Pojmy

Vše, co potřebujete vědět o SPF, DKIM a DMARC záznamech

HTTPS

HTTPS je zabezpečené šifrované připojení mezi prohlížečem a webem. Chrání přihlašování, formuláře i platební údaje a zabraňuje čtení nebo úpravám dat po cestě.

Více informací

SPF – Sender Policy Framework

Co je SPF?

SPF (Sender Policy Framework) je metoda e-mailové autentizace, která vlastníkům domény umožňuje určit, které servery smějí odesílat e-maily jménem jejich domény. SPF záznam se publikuje v DNS jako TXT záznam.

Jak SPF funguje?

  1. Když e-mailový nameserver přijme zprávu, ověří v DNS SPF záznam odesílatele
  2. Porovná IP adresu odesílajícího nameserveru se seznamem povolených IP adres ve SPF záznamu
  3. Na základě tohoto porovnání rozhodne, zda e-mail přijmout, odmítnout nebo označit jako podezřelý
Ukázkový SPF záznam:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:192.168.1.10 ~all

Vysvětlení::

  • v=spf1 - Verze protokolu SPF
  • include:_spf.google.com - povolí servery Google Workspace
  • include:spf.protection.outlook.com - Povolí servery Microsoft 365
  • ip4:192.168.1.10 - Povolí konkrétní IP adresu
  • ~all - softfail pro ostatní servery
Přínosy SPF::
  • Chrání před spoofingem domény
  • Zlepšuje doručitelnost e-mailů
  • Snižuje pravděpodobnost, že vaše e-maily skončí ve spamu
  • Pomáhá chránit reputaci vaší domény

DKIM – DomainKeys Identified Mail

Co je DKIM?

DKIM (DomainKeys Identified Mail) je metoda digitálního podepisování e-mailů, která příjemci umožňuje ověřit, že zpráva skutečně pochází z domény uvedené jako odesílatel a že nebyla při přenosu změněna.

Jak DKIM funguje?

  1. Odesílající nameserver vytvoří z obsahu e-mailu kryptografický hash
  2. Hash se podepisuje soukromým klíčem domény
  3. Podpis se přidá do hlavičky e-mailu jako DKIM-Signature
  4. Přijímající nameserver získá veřejný klíč z DNS a ověří podpis
Ukázková DKIM hlavička:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=selector1;
  h=from:to:subject:date;
  bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
  b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ...
Ukázkový DKIM záznam v DNS:
selector1._domainkey.example.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

Vysvětlení::

  • v=DKIM1 - Verze protokolu DKIM
  • k=rsa - Typ kryptografického algoritmu
  • p=... - Veřejný klíč v kódování Base64
Přínosy DKIM::
  • Zajišťuje integritu e-mailů
  • Potvrzuje autenticitu odesílatele
  • Zvyšuje důvěryhodnost u e-mailových poskytovatelů
  • Pomáhá bojovat proti phishingu a spamu

DMARC – Domain-based Message Authentication

Co je DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) je protokol e-mailové autentizace, který kombinuje SPF a DKIM. Umožňuje vlastníkům domény určit politiku pro zacházení s e-maily, které autentizací neprojdou.

Jak DMARC funguje?

  1. Přijímající nameserver ověří SPF a DKIM záznamy
  2. Zkontroluje DMARC politiku dané domény
  3. Uplatní zvolenou akci (none, quarantine, reject)
  4. Volitelně odesílá reporty o výsledcích na zadanou e-mailovou adresu
Ukázkový DMARC záznam:
_dmarc.example.com TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-failures@example.com; sp=reject; adkim=r; aspf=r"

Vysvětlení::

  • v=DMARC1 - Verze protokolu DMARC
  • p=quarantine - politika pro doménu (quarantine = karanténa)
  • rua=mailto:dmarc@example.com - adresa pro souhrnné reporty
  • ruf=mailto:dmarc-failures@example.com - adresa pro detailní reporty selhání
  • sp=reject - politika pro subdomény
  • adkim=r - Zarovnání DKIM v režimu relaxed
  • aspf=r - Zarovnání SPF v režimu relaxed
Politiky DMARC::
  • none - pouze monitorování
  • quarantine - karanténa (spam)
  • reject - Odmítnutí e-mailu
Přínosy DMARC::
  • Poskytuje přehled o používání domény
  • Umožňuje postupné zpřísňování politiky
  • Chrání před phishingem a spoofingem
  • Zvyšuje celkovou bezpečnost e-mailové komunikace

Jak nastavit svou doménu

Průvodce implementací krok za krokem

1SPF
  1. Identifikujte všechny servery, které odesílají e-maily za vaši doménu
  2. Vytvořte SPF záznam v DNS
  3. Začněte s politikou ~all
  4. Testujte a postupně zpřísněte na -all
2DKIM
  1. Vygenerujte pár klíčů (privátní/veřejný)
  2. Nakonfigurujte e-mailový nameserver
  3. Zveřejněte veřejný klíč v DNS
  4. Otestujte podepisování e-mailů
3DMARC
  1. Začněte s politikou p=none
  2. Nastavte adresu pro zasílání reportů
  3. Analyzujte přijaté reporty
  4. Politiku zpřísňujte postupně
Důležité tipy:
  • Postupný přístup:} Nasazujte změny vždy postupně a testujte
  • Monitoring:} Než politiku zpřísníte, sledujte zasílané reporty
  • Testování:} Před nasazením využijte testovací nástroje
  • Záloha:} Vždy si vytvořte zálohu původních DNS záznamů
  • Dokumentace:} Veďte si záznamy o veškerých změnách
Zpět na kontrolu domény