Doručitelnost e-mailů je pro dnešní byznys extrémně důležitá. B2B i B2C komunikace z velké části probíhá prostřednictvím e-mailů, které velice snadno spadnou do spamu nebo se ztratí. To může významně poškodit firemní byznys buďto úplnou nebo částečnou ztrátou obchodních příležitostí. Zároveň to působí nedůvěryhodně.
Ke zvýšení důvěryhodnosti a tedy i doručitelnosti e-mailů primárně slouží tři technologie. Níže se na ně podíváme ve větším detailu. Chybná konfigurace těchto technologií nebo úplná absence u vaší firemní domény může způsobit, že vámi odeslané e-maily nemusí být příjemci doručeny správně. Tyto záznamy také chrání vaši doménu před podvody, aby se někdo jiný nemohl vydávat za vás a odesílat e-maily pod vaší doménou a tedy vašim jménem.
SPF
SPF je zkratka pro Sender Policy Framework a zjednodušeně se jedná o TXT záznam u domény, který říká, jaké poštovní servery jsou oprávněné pro odesílání e-mailů z dané domény. Takový záznam například pro Office 365 může vypadat následovně.
v=spf1 include:spf.protection.outlook.com -allPrvní část záznamu určuje verzi a říká, že se jedná o SPF verze 1. Druhá část zahrnuje poštovní servery, které jsou oprávněné z dané domény odesílat poštu. V tomto případně je tady jedno doménového jméno spf.protection.outlook.com, za kterým se skrývají všechny servery v Office 365 (Exchange Online), které slouží pro odesílání pošty. Mohou zde být ale další poštovní servery, případně i konkrétní IP adresy. Poslední část záznamu -all říká, že vše ostatní je nedůvěryhodné a SPF kontrola má v takovém případě selhat.
DKIM
DKIM je zkratka pro DomainKeys Identified Mail a tato technologie slouží k podepisování hlaviček e-mailů. Poštovní server odesílající zprávy je nastavený tak, aby pomocí svého privátního klíče podepsal hlavičky všech e-mailů, které z něj odchází.
Poštovní server příjemce pak pomocí tohoto podpisu může snadno ověřit, že e-mail byl skutečně odeslaný ze serveru, který je určený pro odesílání pošty pro danou doménu. Aby poštovní server příjemce byl schopný ověřit platnost podpisu hlavičky e-mailu, jsou u domény přidané záznamy, které obsahují veřejnou část klíče, kterým je hlavička e-mailů podepsaná. Poštovní server příjemce tedy snadno a s jistotou ověří, že daný e-mail skutečně pochází ze serveru, který je určen k odesílání pošty. A také ověří, že s hlavičkou e-mailu nebylo po cestě nijak manipulováno.
Veřejný klíč je k doméně přidán pomocí CNAME záznamu (odkaz na adresu obsahující samotný veřejný klíč), což používá například Office 365. Nebo může být veřejný klíč přidán pomocí TXT záznamu, kdy daný TXT záznam přímo obsahuje daný veřejný klíč, což používá například Google Workspace.
Záznamy jsou z principu unikátní pro každou doménu, protože je potřeba tyto vlastní unikátní záznamy získat přímo od vašeho poskytovatele e-mailu. K doméně se pak DKIM záznam přidává ve formě subdomény určující jednotlivé selektory (klíče), kterých u jedné domény kvůli redundanci může být klidně víc. Subdoména má podobu selector1._domainkey, kde místo selector1 může být použitý libovolný název (musí být však shodný s tím, co určuje daný poštovní server) a _domainkey je pevně daná část záznamu říkající, že se jedná o veřejný klíč pro DKIM.
DMARC
DMARC je zkratka pro Domain-based Message Authentication, Reporting and Conformance a tento záznam slouží pro určení politik při vyhodnocování DKIM a SPF. Jinak řečeno, tento záznam sám o sobě nic nedělá, ale jen je v něm definované, jak se poštovní server příjemce má zachovat v případě, že by kontrola DKIM nebo SPF z libovolného důvodu selhala.
DMARC záznam je přidán jako záznam typu TXT na subdoméně _dmarc. Hodnota tohoto záznamu pak určuje danou politiku a může mít například následující podobu.
v=DMARC1; p=reject; pct=100
První část v=DMARC1 říká, že se jedná o záznam typu DMARC verze 1. Část p=reject určuje samotnou politiku, kde v tomto případě říkáme, že zprávy, u kterých selže kontrola SPF nebo DKIM, mají být poštovním serverem příjemce odmítnuty. Poslední část pct=100 říká, že daná DMARC politika se má aplikovat na 100 % e-mailů – to je standard a jiné hodnoty se používají například pro testování.
DMARC záznam může obsahovat i další parametry, například pro reporting apod. Výše uvedený příklad je ale takový základ, co byste u své domény rozhodně měli mít.
Shrnutí
SPF, DKIM a DMARC jsou technologie, které lze u domén obvykle snadno nakonfigurovat a tím významně zvýšit důvěryhodnost a tedy doručitelnost e-mailů. Bohužel většina především menších firem tyto technologie nasazené nemá, což pak způsobuje problémy s doručitelností e-mailů.
Google a Yahoo dokonce oznámili, že již v letošním roce začnou vynucovat DMARC záznamy u domén, které se používají k rozesílání hromadné pošty. Pokud tedy odesíláte například newslettery, možná se vás tato změna týká víc, než jste si dosud mysleli.
A co vy, máte u svých firemních domén správně nakonfigurované SPF, DKIM a DMARC záznamy? Pokud ne, ozvěte se nám a rádi vám s tím pomůžeme!
Vaše CYBEREE | Stay Safe
