Nesnášíte spam? Zaklínám tě SPF a DKIM

Možná jste se také stali někdy obětí spammerů. Zneužili vaši e-mailovou adresu, pomocí které byly rozeslány milióny podvodných e-mailů (spamu). Přečtěte si, jak jednoduše proti takovému zneužití bránit. Zabezpečte své e-maily proti zneužití ještě dnes. Zítra může být pozdě.

Zvyšte doručitelnost zpravodajů svým zákazníkům s e-maily u Seznamu. Seznam.cz se totiž od 1. 4. 2015 rozhodl hromadné e-maily (např. zpravodaje, newslettery, automatické e-maily) nepodepsané pomocí DKIM nemilosrdně označovat jako spam.

Poslat podvodný e-mail je hračka

Poslat podvodný e-mail jako cokoliv@cokoliv.cz zvládne každý i podprůměrný programátor. A to během několik málo minut. Jste zděšeni? A co teprve takový zkušený spammer. Následky na sebe nenechají dlouho čekat. Budete muset řešit problémy typu:

  • Proč mé e-maily padají do spamu?
  • Proč mé e-maily nedorazí k zákazníkům?
  • Proč je poštovní server na blacklistu?
  • V extrémních případech můžete být předvoláni k vysvětlení na Policii, nebo dokonce čelit žalobě!

Autorizace je skvělá obrana

Nezveřejňovat nebo různě kódovat e-mail na internetu je neúčinné a krátkozraké. Máme pro vás ale dobrou zprávu. K rozeslání jakéhokoliv e-mailu i toho podvodného je potřeba vždy takzvaný poštovní server (SMTP server). A ten se dá zabezpečit a označit jako „autorizovaný“.

Co to znamená? Tímto označením „autorizovaný“ dáváte celému světu veřejně vědět, že existuje seznam poštovních serverů, které mohou posílat e-maily za vaši doménu. V kombinaci s takzvaným „podepisováním*“ e-mailu je to velmi účinná obrana proti zneužití.

*Spammer sice může přečíst vaši zprávu „letící internetem“, ale nemůže ji nijak pozměnit ani podvrhnout.

 Magické zkratky SPF a DKIM

Jedna z velmi účinných a jednoduchých ochran, která se stává standardem, je ochrana na úrovni domény. Nasazením takzvaných SPF a DKIM do DNS záznamů.

 Co to je to „SPF”?

DNS záznam SPF (z angl. Sender Policy Framework) je jednoduchá textová řádka v DNS záznamech u domény. Ta zjednodušeně říká, jaké poštovní (SMTP) servery jsou „autorizovány“ posílat e-maily za vaši doménu. Doporučujeme, abyste tento SPF záznam měli zaveden vždy.

Příchozí poštovní servery tento veřejný záznam vidí a čtou. Podle toho mají možnost zkontrolovat, zda je daný e-mail odeslaný z autorizovaného serveru nebo ne. Vtip je v tom, že spammer sice umí poslat podvodný e-mail, ale nemůže už měnit DNS záznamy k doméně. Přirovnal bych to trochu k potvrzovací SMS při platbě v internetovém bankovnictví. Útočník musí nejen získat přístup k vašemu internetovému bankovnictví, ale také k vašemu telefonu.

Zvládnu SPF nastavit jako laik sám? Nastavení těchto DNS záznamů doporučujeme ponechat odborníkům. Neodborným zásahem můžete znefunkčnit své e-maily. Doporučujeme proto kontaktovat správce hostingu nebo správce poštovního serveru.

Jak poznám, že mám SPF již nastaven? Existují nástroje zdarma pro zjištění DNS záznamů. Stačí zadat jen svou doménu. Např.:

  1. http://mxtoolbox.com/domain/ - kontroluje nejen SPF, ale i spoustu dalších věcí.
  2. http://www.dnswatch.info/dns/dnslookup

Stačí pak hledat TXT DNS záznam obsahující text: spf. Pokud jej naleznete, pravděpodobně jste v bezpečí.

 blog-spf

Tech.informace: Všimněte si, že SPF záznam je v DNS záznamech vždy jen jeden, ale obsahuje více poštovních serverů. Např. Google, Forpsi, Mandrill apod.

 Co to je to „DKIM”?

DNS záznam DKIM (DomainKeys Identified Mail) na rozdíl od SPF záznamu je doplňková ochrana. Je to takový „digitální podpis zprávy“. Zaručuje, že zaslaný e-mail během cesty někdo nepozmění nebo nevymění. Doporučujeme jej použít v kombinaci se SPF. Použití samotné ochrany DKIM bez SPF nemá smysl.

Jak funguje podepisování e-mailu?

  1. Odesílání e-mailu: Servery odchozí pošty podepisují všechny odesílané e-maily takzvaným privátním klíčem. Ten nikde není vidět a nikam se neposílá. V hlavičce každého e-mailu je pak připojena informace o veřejném klíči, který je v DNS záznamech vaší domény. Dá se přeložit jako: „Koukni do DNS záznamů té a té domény na ten a ten DKIM DNS záznam, tam máš veřejný klíč“.
  2. Příjem e-mailu: Pomocí veřejného klíče se pak provede kontrola, zda nedošlo k pozměnění e-mailu. O tom, jak se s výsledkem naloží, rozhoduje server příchozí pošty. Např. Seznam.cz se od 1. 4. 2015 rozhodl hromadné e-maily (např. zpravodaje, newslettery, automatické e-maily) nepodepsané pomocí DKIM nemilosrdně označovat jako spam.

Jak poznám, že mám DKIM implementován? Ověřit to lze v hlavičce e-mailu viz google nápověda (angl.).

Tech. informace: Na rozdíl od SPF záznamu může být v DNS záznamech jeden i více DKIM záznamů. Pro každý poštovní SMTP server jeden. Servery příchozí pošty se o DKIM záznamu dozvědí, jen pokud je v hlavičce e-mailu. O ostatních DKIM záznamech pro jiné servery vůbec neví a nedokáže si je zjistit.

Aby bylo možné odesílané e-maily na SMTP serveru podepisovat pomocí DKIM, nestačí pouze přidat příslušný DKIM DNS záznam. Je třeba provést úpravy na příslušném SMTP serveru.

Zvládnu DKIM nastavit jako laik sám? Nastavení DKIM záznamů doporučujeme ponechat odborníkům. Neodborným zásahem opět můžete znefunkčnit své e-maily.

Další nástroje na kontrolu SPF a DKIM

http://www.port25.com/support/authentication-center/email-verification/

Závěrem

4 hlavní výhody ochrany pomocí SPF a DKIM

  1. Distancujete se od podivných, cizích a nezabezpečených e-mailů zaslaných vašim klientům.
  2. Při použití SPF ochrany je vysoká pravděpodobnost, že podvodný e-mail poslaný jménem vaší domény nebude vůbec doručen nebo označen jako SPAM.
  3. Máte pod kontrolou seznam povolených poštovních serverů, které mohou posílat e-maily jménem vaší domény.
  4. Při použití DKIM nikdo nemůže manipulovat s obsahem vámi zaslaného e-mailu.

Podívejte se do DNS záznamů své domény nebo požádejte svého správce webu, e-shopu resp. poskytovatele hostingu, zda máte již nastaveno SPF a DKIM. Trvejte na jejich zavedení a zabezpečte svůj e-mail ještě dnes. Neposílejte e-maily (např. z e- shopu nebo formulářů na webu) v zastoupení vašich zákazníků. Nikdy nevíte, zda druhá strana nepoužívá SPF a DKIM stejně jako vy. Takto zaslaný e-mail nemusí být doručen.

Štítky:

 


Vaši adresu nikomu nedáme. Nebudeme vás spamovat. Obvyklá dávka 1× za měsíc.

Diskuse k článku

Počet příspěvků: 2, poslední přidán 12.01.2017 16:16

petan
12.01.2017 16:16
Jak si zkontrolovat správnost nastavení SPF záznamu? např. http://mxtoolbox.com/SuperTool.aspx napsat: spf:antstudio.cz
Petan
29.04.2016 12:45
Osobně doporučuji podívat se na video z Plzeňského Barcampu 2016 (od Jakuba Boučka) na téma: E-maily technicky - aby vaše zprávy došly do cíle - https://www.youtube.com/watch?v=Durk-mTOzQw toto téma je tam pěkně rozvedeno.

Přidat příspěvek:

Naše práce je o plánování, spolehlivosti a výsledcích!

Pojďme se setkat,

ukážeme vám, jak díky nám budete na internetu úspěšnější!

Naše práce je o plánování,...