SPF, DKIM, DMARC

V uvedeném tématu naleznete přehled postupů, kterými je možné zvýšit důvěryhodnost odesílaných zpráv, případně zamezit další manipulaci se zprávami odeslanými z Vaší domény.

SPF - Sender Policy Framework

Sender Policy Framework (dále jen SPF) je e-mailový validační systém, který ověřuje zdali server, ze kterého byla odeslána zpráva, je oprávněn k odeslání e-mailových zpráv konkrétním serverem. K nastavení IP adres/rozsahů serverů oprávněných odesílat zprávy z konkrétní domény se používá SPF nebo TXT záznam. Tento záznam je potřeba vytvořit v DNS záznamech konkrétní domény, zákazník ONEbit služeb má možnost kdykoliv zapnout/vypnout toto nastavení.

Jak nastavit výchozí SPF záznam pro servery ONEbit:

SPF záznam se nastavuje přímo v DNS záznamech. Nejdříve je nutné se přihlásit do administrace ONEadmin konkrétního účtu, přejít na stránku Služby → DNS → Správa a nastavení DNS záznamů (pokud není aktivní, zaškrtněte stupeň oprávnění Expert na stránce Účet → Obecné informace → Informace a nastavení) a kliknout na tlačítko SPF. V DNS záznamech se vytvoří nový TXT záznam ve znění:

domena.tld. 120 IN TXT v=spf1 mx include:_spf.onebit.cz ~all

Tímto je SPF nastaveno, nyní budou všechny naše servery oprávněny odesílat zprávy z konkrétní domény.

Pokročilé nastavení SPF záznamu:

Pokud je potřeba do SPF záznamu vložit i jiný server mimo rozsah serverů ONEbit, je potřeba v administraci ONEadmin nastavení SPF tlačítkem deaktivovat a vytvořit vlastní TXT záznam, kde budou vyjmenovány všechny naše servery include:_spf.onebit.cz plus ostatní IP nebo rozsahy IP externích serverů podle specifikace SPF záznamů.

DKIM - DomainKeys Identified Mail

Jedná se o metodu která umožňuje detekovat podvržené zprávy, případně zjistit zdali obsah (včetně příloh) nebyl upraven při transportu mezi odesilatelem a příjemcem. Aby bylo možné zprávy kontrolovat musí validační mechanismus podporovat jak odesilatel tak příjemce zprávy. Všechny zprávy odeslané ze serveru ONEbit jsou takto podepisovány. U domén, které mají nastaveny naše jmenné servery, údaje veřejného klíče DKIM záznamu automaticky doplňujeme. U domén které nejsou zaneseny na našich jmenných serverech, je nutné záznam nastavit, nejlépe po konzultaci s technickou podporou.

Obecně jak DKIM funguje:

Na straně serveru odesilatele je u každé domény zanesen DNS TXT záznam který může vypadat následovně:

ob101502._domainkey.domain.tld. 3600 IN TXT v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEDERTGA4GNADCBiQKBgQDfl0chtL4siFYCrSPxw43fqc4z
Oo3N+Il220oK2Cp+NZw9Kuset1u2Ua3zfbUnZWvWK4aEeooliRd7SXIhKpXkgkwn
AB3DGAQ6+/7UVXf9xOeupr1DqtNwKt/NngC7ZIyZNRPx1HWKleP13UXCD8macUEb
bcBhtnrhETKoCg8wOwIDAQAB

Server odchozích zpráv přidá do hlavičky zprávy podpis privátní částí klíče. Pokud mailserver na straně příjemce kontroluje DKIM podpis zprávy, je toto ověřování prováděno skrze veřejnou část klíče uvedenou v DNS záznamu na doméně. Po úspěšném vyhodnocení DKIM se příjemce rozhodne jak se zprávou naloží, vloží mezi hromadné nebo zprávu zařadí do běžné pošty, nebo odmítne v případě selhání validace.

Podpis pomocí DKIM je možné validovat i v externích e-mailových klientech, například využít nastroj pro Thunderbird (DKIM Verifier), příjemce má možnost kdykoliv zjistit zdali bylo s obsahem zprávy mezi odesilatelem a příjemce manipulováno.

DMARC - Domain-based Message Authentication, Reporting and Conformance

Jedná se o mechanizmus validující příchozí e-mailové zprávy kombinující dva předešlé autentizační systémy (SPF a DKIM), k tomuto využívá výstupu z kontrol na SPF a DKIM, porovnávající dostupné informace hlavičky zprávy From:. Tento mechanizmus dále umožňuje definovat politiku pro úspěšné dopisy, dále reportovat a sledovat chování ostatních příjemců a definovat politiku jaká akce se má provést pokud nejsou nastavená pravidla splněna. Neméně významnou výhodou je zpětná vazba chování příjemců zpráv.

DNS DMACR záznam, tedy i politiku kontroly zpráv odesílaných z Vaší domény, definuje uživatel nebo osoba k těmto úkonům zplnomocněna. Jedná se o standardní TXT záznam který lze s pevně stanovenými pravidly zanést v DNS záznamech domény.

Příklad DMARC záznamu:

_dmarc.example.com. 3600 IN TXT v=DMARC1; p=reject; rua=mailto:dmarc-agg@example.com!5m; ruf=mailto:dmarc-agg@example.com; rf=afrf; pct=100

TXT záznam definuje jaké domény jsou podrobeny testu, jaké testy musí být plněny, uvádí informaci co se stane se zprávou která případně nevyhovuje nastaveným kritériím.

Záznam DMACR musí pro jednu doménu existovat pouze jednou, v případě dvou záznamů nebude validace prováděna. S nastavením DMARC záznamu je nejlépe se obrátit na správce DNS záznamů dané domény.

Jelikož jsou výše uvedené mechanizmy závislé na DNS záznamech, je vhodné používat technologie DNSSEC, garantující integritu DNS záznamů na jmenných serverech. Technologií DNSSEC jsou automaticky podepsány všechny domény .CZ a .EU, které se nacházejí v naší správě a mají nastaveny naše jmenné servery.

 

Související stránky

Kopírování, publikování nebo šíření obsahu není dovolené bez předchozího písemného souhlasu společnosti ONEsolution s.r.o.