V tomto článku se dozvíte:
- K čemu jsou a jak fungují SPF, DKIM a DMARC
- Jak tyto mechanismy nastavit
- Běžné problémy
- Často kladené dotazy
SPF, DKIM a DMARC
SPF, DKIM a DMARC jsou opatření proti podvodným e-mailům. Pokud je nepoužíváte, nebo je nemáte správně nastavené, zvyšujete šanci, že systém příjemce označí Vaši zprávu jako spam, nebo Váš e-mail odmítne a vrátí jako nedoručitelný.
- SPF (Sender Policy Framework) je e-mailový ověřovací systém, který umožňuje vlastníkům domén prostřednictvím speciálního DNS záznamy určit, které servery smějí odesílat e-maily jménem jejich domény. Příjemci mohou pak SPF záznamy ověřit a rozhodnout, zda e-mail přijmout, odmítnout, nebo jinak zpracovat.
- DKIM (DomainKeys Identified Mail) je metoda, která umožňuje organizaci odpovědné za odesílání e-mailu připojit ke zprávě digitální podpis. Příjemci mohou tento podpis ověřit a potvrdit tak, že e-mail nebyl po odeslání změněn a že pochází z legitimního zdroje.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) je e-mailová ověřovací politika a reportovací protokol, který pomáhá ochránit e-mailové domény před zneužitím, jako je phishing a spoofing. DMARC využívá SPF a DKIM pro ověření, že odesílané e-maily jsou legitimní, a definuje, jak má příjemce naložit s e-maily, které ověřením neprojdou. Nastavuje se prostřednictvím speciálního DNS záznamu.
Nastavení e-mailových ověřovacích mechanismů
K zajištění maximální doručitelnosti Vaší pošty nastavte všechny zmíněné ochranné mechanismy. Kdykoliv poskytovatele měníte, nebo přidáváte (například kromě naší pošty používáte ještě službu pro rozesílání hromadných e-mailů), ujistěte se, že správně integrujete zejména SPF podle manuálu tohoto poskytovatele.
Nastavení SPF záznamu
SPF záznam specifikuje servery oprávněné posílat poštu jménem domény nebo subdomény, u které je nastavený. Podrobný návod na nastavení DNS záznamů najdete v článku DNS – Nastavení záznamů domény.
Doméně nenastavujte více než 1 SPF záznam. Uvedením více záznamů zrušíte SPF ověření.
Používáte-li k odesílání e-mailů výhradně služby WEDOS (Webhosting, WebSite, Mailhosting) bez ochrany WEDOS Global, nastavte SPF záznam:
Název TTL Typ Data (prázdný) 300 TXT v=spf1 mx a include:_spf.we.wedos.net -all
Používáte-li WEDOS Global, přidejte do SPF záznamu IPv4 a IPv6 adresy webhostingu podle návodu E-maily – Nastavení SPF záznamu.
Používáte-li výhradně jiného poskytovatele e-mailů, použijte SPF dle jeho návodu. Potřebujete-li zadat poskytovatelů více, nebo řešíte problémy s SPF, postupujte podle článku E-maily – SPF záznam.
Nastavení DKIM
Ověření e-mailů prostřednictvím DKIM zařizujeme zcela z naší strany.
Pro ověření zpráv zasílaných z webhostingu přes funkci PHP mail() používáme tyto DNS záznamy, které na našich serverech zpravidla generujeme automaticky:
Název TTL Typ Data key1.wedos-dkim._domainkey 300 CNAME key1.dkim-we.wedos.net key2.wedos-dkim._domainkey 300 CNAME key2.dkim-we.wedos.net
Používáte-li cizí DNS, nebo tyto záznamy u domény směřující na náš webhosting z jakéhokoli důvodu nemáte, přidejte je. Pro správnou funkčnost těchto záznamů také zajistěte správné nastavení parametru return-path.
E-maily zasílané přes SMTP ověřujeme pomocí sdíleného klíče na adrese shared.dkim-wes1.wedos.net. Toto nastavení je automatické, nemusíte jej nikde zapínat, ale zároveň jej nemůžete deaktivovat.
Nastavení DMARC
Problematika nastavení DMARC je poměrně složitá. Nechcete-li ji řešit a pouze zadat základní DMARC záznam, který zlepší doručitelnost e-mailů, použijte:
Název TTL Typ Data _dmarc 300 TXT v=DMARC1; p=none; rua=mailto:vas-email@domena.tld
kde vas-email@domena.tld
nahraďte e-mailovou adresou, na kterou chcete nechat zasílat případné agregované reporty.
Více informací o problematice DMARC najdete například v tomto článku na našem blogu.
Běžné problémy
Mezi běžné problémy patří:
- Pokračující spamování nebo nedoručování pošty
- Nefunkční SPF, DKIM a DMARC při odesílání funkcí mail() z webhostingu
- Zobrazení hlášky o zaslání prostřednictvím domény shared.dkim-wes1.wedos.net
- Nekompatibilní DMARC
Pošta s SPF, DKIM i DMARC je nedoručitelná
Problém: Přestože jsou nastavené SPF, DKIM i DMARC, pošta končí ve spamu, nebo se nedoručuje vůbec.
Řešení: Zkontrolujte, že máte všechny záznamy nastavené správně a propsané (změny DNS záznamů se můžou projevit za 30 – 60 minut i déle). Nejběžnější chybou je více SPF záznamů u jedné domény a uvádění dat záznamů v uvozovkách.
Podezření na blokování e-mailů odesílatelem nebo příjemcem řešte podle návodu E-maily – Řešení blokovaných zpráv.
Odesílání přes funkci mail()
Problém: Při odesílání prostřednictvím funkce mail() na webhostingu selhávají SPF, DKIM i DMARC.
Příčina: V základním nastavení funkce mail() je odesílatelem takových e-mailů webhostingový server, například hcX-wdXXX.wedos.net, na který se Vámi nastavené záznamy nevztahují.
Řešení: Nastavte ve funkci mail() return-path obsahující adresu na Vaší doméně podle tohoto návodu.
Prostřednictví domény shared.dkim-wes1.wedos.net
Problém: Příjemci zprávy se zobrazuje nežádoucí hláška o zaslání prostřednictvím domény shared.dkim-wes1.wedos.net.
Řešení: Ujistěte se, že máte správně nastavený a propsaný SPF záznam. Pokud ano, tato hláška by se zobrazovat neměla.
Nekompatibilní DMARC
Problém: Pokročilé nastavení DMARC označuje zprávy jako problematické.
Příčina: U mailů posílaných prostřednictvím shared.dkim-wes1.wedos.net nefunguje správně DKIM alignment.
Řešení: Ujistěte se, že máte platné SPF, a případně upravte parametry DMARC záznamu.
Často kladené dotazy
Otázka: Je tohle všechno opravdu nutné?
Odpověď: Chcete-li, aby Vaše maily byly důvěryhodné, ano. Různí poskytovatelé mají různá pravidla pro spamování a zamítání e-mailů, ale minimálně SPF a DKIM jsou pro zajištění spolehlivého doručování klíčové.
Otázka: Můžete mi to nastavit Vy?
Odpověď: DKIM DNS můžete nastavit automaticky nasměrováním domény na hosting podle tohoto návodu. SPF a DMARC záznamy zpravidla nenastavujeme, protože nemáme dost informací o Vámi používaných mailových službách, jejichž fungování bychom mohli nesprávným nastavením ohrozit. Základní záznamy uvedené v tomto návodu Vám nastavit můžeme, ale jde o zpoplatněnou službu dle ceníku.
Otázka: Jak se mám vyznat v DMARC reportech?
Odpověď: Základy čtení DMARC reportů najdete například v našem komunitním návodu.