Spaceship Blog

Co jsou SPF, DKIM a DMARC?

Pokud jde o e-mail, důvěra je vším. Ale ještě než se vaše zpráva vůbec dostane do něčí schránky, musí projít několika tichými bezpečnostními kontrolami. SPF, DKIM a DMARC rozhodují o tom, zda vaše e-maily vypadají legitimně, nebo skončí ve spamu.

Znalost toho, jak tyto záznamy fungují a jak je správně nastavit, může ochránit vaši doménu a zajistit, aby vaše zprávy vždy dorazily tam, kam mají.

Co jsou SPF, DKIM a DMARC v e-mailu?

Mezi kliknutím na odeslat a doručením vašeho e-mailu začíná tichý řetězec kontrol. Každá z nich klade stejnou otázku: je to opravdu od vás?

SPF, DKIM a DMARC tvoří zpětnovazební smyčku mezi odesílatelem a příjemcem a ověřují vaši identitu buď předtím, než zpráva opustí vaši doménu, když dorazí, nebo v obou případech. Společně představují to, co stojí mezi vaší zprávou a složkou spamu.

SPF, DKIM a DMARC stručně:

  • SPF – kontroluje, zda je server odesílající vaši zprávu na schváleném seznamu vaší domény. Pokud ano, e-mail projde. Pokud ne, je označen. Představte si to jako seznam hostů pro vaši doménu.

  • DKIM – přidává k vaší zprávě digitální pečeť ještě předtím, než opustí vaši schránku. Jakmile dorazí na druhou stranu, přijímající server pečeť otevře, aby se ujistil, že během přenosu nebylo nic změněno.

  • DMARC – rozhoduje o tom, co se stane, pokud některá z těchto kontrol selže. Říká přijímajícímu serveru, co má udělat — zda zprávu doručit, poslat ji do spamu, nebo ji úplně zablokovat.

Tyto tři věci fungují společně: jedna ověřuje odesílatele, jedna chrání zprávu a jedna vynucuje pravidla.

Proč jsou SPF, DKIM a DMARC důležité pro zabezpečení e-mailu?

SPF, DKIM a DMARC chrání před dvěma z největších dnešních hrozeb pro e-mail: spamem a spoofingem. Útočníci často posílají zprávy a předstírají, že jsou někdo jiný. Představte si, že dostanete e-mail od Support@yourbank.com s žádostí o potvrzení údajů k vašemu účtu. Tyto tři kontroly zajišťují, že vaše „banka“ je skutečně vaše banka:

Při phishingovém útoku hackeři používají falešné e-maily, aby lidi přiměli sdílet hesla, čísla kreditních karet nebo kliknout na škodlivé odkazy. Bez těchto ochran by mohla být vaše doména zneužita k vydávání se za vás a zákazníci by mohli dostávat přesvědčivé zprávy, které vypadají, jako by přišly od vás. Pokud jsou SPF, DKIM a DMARC nastavené, tyto falešné zprávy jsou obvykle zastaveny ještě předtím, než se vůbec dostanou do schránky.

  • SPF by zkontroloval, zda byl e-mail odeslán ze schváleného serveru.

  • DKIM by zajistil, že s e-mailem nebylo během přenosu manipulováno.

  • Pokud by některá z těchto kontrol selhala, DMARC by zajistil, že bude e-mail vyřazen dříve, než dorazí do vaší schránky

Podobně při phishingovém útoku hackeři posílají falešné e-maily, aby lidi přiměli prozradit hesla nebo kliknout na nebezpečné odkazy. Pokud doména vaší společnosti není chráněná, mohli by se vydávat za zaměstnance a posílat vašim zákazníkům e-maily s žádostí o jejich údaje. Pokud jsou SPF, DKIM a DMARC nastavené, většina těchto falešných zpráv by se do schránek zákazníků nikdy nedostala, protože přijímající servery poznají, že ve skutečnosti nejsou od vás.

Proč jsou důležité také pro doručitelnost (nejen pro zabezpečení)

Pokud posíláte newslettery, faktury nebo marketingové kampaně, vaším cílem pravděpodobně není jen odeslat zprávu, ale také zajistit, aby byla vidět. Jenže s tím, jak celosvětově narostl spam, zavedli velcí poskytovatelé jako Gmail a Yahoo nová pravidla, aby udrželi schránky čisté.

Od roku 2024 tito poskytovatelé vyžadují, aby odesílatelé ověřovali své domény pomocí SPF, DKIM a DMARC. Bez nich mohou být vaše e-maily odmítnuty ještě předtím, než vůbec opustí vaši schránku. Konzistentní úspěšné procházení těmito kontrolami zvyšuje reputaci odesílatele a zabraňuje tomu, aby vaše e-maily končily ve spamu. Čím lepší je vaše reputace, tím rychlejší je doručení, tím méně označení jako spam a tím silnější je vaše důvěryhodnost. Budování této reputace na nové odesílací doméně — nebo její obnova na poškozené — je přesně to, k čemu jsou určeny specializované warm-up platformy, jako je Warmy : postupně zvyšují objem odchozí pošty v kontrolovaných denních krocích a vytvářejí pozitivní signály zapojení u hlavních poskytovatelů poštovních schránek, aby pošta ověřená pomocí SPF, DKIM a DMARC konzistentně končila v hlavní schránce, a ne v promoakcích nebo spamu.

SPF vs DKIM vs DMARC — Jaký je mezi nimi rozdíl?

Pokaždé, když nastupujete do letadla, procházíte procesem, který je téměř totožný s tím, jak fungují SPF, DKIM a DMARC. Možná to zní zvláštně, ale tyto tři pojmy se zrovna snadno nevyslovují a pomáhá mít jednodušší způsob, jak si je zapamatovat. Navíc bez správného nastavení těchto tří věcí vaše pošta pravděpodobně skončí stejně jako vy, když zmeškáte odbavení na let. Venku v chladu.

SPF – První bezpečnostní kontrola vašeho e-mailu

Když dorazíte k přepážce připraveni nastoupit, pracovník zkontroluje vaši letenku podle seznamu letu. Pokud je tam vaše jméno, máte povolení letět. Pokud ne, žádná palubní vstupenka, žádný let.

SPF funguje stejně. Každá doména, například example.com, uchovává „seznam cestujících“ neboli záznam o tom, které poštovní servery smějí jejím jménem odesílat e-maily. Když odešlete e-mail, přijímající server zkontroluje, zda je váš odesílací server na tomto seznamu. Nastavením SPF záznamu v podstatě přidáváte své jméno na seznam, aby vaše zprávy mohly bez prodlení projít kontrolou.

DKIM – Kontrola průkazu pro vaši schránku

Jakmile je vaše letenka v pořádku, je čas prokázat svou totožnost. Fotografie v pasu potvrzuje, že jste skutečně vy, fyzický podpis, který nelze snadno zfalšovat. DKIM dělá totéž, ale pro e-mail.

DomainKeys Identified Mail (DKIM) přidává ke každé odchozí zprávě digitální podpis. Tento podpis dokazuje, že e-mail nebyl během přenosu změněn ani upraven, a brání sledování vašeho e-mailu. Když kliknete na odeslat, váš server podepíše e-mail soukromým klíčem. Když dorazí, přijímající server tento podpis ověří a potvrdí, že je zpráva pravá a nedotčená.

DMARC – Co se stane, když se něco pokazí

Pokud se objevíte na letišti bez letenky nebo pasu, letecká společnost má jasná pravidla, co bude následovat. DMARC funguje stejně, když kontrola SPF nebo DKIM selže.

DMARC říká přijímajícímu serveru, co má s e-mailem udělat, pokud kontrola SPF nebo DKIM selže. Může:

  • Nedělat nic

  • Umístit zprávu do karantény (odeslat ji do spamu)

  • Zprávu úplně odmítnout

Jako odesílatel rozhodujete o tom, které pravidlo se použije. Nastavíte ho ve svém DNS a určíte, co se stane, když vaše zprávy neprojdou kontrolou.

Jak nastavit SPF, DKIM a DMARC pro vaši doménu

K nastavení SPF, DKIM a DMARC budete potřebovat přístup ke svému DNS. Sem směřují nameservery vaší domény, tedy k registrátorovi nebo poskytovateli DNS hostingu.

Jak jsme zmínili výše, SPF funguje jako seznam cestujících, který přijímajícím serverům říká, kteří hostitelé mohou odesílat poštu za vaši doménu. Abyste tedy nastavili SPF, musíte svůj e-mail dostat na tento seznam cestujících. K tomu je potřeba několik kroků.

1. Zkontrolujte, zda už SPF máte

Začněte tím, že použijete bezplatný nástroj pro DNS lookup a zkontrolujete, zda vaše doména už má SPF záznam. Pokud nástroj na kartě TXT zobrazí záznam, který začíná na v=spf1, znamená to, že SPF je pro vaši doménu už nastavené.

Pokud se takový záznam neobjeví, budete muset vytvořit nový SPF záznam od začátku.

2. Přidejte nový SPF záznam do DNS

Chcete-li přidat nový SPF záznam, přejděte do nastavení DNS u hostitele vaší domény. Může to být Spaceship, Google, Outlook atd., podle toho, kdo je vaším poskytovatelem. Najděte seznam existujících záznamů a vyberte Přidat záznam, poté v nabídce typu zvolte TXT.

Poté vyplňte pole, jak je uvedeno níže, a vytvořte svůj SPF záznam.

Pro Spacemail by to vypadalo takto:Typ: TXT záznam | Hostitel: @ | Hodnota: v=spf1 include:spf.spacemail.com ~all | TTL: Automaticky

Uložte a počkejte několik minut na propagaci.

3. Ověřte záznam

V tuto chvíli můžete ve svém nástroji pro DNS lookup spustit další kontrolu. Pokud zobrazí vaši hodnotu, je vše v pořádku. Je také důležité pamatovat na to, že aktualizace hostitelského záznamu může trvat až 24 hodin, takže nepanikařte, pokud tam nebude hned.

Krok 2. Aktualizujte nastavení DKIM

DKIM přidává ke každému e-mailu, který vaše doména odesílá, digitální podpis a dokazuje, že s ním nebylo manipulováno.

1: Vygenerujte svůj DKIM záznam

Začněte v nastavení svého poskytovatele e-mailu.

  1. Přejděte do části pro ověřování domény nebo zabezpečení e-mailu.

  2. Najděte možnost označenou jako DKIM, DomainKeys nebo podobně.

  3. Vyberte tlačítko pro vygenerování nových DKIM klíčů.

Váš poskytovatel vám poskytne dvě klíčové informace:

  • Selektor (například selector1._domainkey)

  • Samotný DKIM záznam — dlouhý řetězec šifrovaného textu

Je dobré si obojí zkopírovat na bezpečné místo, protože je budete potřebovat v dalším kroku.

2: Přidejte DKIM záznam do svého DNS

Dále se přihlaste ke svému poskytovateli DNS.

  1. Otevřete své DNS záznamy a vytvořte nový záznam.

  2. Zvolte CNAME, pokud je záznam krátký, nebo TXT, pokud jde o delší klíč.

  3. Do pole Hostitel nebo Název zadejte DKIM selektor (například selector1._domainkey).

  4. Do pole Hodnota vložte DKIM záznam od svého poskytovatele e-mailu.

  5. Uložte změny.

Dejte tomu několik minut, protože aktualizace změn DNS může chvíli trvat.

Pro firemní e-mail Spacemail můžete nastavit DKIM záznam podle tohoto návodu.

Krok 3. Přidejte nastavení DMARC

Jakmile jsou SPF a DKIM nastavené, posledním krokem je DMARC. Stačí přidat ještě jeden TXT záznam do DNS vaší domény. Tento záznam říká přijímajícím poštovním serverům, co mají dělat, pokud e-mail z vaší domény neprojde ověřením, a poskytuje vám přehled o tom, kdo odesílá poštu vaším jménem.

DMARC záznam má několik klíčových částí, kterým musíte porozumět, než ho přidáte:

  • v=DMARC1 – tímto poštovním serverům říkáte, že používáte DMARC. Vždy je na prvním místě.

  • p= – Tímto nastavíte zásadu, jak nakládat s neověřenými zprávami:

  • rua=mailto: – tímto poštovním serverům říkáte, kam mají posílat vaše denní DMARC reporty. Můžete použít adresu jako security@yourdomain.com nebo dmarc@yourdomain.com. Tyto reporty ukazují, které IP adresy odesílají jménem vaší domény, což vám pomáhá odhalit cokoli neobvyklého.

1: Vygenerujte DMARC záznam pro svou doménu

Otevřete nástroj DMARC Record Generator (klidně použijte jakýkoli generátor DMARC, který vám vyhovuje) a do vyhledávacího pole zadejte název své domény. Poté klikněte na tlačítko Check DMARC Record. Přizpůsobte nastavení DMARC svým potřebám a získejte vygenerovaný záznam.

2: Přidejte svůj DMARC záznam do nastavení DNS

Přejděte ke svému poskytovateli DNS. Vytvořte nový záznam a jako typ hostitelského záznamu vyberte TXT. DMARC používá formát TXT záznamu stejně jako SPF.

Použijte hostitele: _dmarc Přidejte hodnotu, kterou jste vygenerovali dříve

Jakmile ho přidáte, uložte změny a počkejte několik minut na propagaci. Můžete použít nástroje jako MX Lookup Tool nebo jiné bezplatné nástroje ke kontrole, že je váš DMARC záznam nastaven správně.

Pomocí tohoto návodu můžete nastavit DMARC záznam pro svou doménu ve Spacemail.

Jak správně nastavit e-mail

Pokud vaše zprávy stále končí ve spamu nebo se ztrácejí během cesty, může to být způsobeno chybějícím ověřením. SPF, DKIM a DMARC dávají vašim e-mailům přihlašovací údaje, které potřebují, aby bezpečně dorazily do schránky.

Když slyšíte vysvětlení SPF, DKIM a DMARC, může to znít složitě, ale nejlepší na tom je, že nevyžadují drahé nástroje ani složitá nastavení, jen několik DNS záznamů a trochu trpělivosti. Jsou to jedny z nejjednodušších e-mailových protokolů, které můžete do svého e-mailového systému přidat a které se vyplatí pokaždé, když vaše zpráva dorazí přesně tam, kam má.

Často kladené otázky

SPF ověřuje, že je váš e-mail odeslán ze schváleného serveru. Zabezpečení e-mailu pomocí DKIM funguje tak, že každou zprávu podepíše digitálním klíčem, takže příjemce ví, že se zprávou nebylo manipulováno. DMARC je spojuje dohromady a říká serveru, co má dělat, pokud něco nevypadá v pořádku. Společně udržují vaše e-maily důvěryhodné, ověřené a bezpečné.

Když se díváte na DMARC vs SPF a DKIM, fungují nejlépe jako tým. Ověřování e-mailu pomocí SPF a DKIM provádí kontrolu, zatímco DMARC rozhoduje o tom, co se stane, pokud tyto kontroly selžou. Bez DMARC mohou vaše e-maily stále projít, ale nebudete mít kontrolu nad tím, co se stane, když neprojdou. Nastavte všechny tři jednou a pokryjete vše potřebné jak pro bezpečnost, tak pro doručitelnost.

Ke spoofingu dochází, když někdo pošle e-mail a předstírá, že jste to vy. SPF kontroluje, odkud zpráva přišla, DKIM potvrzuje, že nebyla změněna, a DMARC blokuje vše podezřelé.

Bez DMARC neexistuje jasné pravidlo, jak mají poštovní servery nakládat s podezřelými zprávami. To znamená, že falešné e-maily mohou proklouznout, nebo vaše skutečné mohou být označeny jako spam. DMARC je ta část, která vynucuje pravidla, a bez ní zůstává vaše doména nechráněná.

Ne tak docela, jen dělají různé úkoly. SPF kontroluje, kdo e-mail odesílá; DKIM kontroluje, zda byl změněn. Ani jeden nefunguje dokonale samostatně, ale společně vytvářejí silnou první linii obrany.


Doporučené články

Sdílejte své myšlenky

Je vyžadováno více než 10 znaků.
Vaše identita pro veřejné zobrazení.
Poskytnutí vaší e-mailové adresy je volitelné. Nebude sdílena s třetími stranami.

Pomozte nám zlepšit náš blog

Podělte se o své myšlenky v rychlém dvouminutovém průzkumu.

Je vyžadována platná e-mailová adresa