Blog Spaceship

Czym są SPF, DKIM i DMARC?

Jeśli chodzi o e-mail, zaufanie jest wszystkim. Ale zanim Twoja wiadomość trafi do czyjejś skrzynki odbiorczej, musi przejść kilka cichych kontroli bezpieczeństwa. SPF, DKIM i DMARC decydują o tym, czy Twoje e-maile wyglądają na legalne, czy trafiają do spamu.

Wiedza o tym, jak działają te rekordy i jak poprawnie je skonfigurować, może chronić Twoją domenę i sprawić, że Twoje wiadomości zawsze trafią tam, gdzie powinny.

Czym są SPF, DKIM i DMARC w poczcie e-mail?

Między kliknięciem „wyślij” a dostarczeniem Twojego e-maila rozpoczyna się cichy łańcuch kontroli. Każda z nich zadaje to samo pytanie: czy to naprawdę od Ciebie?

SPF, DKIM i DMARC tworzą pętlę informacji zwrotnej między nadawcą a odbiorcą, weryfikując Twoją tożsamość przed opuszczeniem domeny przez wiadomość, po jej dotarciu lub na obu etapach. Razem stanowią barierę między Twoją wiadomością a folderem spam.

SPF, DKIM i DMARC w skrócie:

  • SPF – sprawdza, czy serwer wysyłający Twoją wiadomość znajduje się na zatwierdzonej liście Twojej domeny. Jeśli tak, e-mail przechodzi dalej. Jeśli nie, zostaje oznaczony. Pomyśl o tym jak o liście gości dla Twojej domeny.

  • DKIM – dodaje cyfrową pieczęć do Twojej wiadomości, zanim opuści skrzynkę odbiorczą. Gdy dotrze na drugą stronę, serwer odbierający otwiera tę pieczęć, aby upewnić się, że nic nie zostało zmienione podczas przesyłania.

  • DMARC – decyduje o tym, co się stanie, jeśli którakolwiek z tych kontroli zakończy się niepowodzeniem. Informuje serwer odbierający, co zrobić — czy dostarczyć wiadomość, wysłać ją do spamu, czy całkowicie ją zablokować.

Te trzy elementy współpracują ze sobą: jeden weryfikuje nadawcę, jeden chroni wiadomość, a jeden egzekwuje zasady.

Dlaczego SPF, DKIM i DMARC są ważne dla bezpieczeństwa poczty e-mail?

SPF, DKIM i DMARC chronią przed dwoma największymi zagrożeniami dla poczty e-mail: spamem i spoofingiem. Atakujący często wysyłają wiadomości, podszywając się pod kogoś innego. Wyobraź sobie, że otrzymujesz e-mail od Support@yourbank.com z prośbą o potwierdzenie danych konta. Te trzy kontrole upewniają się, że Twój „bank” naprawdę jest Twoim bankiem:

W ataku phishingowym hakerzy używają fałszywych e-maili, aby nakłonić ludzi do udostępnienia haseł, numerów kart kredytowych lub kliknięcia złośliwych linków. Bez tych zabezpieczeń pod Twoją domenę można się podszyć, a klienci mogą otrzymywać przekonujące wiadomości wyglądające tak, jakby pochodziły od Ciebie. Gdy SPF, DKIM i DMARC są skonfigurowane, takie fałszywe wiadomości są zwykle zatrzymywane, zanim w ogóle dotrą do skrzynki odbiorczej.

  • SPF sprawdzałby, czy e-mail został wysłany z zatwierdzonego serwera.

  • DKIM upewniłby się, że e-mail nie został zmieniony podczas przesyłania.

  • Jeśli którakolwiek z tych kontroli zakończyłaby się niepowodzeniem, DMARC zadbałby o to, aby e-mail został odrzucony, zanim dotrze do Twojej skrzynki odbiorczej

Podobnie podczas ataku phishingowego hakerzy wysyłają fałszywe e-maile, aby nakłonić ludzi do ujawnienia haseł lub kliknięcia niebezpiecznych linków. Jeśli domena Twojej firmy nie jest chroniona, mogą podszyć się pod pracownika i wysyłać do Twoich klientów wiadomości z prośbą o ich dane. Jeśli SPF, DKIM i DMARC są skonfigurowane, większość tych fałszywych wiadomości nigdy nie dotrze do skrzynek odbiorczych klientów, ponieważ serwery odbierające potrafią rozpoznać, że tak naprawdę nie pochodzą od Ciebie.

Dlaczego mają znaczenie także dla dostarczalności (nie tylko bezpieczeństwa)

Jeśli wysyłasz newslettery, faktury lub kampanie marketingowe, Twoim celem prawdopodobnie nie jest samo wysłanie wiadomości, ale to, by została zauważona. Jednak wraz z globalnym wzrostem spamu główni dostawcy, tacy jak Gmail i Yahoo, wprowadzili nowe zasady, aby utrzymać porządek w skrzynkach odbiorczych.

Od 2024 roku ci dostawcy wymagają od nadawców uwierzytelniania swoich domen za pomocą SPF, DKIM i DMARC. Bez nich Twoje e-maile mogą zostać odrzucone, zanim jeszcze opuszczą Twoją skrzynkę odbiorczą. Regularne przechodzenie tych kontroli wzmacnia reputację nadawcy i powstrzymuje Twoje e-maile przed trafianiem do spamu. Im lepsza Twoja reputacja, tym szybsze dostarczanie, mniej oznaczeń jako spam i większa wiarygodność. Budowanie tej reputacji na nowej domenie wysyłkowej — lub odbudowywanie jej na uszkodzonej — to dokładnie to, do czego przeznaczone są dedykowane platformy rozgrzewające, takie jak Warmy : stopniowe zwiększanie wolumenu wychodzących wiadomości w kontrolowanych dziennych przyrostach oraz generowanie pozytywnych sygnałów zaangażowania u głównych dostawców skrzynek pocztowych, tak aby poczta uwierzytelniona przez SPF, DKIM i DMARC konsekwentnie trafiała do głównej skrzynki odbiorczej, a nie do zakładki oferty lub spamu.

SPF vs DKIM vs DMARC — jaka jest różnica?

Za każdym razem, gdy wchodzisz na pokład samolotu, przechodzisz proces niemal identyczny z tym, jak działają SPF, DKIM i DMARC. To może brzmieć dziwnie, ale te trzy terminy nie są zbyt łatwe do zapamiętania, a prostszy sposób ich zapamiętania naprawdę pomaga. Co więcej, bez skonfigurowania tej trójki Twoja poczta prawdopodobnie skończy tak samo jak Ty, gdy spóźnisz się na odprawę przed lotem. Na zewnątrz, na zimnie.

SPF – pierwszy punkt kontroli bezpieczeństwa Twojej poczty e-mail

Kiedy podchodzisz do stanowiska, gotowy do wejścia na pokład, pracownik sprawdza Twój bilet z listą lotu. Jeśli Twoje nazwisko tam jest, możesz lecieć. Jeśli nie, nie ma karty pokładowej, nie ma lotu.

SPF działa tak samo. Każda domena, taka jak example.com, przechowuje „listę pasażerów”, czyli zapis tego, które serwery pocztowe mogą wysyłać e-maile w jej imieniu. Gdy wysyłasz e-mail, serwer odbierający sprawdza, czy Twój serwer wysyłający znajduje się na tej liście. Ustawiając rekord SPF, zasadniczo dodajesz swoje nazwisko do manifestu, aby Twoje wiadomości mogły przejść kontrolę bezpieczeństwa bez opóźnień.

DKIM – kontrola tożsamości dla Twojej skrzynki odbiorczej

Gdy Twój bilet zostanie sprawdzony, czas potwierdzić tożsamość. Zdjęcie w paszporcie potwierdza, że naprawdę jesteś sobą — to fizyczny podpis, którego nie da się łatwo podrobić. DKIM działa tak samo, ale w przypadku e-maili.

DomainKeys Identified Mail (DKIM) dodaje podpis cyfrowy do każdej wychodzącej wiadomości. Ten podpis potwierdza, że e-mail nie został zmieniony ani naruszony podczas przesyłania i zapobiega śledzeniu Twojej poczty e-mail. Gdy klikniesz wyślij, Twój serwer podpisuje e-mail kluczem prywatnym. Gdy wiadomość dotrze na miejsce, serwer odbierający weryfikuje ten podpis, potwierdzając, że wiadomość jest autentyczna i nienaruszona.

DMARC – co się dzieje, gdy coś pójdzie nie tak

Jeśli pojawisz się na lotnisku bez biletu lub paszportu, linia lotnicza ma jasną politykę dotyczącą tego, co stanie się dalej. DMARC działa tak samo, gdy kontrola SPF lub DKIM zakończy się niepowodzeniem.

DMARC mówi serwerowi odbierającemu, co zrobić z e-mailem, jeśli kontrola SPF lub DKIM zakończy się niepowodzeniem. Może:

  • Nic nie robić

  • Poddać wiadomość kwarantannie (wysłać ją do spamu)

  • Całkowicie odrzucić wiadomość

Jako nadawca decydujesz, która zasada ma zastosowanie. Ustawiasz ją w swoim DNS, określając, co się stanie, gdy Twoje wiadomości nie przejdą kontroli.

Jak skonfigurować SPF, DKIM i DMARC dla swojej domeny

Aby skonfigurować SPF, DKIM i DMARC, potrzebujesz dostępu do swojego DNS. To miejsce, do którego wskazują serwery nazw Twojej domeny, czyli rejestrator lub host DNS.

Jak wspomnieliśmy wyżej, SPF działa jak lista pasażerów, która mówi serwerom odbierającym, które hosty mogą wysyłać pocztę dla Twojej domeny. Aby więc skonfigurować SPF, musisz umieścić swój e-mail na tej liście pasażerów. Aby to zrobić, trzeba wykonać kilka kroków.

1. Sprawdź, czy masz już SPF

Zacznij od użycia bezpłatnego narzędzia do wyszukiwania DNS, aby sprawdzić, czy Twoja domena ma już rekord SPF. Jeśli narzędzie w zakładce TXT pokazuje rekord zaczynający się od v=spf1, oznacza to, że SPF jest już skonfigurowany dla Twojej domeny.

Jeśli taki rekord się nie pojawi, musisz utworzyć nowy rekord SPF od podstaw.

2. Dodaj nowy rekord SPF w DNS

Aby dodać nowy rekord SPF, przejdź do ustawień DNS hosta swojej domeny. Może to być Spaceship, Google, Outlook itp., w zależności od tego, kto jest Twoim dostawcą. Znajdź listę istniejących rekordów i wybierz Dodaj rekord, a następnie wybierz TXT z menu typu.

Następnie wypełnij pola, jak pokazano poniżej, aby utworzyć wpis SPF.

W przypadku Spacemail będzie to wyglądać tak:Typ: rekord TXT | Host: @ | Wartość: v=spf1 include:spf.spacemail.com ~all | TTL: Automatycznie

Zapisz i poczekaj kilka minut na propagację.

3. Zweryfikuj rekord

W tym momencie możesz ponownie sprawdzić swoje narzędzie do wyszukiwania DNS. Jeśli wyświetla Twoją wartość, wszystko jest w porządku. Warto też pamiętać, że aktualizacja rekordu hosta może potrwać do 24 godzin, więc nie panikuj, jeśli nie pojawi się od razu.

Krok 2. Zaktualizuj ustawienia DKIM

DKIM dodaje podpis cyfrowy do każdego e-maila wysyłanego przez Twoją domenę, potwierdzając, że nie został on zmieniony.

1: Wygeneruj rekord DKIM

Zacznij od ustawień swojego dostawcy poczty e-mail.

  1. Przejdź do sekcji uwierzytelniania domeny lub bezpieczeństwa poczty e-mail.

  2. Znajdź opcję oznaczoną jako DKIM, DomainKeys lub podobnie.

  3. Wybierz przycisk, aby wygenerować nowe klucze DKIM.

Twój dostawca poda Ci dwie kluczowe informacje:

  • Selektor (na przykład selector1._domainkey)

  • Sam rekord DKIM — długi ciąg zaszyfrowanego tekstu

Dobrym pomysłem jest skopiowanie obu tych elementów w bezpieczne miejsce, ponieważ będą potrzebne w następnym kroku.

2: Dodaj rekord DKIM do swojego DNS

Następnie zaloguj się do swojego dostawcy DNS.

  1. Otwórz swoje rekordy DNS i utwórz nowy wpis.

  2. Wybierz CNAME, jeśli rekord jest krótki, lub TXT, jeśli jest to dłuższy klucz.

  3. W polu Host lub Name wpisz selektor DKIM (na przykład selector1._domainkey).

  4. W polu Value wklej rekord DKIM od swojego dostawcy poczty e-mail.

  5. Zapisz zmiany.

Daj temu kilka minut, ponieważ aktualizacja zmian DNS może trochę potrwać.

W przypadku biznesowej poczty e-mail Spacemail możesz skonfigurować rekord DKIM za pomocą tego przewodnika.

Krok 3. Dodaj ustawienia DMARC

Gdy SPF i DKIM są już skonfigurowane, ostatnim krokiem jest DMARC. Wystarczy dodać jeszcze jeden rekord TXT do DNS swojej domeny. Ten rekord mówi serwerom odbierającym pocztę, co zrobić, jeśli e-mail z Twojej domeny nie przejdzie uwierzytelnienia, a także daje Ci wgląd w to, kto wysyła pocztę w Twoim imieniu.

Rekord DMARC ma kilka kluczowych elementów, które musisz zrozumieć, zanim go dodasz:

  • v=DMARC1 – to informuje serwery pocztowe, że używasz DMARC. Zawsze występuje jako pierwsze.

  • p= – To ustawia Twoją politykę dotyczącą obsługi nieuwierzytelnionych wiadomości:

  • rua=mailto: – To informuje serwery pocztowe, gdzie wysyłać codzienne raporty DMARC. Możesz użyć adresu takiego jak security@yourdomain.com lub dmarc@yourdomain.com. Raporty te pokazują, które adresy IP wysyłają w imieniu Twojej domeny, pomagając Ci wykryć wszystko, co nietypowe.

1: Wygeneruj rekord DMARC dla swojej domeny

Otwórz narzędzie DMARC Record Generator (możesz użyć dowolnego generatora DMARC, który wolisz) i wpisz nazwę swojej domeny w pasku wyszukiwania. Gdy to zrobisz, kliknij przycisk Check DMARC Record. Dostosuj ustawienia DMARC do swoich potrzeb i pobierz wygenerowany rekord.

2: Dodaj rekord DMARC do ustawień DNS

Przejdź do swojego dostawcy DNS. Utwórz nowy rekord, wybierając TXT jako typ rekordu hosta. DMARC używa formatu rekordu TXT, tak samo jak SPF.

Użyj hosta: _dmarcDodaj wartość, tę, którą wygenerowano wcześniej

Po dodaniu zapisz zmiany i poczekaj kilka minut na propagację. Możesz użyć narzędzi takich jak MX Lookup Tool lub innych bezpłatnych narzędzi, aby sprawdzić, czy rekord DMARC jest poprawnie skonfigurowany.

Możesz skorzystać z tego przewodnika, aby skonfigurować rekord DMARC dla swojej domeny w Spacemail.

Jak poprawnie skonfigurować pocztę e-mail

Jeśli Twoje wiadomości ciągle trafiają do spamu lub znikają w połowie drogi, przyczyną może być brak uwierzytelniania. SPF, DKIM i DMARC dają Twoim e-mailom poświadczenia, których potrzebują, aby bezpiecznie dotrzeć do skrzynki odbiorczej.

Gdy słyszysz wyjaśnienie SPF, DKIM i DMARC, może to brzmieć skomplikowanie, ale najlepsze jest to, że nie wymagają kosztownych narzędzi ani złożonych konfiguracji — tylko kilku rekordów DNS i odrobiny cierpliwości. To jedne z najprostszych protokołów poczty e-mail, które możesz dodać do swojego systemu pocztowego i które przynoszą korzyści za każdym razem, gdy Twoja wiadomość trafia dokładnie tam, gdzie powinna.

Najczęściej zadawane pytania

SPF weryfikuje, czy Twój e-mail jest wysyłany z zatwierdzonego serwera. Zabezpieczenia poczty e-mail DKIM działają poprzez podpisywanie każdej wiadomości kluczem cyfrowym, dzięki czemu odbiorca wie, że wiadomość nie została naruszona. DMARC łączy je razem, mówiąc serwerowi, co zrobić, jeśli coś wygląda podejrzanie. Razem sprawiają, że Twoje e-maile są zaufane, zweryfikowane i bezpieczne.

Patrząc na DMARC vs SPF i DKIM, najlepiej działają jako zespół. Uwierzytelnianie e-maili SPF i DKIM wykonuje kontrole, a DMARC decyduje, co się stanie, jeśli te kontrole zakończą się niepowodzeniem. Bez DMARC Twoje e-maile mogą nadal przechodzić, ale nie będziesz mieć kontroli nad tym, co się stanie, gdy tak nie będzie. Skonfiguruj wszystkie trzy raz, a zabezpieczysz się kompleksowo zarówno pod względem bezpieczeństwa, jak i dostarczalności.

Spoofing ma miejsce wtedy, gdy ktoś wysyła e-mail, podszywając się pod Ciebie. SPF sprawdza, skąd pochodzi wiadomość, DKIM potwierdza, że nie została zmieniona, a DMARC blokuje wszystko, co podejrzane.

Bez DMARC nie ma jasnej reguły określającej, jak serwery pocztowe mają obsługiwać podejrzane wiadomości. Oznacza to, że fałszywe e-maile mogą się przedostać albo Twoje prawdziwe mogą zostać oznaczone jako spam. DMARC to element, który egzekwuje zasady, a bez niego Twoja domena pozostaje bez ochrony.

Niekoniecznie, po prostu wykonują różne zadania. SPF sprawdza, kto wysyła e-mail, a DKIM sprawdza, czy został on zmieniony. Żaden z nich nie działa idealnie samodzielnie, ale razem tworzą silną pierwszą linię obrony.


Sugerowane artykuły

Podziel się swoimi przemyśleniami

Wymagane jest więcej niż 10 znaków.
Twoja tożsamość do publicznego wyświetlania.
Podanie adresu e-mail jest opcjonalne. Nie będzie on udostępniany osobom trzecim.

Pomóż nam ulepszyć nasz blog

Podziel się swoimi przemyśleniami w krótkiej, dwuminutowej ankiecie.

Wymagany jest prawidłowy adres e-mail