Vše, co potřebujete vědět o SPF, DKIM a DMARC záznamech
Shoda domény v hlavičce From s doménou ověřenou přes SPF nebo DKIM. DMARC vyžaduje alignment alespoň u jednoho z těchto protokolů, aby e-mail prošel ověřením.
ARC (Authenticated Received Chain) je protokol, který zachovává výsledky e-mailové autentizace (SPF, DKIM, DMARC) při přeposílání zpráv. Řeší problém, kdy přeposílání způsobí selhání SPF nebo DKIM kontroly, protože přeposílající server není v původním SPF záznamu.
Typ podvodu, při kterém útočník zneužije nebo napodobí firemní e-mailovou adresu k vylákání platby, přístupu nebo citlivých údajů. Často využívá e-mailový spoofing nebo kompromitovaný účet.
BIMI (Brand Indicators for Message Identification) je standard, který umožňuje zobrazit logo odesílatele přímo v e-mailovém klientu příjemce. Vyžaduje funkční DMARC s politikou quarantine nebo reject a certifikované logo (VMC certifikát).
Seznam IP adres nebo domén, které byly identifikovány jako zdroj spamu nebo škodlivé aktivity. Provozují je antispamové organizace (Spamhaus, Barracuda, SORBS). Zařazení na blacklist výrazně snižuje doručitelnost e-mailů.
Nedoručení e-mailu, které se vrátí odesílateli. Hard bounce znamená trvalé selhání (neexistující adresa), soft bounce dočasné (plná schránka, dočasná nedostupnost serveru).
DNS záznam typu Canonical Name, který mapuje jeden doménový název na jiný. V kontextu e-mailové autentizace se CNAME záznamy používají pro DKIM v Microsoft 365, kde odkazují na veřejné klíče hostované Microsoftem.
DKIM (DomainKeys Identified Mail) je metoda digitálního podepisování e-mailů, která příjemci umožňuje ověřit, že zpráva skutečně pochází z domény uvedené jako odesílatel a že nebyla při přenosu změněna.
Vysvětlení:
v=DKIM1 - Verze protokolu DKIMk=rsa - Typ kryptografického algoritmup=... - Veřejný klíč v kódování Base64DMARC reporty jsou automatické zprávy, které přijímající mailové servery zasílají vlastníkovi domény. Agregované reporty (rua) shrnují výsledky autentizace za dané období. Forensic reporty (ruf) poskytují detail o jednotlivých selháních. Reporty slouží ke sledování, kdo odesílá e-maily z vaší domény.
DMARC (Domain-based Message Authentication, Reporting and Conformance) je protokol e-mailové autentizace, který kombinuje SPF a DKIM. Umožňuje vlastníkům domény určit politiku pro zacházení s e-maily, které autentizací neprojdou.
Vysvětlení:
v=DMARC1 - Verze protokolu DMARCp=quarantine - politika pro doménu (quarantine = karanténa)rua=mailto:dmarc@example.com - adresa pro souhrnné reportyruf=mailto:dmarc-failures@example.com - adresa pro detailní reporty selhánísp=reject - politika pro subdoményadkim=r - Zarovnání DKIM v režimu relaxedaspf=r - Zarovnání SPF v režimu relaxedDNS (Domain Name System) je hierarchický systém, který překládá doménová jména (např. firma.cz) na IP adresy serverů. Pro e-mailovou autentizaci je klíčový, protože záznamy SPF, DKIM a DMARC se publikují jako TXT záznamy v DNS.
Míra, ve které e-maily skutečně dorazí do schránky příjemce (nikoli do spamu nebo k odmítnutí). Ovlivňují ji autentizace (SPF, DKIM, DMARC), reputace odesílatele, obsah zprávy a chování příjemců.
E-mailový spoofing je technika, při které útočník padělá adresu odesílatele v e-mailu tak, aby zpráva vypadala, že pochází z důvěryhodné domény. Protokoly SPF, DKIM a DMARC slouží právě k ochraně proti spoofingu.
Envelope sender (také MAIL FROM nebo Return-Path) je adresa odesílatele uvedená v SMTP obálce e-mailu. Liší se od adresy v hlavičce From, kterou vidí příjemce. SPF ověřuje právě tuto obálkovou adresu, nikoli hlavičku From.
Hlavička From je pole v e-mailové zprávě, které obsahuje adresu odesílatele viditelnou příjemci v jeho e-mailovém klientu. Na rozdíl od envelope senderu (MAIL FROM) je snadno padělatelná. DMARC zajišťuje, že adresa v hlavičce From odpovídá doméně ověřené pomocí SPF nebo DKIM.
HTTPS je zabezpečené šifrované připojení mezi prohlížečem a webem. Chrání přihlašování, formuláře i platební údaje a zabraňuje čtení nebo úpravám dat po cestě.
Více informacíPostupné navyšování objemu odesílaných e-mailů z nové IP adresy, aby si vybudovala pozitivní reputaci u mailových providerů. Začíná se s malým objemem nejaktivnějším příjemcům a objem se postupně zvyšuje během 4–8 týdnů.
MX záznam (Mail Exchanger) je DNS záznam, který určuje, které mailové servery přijímají e-maily pro danou doménu. V SPF záznamu mechanismus mx povolí odesílání z IP adres těchto serverů.
PermError (Permanent Error) je trvalá chyba při vyhodnocování SPF záznamu. Nejčastější příčiny jsou více SPF záznamů na jedné doméně, syntaktická chyba v záznamu nebo překročení limitu 10 DNS lookupů. Při PermError SPF kontrola selže.
Phishing je podvodná technika, při které se útočník vydává za důvěryhodnou osobu nebo organizaci a snaží se od oběti vylákat citlivé údaje (hesla, čísla karet apod.). E-mailový spoofing je jedním z hlavních nástrojů phishingových útoků.
Skóre přidělené e-mailovým providerům na základě historie odesílání z dané domény nebo IP adresy. Nízká reputace způsobuje řazení e-mailů do spamu. Ovlivňují ji míra stížností, bounce rate, objem odesílání a autentizace.
E-mailová adresa provozovaná antispamovými organizacemi nebo poskytovateli e-mailových služeb, která slouží k identifikaci odesílatelů spamu. Existují dva typy: pristine trap (nikdy nepatřila reálnému uživateli) a recycled trap (recyklovaná z neaktivního účtu).
Technika optimalizace SPF záznamu, která nahrazuje vnořené include mechanismy přímo IP adresami (ip4/ip6). Snižuje počet DNS dotazů potřebných k vyhodnocení záznamu a pomáhá dodržet limit 10 DNS lookupů definovaný v RFC 7208. Vyžaduje automatizaci, protože IP adresy služeb se mohou měnit.
SPF (Sender Policy Framework) je metoda e-mailové autentizace, která vlastníkům domény umožňuje určit, které servery smějí odesílat e-maily jménem jejich domény. SPF záznam se publikuje v DNS jako TXT záznam.
Vysvětlení:
v=spf1 - Verze protokolu SPFinclude:_spf.google.com - povolí servery Google Workspaceinclude:spf.protection.outlook.com - Povolí servery Microsoft 365ip4:192.168.1.10 - Povolí konkrétní IP adresu~all - softfail pro ostatní serveryTXT záznam je typ DNS záznamu určený k uložení libovolného textu. V kontextu e-mailové autentizace se používá pro publikaci SPF pravidel, DKIM veřejných klíčů a DMARC politik.