokončeno a Váš nový DMARC záznam je aktivní.
V případě doplňujících otázek se na nás můžete s důvěrou obrátit.
V tomto článku najdete návod na změnu nastavení DNS serverů u domén vedených u registrátora Forpsi. Tento návod je určen pouze pro domény s jinou koncovkou než .cz. Pokud máte českou doménu s koncovkou .cz použijte návod na nastavení NSSETu.
- Přihlaste se do administrace Forpsi a v seznamu domén klikněte na název domény, u které chcete změnit NSSET. Po kliknutí se zobrazí následující tabulka s informacemi o této doméně. V této tabulce klikněte na odkaz editace DNS serverů.
Forpsi – nastavení DNS u domén – editace domény
- Po kliknutí na odkaz změna DNS serverů se zobrazí následující formulář. Vyberte volbu vlastní DNS a do textových polí zadejte názvy DNS serverů uvedené v emailu s přístupovými údaji k Vašemu webhostingu. Klikněte na Odeslat.
Forpsi – nastavení DNS u domén – vložení adres DNS serverů
- Po odeslání formuláře by se měl objevit následující text s potvrzením o úspěšné změně DNS serverů. Změna DNS se projeví do 24 hodin.
Forpsi – nastavení DNS u domén – dokončení
V tomto článku najdete návod na změnu NSSET u registrátora domén Forpsi. NSSET se používá pouze u českých domén a proto je tento návod určen pouze pro domény s koncovkou .cz. Pokud máte doménu s jinou koncovkou použijte návod na změnu DNS.
- Přihlaste se do administrace Forpsi a v seznamu domén klikněte na název domény, u které chcete změnit NSSET. Po kliknutí se zobrazí následující tabulka s informacemi o této doméně. V této tabulce klikněte na odkaz Změna DNS serverů.
Forpsi – nastavení NSSET u .cz domén – výběr domény
- Po kliknutí na odkaz změna DNS serverů se zobrazí následující formulář. Vyberte volbu Již existující NSSET a do pole NSSET ID zadejte název NSSET uvedený v emailu s přístupovými údaji k Vašemu webhostingu. Klikněte na odeslat.
Forpsi – nastavení NSSET u .cz domén – zadání NSSETu
- Po odeslání formuláře by se měl objevit následující text s potvrzením o úspěšné změně NSSET. Změna NSSET se projeví do 24 hodin.
Forpsi – nastavení NSSET u .cz domén – dokončení