Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.

Slovník pojmů

Vše, co potřebujete vědět o SPF, DKIM a DMARC záznamech

Alignment (zarovnání)

Shoda domény v hlavičce From s doménou ověřenou přes SPF nebo DKIM. DMARC vyžaduje alignment alespoň u jednoho z těchto protokolů, aby e-mail prošel ověřením.

ARC – Authenticated Received Chain

ARC (Authenticated Received Chain) je protokol, který zachovává výsledky e-mailové autentizace (SPF, DKIM, DMARC) při přeposílání zpráv. Řeší problém, kdy přeposílání způsobí selhání SPF nebo DKIM kontroly, protože přeposílající server není v původním SPF záznamu.

BEC (Business Email Compromise)

Typ podvodu, při kterém útočník zneužije nebo napodobí firemní e-mailovou adresu k vylákání platby, přístupu nebo citlivých údajů. Často využívá e-mailový spoofing nebo kompromitovaný účet.

BIMI – Brand Indicators for Message Identification

BIMI (Brand Indicators for Message Identification) je standard, který umožňuje zobrazit logo odesílatele přímo v e-mailovém klientu příjemce. Vyžaduje funkční DMARC s politikou quarantine nebo reject a certifikované logo (VMC certifikát).

Blacklist

Seznam IP adres nebo domén, které byly identifikovány jako zdroj spamu nebo škodlivé aktivity. Provozují je antispamové organizace (Spamhaus, Barracuda, SORBS). Zařazení na blacklist výrazně snižuje doručitelnost e-mailů.

Bounce

Nedoručení e-mailu, které se vrátí odesílateli. Hard bounce znamená trvalé selhání (neexistující adresa), soft bounce dočasné (plná schránka, dočasná nedostupnost serveru).

CAA

DNS záznam typu CAA (Certification Authority Authorization) určuje, které certifikační autority smějí vydávat TLS certifikáty pro danou doménu. Definuje ho RFC 8659.

CNAME záznam

DNS záznam typu Canonical Name, který mapuje jeden doménový název na jiný. V kontextu e-mailové autentizace se CNAME záznamy používají pro DKIM v Microsoft 365, kde odkazují na veřejné klíče hostované Microsoftem.

DANE

DANE (DNS-based Authentication of Named Entities) je mechanismus definovaný v RFC 6698, který využívá DNSSEC k publikování informací o TLS certifikátech přímo v DNS záznamech (TLSA záznamy).

DKIM – DomainKeys Identified Mail

Co je DKIM?

DKIM (DomainKeys Identified Mail) je metoda digitálního podepisování e-mailů, která příjemci umožňuje ověřit, že zpráva skutečně pochází z domény uvedené jako odesílatel a že nebyla při přenosu změněna.

Jak DKIM funguje?

  1. Odesílající server vytvoří z obsahu e-mailu kryptografický hash
  2. Hash se podepisuje soukromým klíčem domény
  3. Podpis se přidá do hlavičky e-mailu jako DKIM-Signature
  4. Přijímající server získá veřejný klíč z DNS a ověří podpis
Ukázková DKIM hlavička:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=selector1;
  h=from:to:subject:date;
  bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
  b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ...
Ukázkový DKIM záznam v DNS:
selector1._domainkey.example.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

Vysvětlení:

  • v=DKIM1 - Verze protokolu DKIM
  • k=rsa - Typ kryptografického algoritmu
  • p=... - Veřejný klíč v kódování Base64
Přínosy DKIM:
  • Zajišťuje integritu e-mailů
  • Potvrzuje autenticitu odesílatele
  • Zvyšuje důvěryhodnost u e-mailových poskytovatelů
  • Pomáhá bojovat proti phishingu a spamu

DMARC reporty

DMARC reporty jsou automatické zprávy, které přijímající mailové servery zasílají vlastníkovi domény. Agregované reporty (rua) shrnují výsledky autentizace za dané období. Forensic reporty (ruf) poskytují detail o jednotlivých selháních. Reporty slouží ke sledování, kdo odesílá e-maily z vaší domény.

DMARC – Domain-based Message Authentication

Co je DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) je protokol e-mailové autentizace, který kombinuje SPF a DKIM. Umožňuje vlastníkům domény určit politiku pro zacházení s e-maily, které autentizací neprojdou.

Jak DMARC funguje?

  1. Přijímající server ověří SPF a DKIM záznamy
  2. Zkontroluje DMARC politiku dané domény
  3. Uplatní zvolenou akci (none, quarantine, reject)
  4. Volitelně odesílá reporty o výsledcích na zadanou e-mailovou adresu
Ukázkový DMARC záznam:
_dmarc.example.com TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-failures@example.com; sp=reject; adkim=r; aspf=r"

Vysvětlení:

  • v=DMARC1 - Verze protokolu DMARC
  • p=quarantine - politika pro doménu (quarantine = karanténa)
  • rua=mailto:dmarc@example.com - adresa pro souhrnné reporty
  • ruf=mailto:dmarc-failures@example.com - adresa pro detailní reporty selhání
  • sp=reject - politika pro subdomény
  • adkim=r - Zarovnání DKIM v režimu relaxed
  • aspf=r - Zarovnání SPF v režimu relaxed
Politiky DMARC:
  • none - pouze monitorování
  • quarantine - karanténa (spam)
  • reject - Odmítnutí e-mailu
Přínosy DMARC:
  • Poskytuje přehled o používání domény
  • Umožňuje postupné zpřísňování politiky
  • Chrání před phishingem a spoofingem
  • Zvyšuje celkovou bezpečnost e-mailové komunikace

DNS – Domain Name System

Co je DNS?

DNS (Domain Name System) je hierarchický systém, který překládá doménová jména (např. firma.cz) na IP adresy serverů. Pro e-mailovou autentizaci je klíčový, protože záznamy SPF, DKIM a DMARC se publikují jako TXT záznamy v DNS.

Důležité DNS záznamy pro e-mail

  • MX — určuje servery přijímající e-maily pro doménu
  • TXT — obsahuje SPF, DKIM a DMARC záznamy
  • CNAME — alias na jiný doménový název, používá se např. pro delegaci DKIM klíčů

DNSSEC

DNSSEC (Domain Name System Security Extensions) je sada rozšíření DNS, která umožňuje kryptograficky ověřit pravost a integritu DNS odpovědí a chránit před jejich podvržením.

Doručitelnost e-mailů

Míra, ve které e-maily skutečně dorazí do schránky příjemce (nikoli do spamu nebo k odmítnutí). Ovlivňují ji autentizace (SPF, DKIM, DMARC), reputace odesílatele, obsah zprávy a chování příjemců.

E-mailový spoofing

E-mailový spoofing je technika, při které útočník padělá adresu odesílatele v e-mailu tak, aby zpráva vypadala, že pochází z důvěryhodné domény. Protokoly SPF, DKIM a DMARC slouží právě k ochraně proti spoofingu.

Envelope sender (MAIL FROM)

Envelope sender (také MAIL FROM nebo Return-Path) je adresa odesílatele uvedená v SMTP obálce e-mailu. Liší se od adresy v hlavičce From, kterou vidí příjemce. SPF ověřuje právě tuto obálkovou adresu, nikoli hlavičku From.

Hlavička From

Hlavička From je pole v e-mailové zprávě, které obsahuje adresu odesílatele viditelnou příjemci v jeho e-mailovém klientu. Na rozdíl od envelope senderu (MAIL FROM) je snadno padělatelná. DMARC zajišťuje, že adresa v hlavičce From odpovídá doméně ověřené pomocí SPF nebo DKIM.

HTTPS

HTTPS je zabezpečené šifrované připojení mezi prohlížečem a webem. Chrání přihlašování, formuláře i platební údaje a zabraňuje čtení nebo úpravám dat po cestě.

Více informací

IP warmup

Postupné navyšování objemu odesílaných e-mailů z nové IP adresy, aby si vybudovala pozitivní reputaci u mailových providerů. Začíná se s malým objemem nejaktivnějším příjemcům a objem se postupně zvyšuje během 4–8 týdnů.

Jak nastavit svou doménu

Průvodce implementací krok za krokem

1SPF
  1. Identifikujte všechny servery, které odesílají e-maily za vaši doménu
  2. Vytvořte SPF záznam v DNS
  3. Začněte s politikou ~all
  4. Testujte a postupně zpřísněte na -all
2DKIM
  1. Vygenerujte pár klíčů (privátní/veřejný)
  2. Nakonfigurujte e-mailový server
  3. Zveřejněte veřejný klíč v DNS
  4. Otestujte podepisování e-mailů
3DMARC
  1. Začněte s politikou p=none
  2. Nastavte adresu pro zasílání reportů
  3. Analyzujte přijaté reporty
  4. Politiku zpřísňujte postupně
Důležité tipy:
  • Postupný přístup: Nasazujte změny vždy postupně a testujte
  • Monitoring: Než politiku zpřísníte, sledujte zasílané reporty
  • Testování: Před nasazením využijte testovací nástroje
  • Záloha: Vždy si vytvořte zálohu původních DNS záznamů
  • Dokumentace: Veďte si záznamy o veškerých změnách
Zpět na kontrolu domény

MTA-STS

MTA-STS (Mail Transfer Agent Strict Transport Security) je mechanismus definovaný v RFC 8461, který umožňuje doméně vyžadovat šifrované TLS spojení pro příchozí e-maily a zabránit útokům typu STARTTLS downgrade.

MX záznam

MX záznam (Mail Exchanger) je DNS záznam, který určuje, které mailové servery přijímají e-maily pro danou doménu. V SPF záznamu mechanismus mx povolí odesílání z IP adres těchto serverů.

NIS2

Směrnice Evropské unie (EU 2022/2555) o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti. Stanovuje povinná bezpečnostní opatření a hlášení incidentů pro základní a důležité subjekty v EU.

PermError

PermError (Permanent Error) je trvalá chyba při vyhodnocování SPF záznamu. Nejčastější příčiny jsou více SPF záznamů na jedné doméně, syntaktická chyba v záznamu nebo překročení limitu 10 DNS lookupů. Při PermError SPF kontrola selže.

Phishing

Phishing je podvodná technika, při které se útočník vydává za důvěryhodnou osobu nebo organizaci a snaží se od oběti vylákat citlivé údaje (hesla, čísla karet apod.). E-mailový spoofing je jedním z hlavních nástrojů phishingových útoků.

Reputace odesílatele

Skóre přidělené e-mailovým providerům na základě historie odesílání z dané domény nebo IP adresy. Nízká reputace způsobuje řazení e-mailů do spamu. Ovlivňují ji míra stížností, bounce rate, objem odesílání a autentizace.

Spam trap

E-mailová adresa provozovaná antispamovými organizacemi nebo poskytovateli e-mailových služeb, která slouží k identifikaci odesílatelů spamu. Existují dva typy: pristine trap (nikdy nepatřila reálnému uživateli) a recycled trap (recyklovaná z neaktivního účtu).

SPF Flattening

Technika optimalizace SPF záznamu, která nahrazuje vnořené include mechanismy přímo IP adresami (ip4/ip6). Snižuje počet DNS dotazů potřebných k vyhodnocení záznamu a pomáhá dodržet limit 10 DNS lookupů definovaný v RFC 7208. Vyžaduje automatizaci, protože IP adresy služeb se mohou měnit.

SPF – Sender Policy Framework

Co je SPF?

SPF (Sender Policy Framework) je metoda e-mailové autentizace, která vlastníkům domény umožňuje určit, které servery smějí odesílat e-maily jménem jejich domény. SPF záznam se publikuje v DNS jako TXT záznam.

Jak SPF funguje?

  1. Když e-mailový server přijme zprávu, ověří v DNS SPF záznam odesílatele
  2. Porovná IP adresu odesílajícího serveru se seznamem povolených IP adres ve SPF záznamu
  3. Na základě tohoto porovnání rozhodne, zda e-mail přijmout, odmítnout nebo označit jako podezřelý
Ukázkový SPF záznam:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:192.168.1.10 ~all

Vysvětlení:

  • v=spf1 - Verze protokolu SPF
  • include:_spf.google.com - povolí servery Google Workspace
  • include:spf.protection.outlook.com - Povolí servery Microsoft 365
  • ip4:192.168.1.10 - Povolí konkrétní IP adresu
  • ~all - softfail pro ostatní servery
Přínosy SPF:
  • Chrání před spoofingem domény
  • Zlepšuje doručitelnost e-mailů
  • Snižuje pravděpodobnost, že vaše e-maily skončí ve spamu
  • Pomáhá chránit reputaci vaší domény

SRS – Sender Rewriting Scheme

Sender Rewriting Scheme (SRS) je technika přepisování adresy obálkového odesílatele (envelope sender) při přeposílání e-mailů, aby přeposlaná zpráva prošla SPF kontrolou na cílovém serveru.

STARTTLS

STARTTLS je rozšíření SMTP protokolu, které umožňuje přepnout nešifrované spojení na šifrované pomocí TLS. Na rozdíl od implicitního TLS začíná komunikace jako nešifrovaná a teprve poté se přepne.

TLS

TLS (Transport Layer Security) je kryptografický protokol zajišťující šifrovanou komunikaci mezi dvěma stranami. V kontextu e-mailu chrání přenos zpráv mezi poštovními servery před odposlechem.

TLS-RPT

TLS-RPT (SMTP TLS Reporting) je mechanismus definovaný v RFC 8460, který umožňuje doméně přijímat reporty o úspěšných a neúspěšných TLS spojeních při doručování e-mailů.

TLSA záznam

DNS záznam typu TLSA (Transport Layer Security Authentication) obsahuje otisk TLS certifikátu nebo veřejného klíče serveru. Používá se v rámci mechanismu DANE (RFC 6698) k ověření, že server předkládá správný certifikát.

TXT záznam

TXT záznam je typ DNS záznamu určený k uložení libovolného textu. V kontextu e-mailové autentizace se používá pro publikaci SPF pravidel, DKIM veřejných klíčů a DMARC politik.