E-maily – SPF, DKIM a DMARC

  E-maily

V tomto článku se dozvíte:

SPF, DKIM a DMARC

SPF, DKIM a DMARC jsou opatření proti podvodným e-mailům. Pokud je nepoužíváte, nebo je nemáte správně nastavené, zvyšujete šanci, že systém příjemce označí Vaši zprávu jako spam, nebo Váš e-mail odmítne a vrátí jako nedoručitelný.

  • SPF (Sender Policy Framework) je e-mailový ověřovací systém, který umožňuje vlastníkům domén prostřednictvím speciálního DNS záznamy určit, které servery smějí odesílat e-maily jménem jejich domény. Příjemci mohou pak SPF záznamy ověřit a rozhodnout, zda e-mail přijmout, odmítnout, nebo jinak zpracovat.
  • DKIM (DomainKeys Identified Mail) je metoda, která umožňuje organizaci odpovědné za odesílání e-mailu připojit ke zprávě digitální podpis. Příjemci mohou tento podpis ověřit a potvrdit tak, že e-mail nebyl po odeslání změněn a že pochází z legitimního zdroje.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) je e-mailová ověřovací politika a reportovací protokol, který pomáhá ochránit e-mailové domény před zneužitím, jako je phishing a spoofing. DMARC využívá SPF a DKIM pro ověření, že odesílané e-maily jsou legitimní, a definuje, jak má příjemce naložit s e-maily, které ověřením neprojdou. Nastavuje se prostřednictvím speciálního DNS záznamu.

Nastavení e-mailových ověřovacích mechanismů

K zajištění maximální doručitelnosti Vaší pošty nastavte všechny zmíněné ochranné mechanismy. Kdykoliv poskytovatele měníte, nebo přidáváte (například kromě naší pošty používáte ještě službu pro rozesílání hromadných e-mailů), ujistěte se, že správně integrujete zejména SPF podle manuálu tohoto poskytovatele.

Nastavení SPF záznamu

SPF záznam specifikuje servery oprávněné posílat poštu jménem domény nebo subdomény, u které je nastavený. Podrobný návod na nastavení DNS záznamů najdete v článku DNS – Nastavení záznamů domény.

Doméně nenastavujte více než 1 SPF záznam. Uvedením více záznamů zrušíte SPF ověření.

Používáte-li k odesílání e-mailů výhradně služby WEDOS (Webhosting, WebSite, Mailhosting) bez ochrany WEDOS Global, nastavte SPF záznam:

Název      TTL    Typ   Data
(prázdný)  300    TXT   v=spf1 mx a include:_spf.we.wedos.net -all
Nastavení základního SPF záznamu WEDOS
Nastavení základního SPF záznamu WEDOS

Používáte-li WEDOS Global, přidejte do SPF záznamu IPv4 a IPv6 adresy webhostingu podle návodu E-maily – Nastavení SPF záznamu.

Používáte-li výhradně jiného poskytovatele e-mailů, použijte SPF dle jeho návodu. Potřebujete-li zadat poskytovatelů více, nebo řešíte problémy s SPF, postupujte podle článku E-maily – SPF záznam.

Nastavení DKIM

Ověření e-mailů prostřednictvím DKIM zařizujeme zcela z naší strany.

Pro ověření zpráv zasílaných z webhostingu přes funkci PHP mail() používáme tyto DNS záznamy, které na našich serverech zpravidla generujeme automaticky:

Název                           TTL   Typ    Data
key1.wedos-dkim._domainkey	300   CNAME  key1.dkim-we.wedos.net
key2.wedos-dkim._domainkey	300   CNAME  key2.dkim-we.wedos.net

Používáte-li cizí DNS, nebo tyto záznamy u domény směřující na náš webhosting z jakéhokoli důvodu nemáte, přidejte je. Pro správnou funkčnost těchto záznamů také zajistěte správné nastavení parametru return-path.

E-maily zasílané přes SMTP ověřujeme pomocí sdíleného klíče na adrese shared.dkim-wes1.wedos.net. Toto nastavení je automatické, nemusíte jej nikde zapínat, ale zároveň jej nemůžete deaktivovat.

Nastavení DMARC

Problematika nastavení DMARC je poměrně složitá. Nechcete-li ji řešit a pouze zadat základní DMARC záznam, který zlepší doručitelnost e-mailů, použijte:

Název   TTL    Typ   Data
_dmarc  300    TXT   v=DMARC1; p=none; rua=mailto:vas-email@domena.tld

kde vas-email@domena.tld nahraďte e-mailovou adresou, na kterou chcete nechat zasílat případné agregované reporty.

WEDOS Nastavení základního DMARC záznamu
Nastavení základního DMARC záznamu

Více informací o problematice DMARC najdete například v tomto článku na našem blogu.

Běžné problémy

Mezi běžné problémy patří:

Pošta s SPF, DKIM i DMARC je nedoručitelná

Problém: Přestože jsou nastavené SPF, DKIM i DMARC, pošta končí ve spamu, nebo se nedoručuje vůbec.

Řešení: Zkontrolujte, že máte všechny záznamy nastavené správně a propsané (změny DNS záznamů se můžou projevit za 30 – 60 minut i déle). Nejběžnější chybou je více SPF záznamů u jedné domény a uvádění dat záznamů v uvozovkách.

Podezření na blokování e-mailů odesílatelem nebo příjemcem řešte podle návodu E-maily – Řešení blokovaných zpráv.

Odesílání přes funkci mail()

Problém: Při odesílání prostřednictvím funkce mail() na webhostingu selhávají SPF, DKIM i DMARC.

Příčina: V základním nastavení funkce mail() je odesílatelem takových e-mailů webhostingový server, například hcX-wdXXX.wedos.net, na který se Vámi nastavené záznamy nevztahují.

Řešení: Nastavte ve funkci mail() return-path obsahující adresu na Vaší doméně podle tohoto návodu.

Prostřednictví domény shared.dkim-wes1.wedos.net

Problém: Příjemci zprávy se zobrazuje nežádoucí hláška o zaslání prostřednictvím domény shared.dkim-wes1.wedos.net.

Hláška o zaslání prostřednictvím domény shared.dkim-wes1.wedos.net v Gmailu
Hláška o zaslání prostřednictvím domény shared.dkim-wes1.wedos.net v Gmailu

Řešení: Ujistěte se, že máte správně nastavený a propsaný SPF záznam. Pokud ano, tato hláška by se zobrazovat neměla.

Nekompatibilní DMARC

Problém: Pokročilé nastavení DMARC označuje zprávy jako problematické.

Příčina: U mailů posílaných prostřednictvím shared.dkim-wes1.wedos.net nefunguje správně DKIM alignment.

Řešení: Ujistěte se, že máte platné SPF, a případně upravte parametry DMARC záznamu.

Často kladené dotazy

Otázka: Je tohle všechno opravdu nutné?
Odpověď: Chcete-li, aby Vaše maily byly důvěryhodné, ano. Různí poskytovatelé mají různá pravidla pro spamování a zamítání e-mailů, ale minimálně SPF a DKIM jsou pro zajištění spolehlivého doručování klíčové.

Otázka: Můžete mi to nastavit Vy?
Odpověď: DKIM DNS můžete nastavit automaticky nasměrováním domény na hosting podle tohoto návodu. SPF a DMARC záznamy zpravidla nenastavujeme, protože nemáme dost informací o Vámi používaných mailových službách, jejichž fungování bychom mohli nesprávným nastavením ohrozit. Základní záznamy uvedené v tomto návodu Vám nastavit můžeme, ale jde o zpoplatněnou službu dle ceníku.

Otázka: Jak se mám vyznat v DMARC reportech?
Odpověď: Základy čtení DMARC reportů najdete například v našem komunitním návodu.

Děkujeme za zpětnou vazbu!