DMARC vs. DKIM vs. SPF: jaký je mezi nimi rozdíl?

Pokud jste se někdy zabývali ochranou své domény před podvržením nebo phishingem,pravděpodobně jstenarazili na tři zkratky, které se objevují všude: SPF, DKIM a DMARC.

Na první pohled znějí podobně (všechny jsou standardy ověřování e-mailů založené na DNS), ale každá z nich řeší jiný problém. Pochopení toho, jak se liší a jak spolupracují, je zásadní pro ochranu vaší domény a zlepšení doručitelnosti e-mailů.

Pojďme si je jeden po druhém rozebrat a pak se podívejme, jak dohromady tvoří kompletní obranný val proti podvodným e-mailům.

Základy ověřování e-mailů

E-mail byl navržen před desítkami let, dávno předtím, než se kybernetická kriminalita nebo phishing staly každodenním problémem. Ve výchozím nastavení nic nebrání tomu, aby někdo odeslal e-mail, který se vydává za e-mail z vaší domény.

Standardy ověřování byly zavedeny proto, aby poštovní servery měly možnost ověřit legitimitu odesílatele. Nejdůležitější z nich jsou SPF, DKIM a DMARC.

Představte si je jako kontroly totožnosti v různých fázích:

• SPF kontroluje, odkud zpráva přišla.
• DKIM kontroluje, zda se zprávou nebylo manipulováno.
• DMARC kontroluje, zda zpráva odpovídá vaší doméně, a prosazuje vaše zásady.

SPF: Rámec zásad odesílatele

Jak SPF funguje

FunkceSPF (Sender Policy Framework) umožňuje zveřejnit seznam serverů, které mohou odesílat e-maily pro vaši doménu. Když někdo odešle zprávu pomocí vaší domény, poštovní server příjemce porovná odesílající IP adresu s tímto seznamem.

Pokud je IP adresa uvedena v seznamu, zpráva projde protokolem SPF. Pokud v něm není, zpráva selže.

Takto vypadá typický záznam SPF:

• Povolujete službám Google Workspace a Mailchimp odesílat e-maily pro vaši doménu.
• Písmeno -all na konci říká poštovním serverům, aby odmítly jakýkoli jiný zdroj.

Silné stránky a omezení

SPF se snadno implementuje a poskytuje silnou první vrstvu obrany. Má však dvě hlavní slabiny:

1. Ověřuje pouze odesílatele obálky (technická "Return-Path"), nikoli viditelnou adresu From, kterou vidí uživatelé.
2. SPF selhává při přeposílání e-mailů, protože IP adresa přeposílatele nemusí být uvedena ve vašem záznamu.

Jinými slovy, SPF potvrzuje, odkud e-mail přišel - ale ne nutně od koho.

DKIM: DomainKeys Identified Mail (pošta identifikovaná podle doménových klíčů)

Jak funguje DKIM

DKIM (DomainKeys Identified Mail) používá kryptografické podpisy k potvrzení, že e-mail nebyl při přenosu pozměněn a že skutečně pochází z vaší domény.

Funguje takto:

• Váš poštovní server podepisuje každou odchozí zprávu soukromým klíčem.
• Přijímající server získá veřejný klíč z vašeho záznamu DNS a podpis ověří.

Pokud se podpis shoduje, je e-mail považován za pravý.

Typický záznam DKIM vypadá takto:

Silné stránky a omezení

DKIM poskytuje jistotu, že se zprávou nebylo manipulováno, což je obrovská výhra pro integritu. Samotný DKIM však neříká, co se má stát s e-maily, které neprojdou ověřením, ani nezabraňuje útočníkům odesílat zprávy s vaší doménou bez platného podpisu.

To je chybějící vrstva zásad, kterouposkytuje DMARC.

DMARC: Ověřování, hlášení a shoda zpráv na základě domény

Jak DMARC funguje

DMARC vychází z protokolů SPF a DKIM a poskytuje vlastníkům domén skutečnou kontrolu. Dělá tři věci:

1. Kontroluje, zda doména ve viditelné hlavičce "From" odpovídá doméně ověřené pomocí SPF nebo DKIM.

2. Zásady - říká poštovním serverům, co mají dělat s neověřenými zprávami (nedělat nic, odeslat do spamu nebo odmítnout).

3. Reporting - Poskytuje zpětnou vazbu o tom, jak je vaše doména používána, prostřednictvím reportů XML (RUA a RUF).

Zde je příklad záznamu DMARC:

Tento příkaz říká příjemcům, aby umístili do karantény všechny e-maily, které neprojdou kontrolou DMARC, odeslali souhrnné zprávy na zadanou adresu a použili pravidlo na 100 % zpráv.

V čem se DMARC liší

Protokoly SPF a DKIM poskytují ověření, ale ne vynucení. DMARC přidává chybějící vrstvu odpovědnosti tím, že výsledky ověřování spojuje s viditelnou identitou domény a definuje, jaké kroky je třeba podniknout, když něco nesouhlasí.

V praxi je DMARC tím, co brání útočníkům podvrhnout vaši doménu a odesílat přesvědčivé phishingové zprávy "od" vás. Pomáhá také přesně zjistit, kdo odesílá poštu vaším jménem.

Jak SPF, DKIM a DMARC fungují společně

Protokoly SPF, DKIM a DMARC si můžete představit jako třídílný bezpečnostní systém, jehož jednotlivé části pokrývají to, co ostatní nemohou.

• SPF zajišťuje, že pošta pochází z autorizovaného serveru.
• DKIM zajišťuje, že obsah zprávy je autentický a nezměněný.
• DMARC zajišťuje, že obě kontroly jsou v souladu s vaší viditelnou doménou, a pokud tomu tak není, prosazuje zásady.

Pokud zpráva nevyhoví protokolu SPF, ale vyhoví protokolu DKIM, může být přesto doručena, pokud protokol DMARC potvrdí, že podpis DKIM odpovídá stejné doméně v adrese "Od".

Pokud obojí selže, DMARC použije zvolenou zásadu: monitorovat, umístit do karantény nebo odmítnout.

Tento mechanismus zarovnání je to, co dělá DMARC tak mocným. Propojuje technickou identitu odesílatele a identitu značky viditelnou pro příjemce.

Nejčastější nedorozumění

I mezi zkušenými správci dochází někdy k záměně těchto protokolů. Pojďme si vyjasnit několik přetrvávajících mýtů:

• SPF sám o sobě zabraňuje spoofingu.
  Není to pravda. SPF neověřuje viditelnou doménu odesílatele. Pouze server, který zprávu odeslal. Útočníci mohou stále podvrhnout pole From.

• DKIM je volitelný, pokud funguje SPF.
  Není tomu tak. DKIM je nezbytný pro zajištění integrity a pomáhá zprávám přežít přeposílání, kde SPF často selhává.

• DMARC je určen pouze pro velké organizace.
  Také nepravdivé. DMARC je svobodný, otevřený standard. Každý vlastník domény, od malé firmy po globální značku, může zveřejnit záznam a získat okamžitou viditelnost.

• Implementace všech tří typů je složitá.
  Může se to zdát náročné, ale jakmile jsou nakonfigurovány protokoly SPF a DKIM, DMARC je jen další záznam TXT. Skutečnou výzvou je sledování zpráv a udržování souladu v průběhu času (což je nyní díky automatizačním nástrojům mnohem snazší).

Začínáme s ověřováním

Pokud jste je ještě neimplementovali, zde je praktická cesta, kterou se ubírá většina organizací:

1. Zveřejněte záznam SPF. Identifikujte všechny služby, které odesílají poštu pro vaši doménu, a uveďte je v záznamu SPF. Příklad:

   v=spf1 include:_spf.google.com include:sendgrid.net -all


2. Povolte podepisování DKIM.
   Většina poštovních služeb (například Google Workspace, Microsoft 365 nebo SendGrid) nabízí průvodce nastavením DKIM, který vygeneruje veřejný klíč pro váš DNS.

3. Přidejte záznam DMARC.
   Spusťte v režimu monitorování, abyste mohli bezpečně shromažďovat data:

   v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com.


    

4. Sledujte a upravujte.
   Několik týdnů kontrolujte hlášení, ujistěte se, že všechny legitimní zdroje jsou ověřeny, a poté zpřísněte zásady na karanténu a případně na odmítnutí.

Tento proces nemusí být dokončen ze dne na den. Postupné zavádění minimalizuje riziko a zároveň postupně zlepšuje ochranu.

Nové požadavky společností Google a Yahoo na DMARC

Na začátku roku 2024 oznámily společnosti Google a Yahoo nové požadavky na odesílatele, jejichž cílem je omezit spam a phishing na jejich platformách. Tato pravidla se týkají všech domén, které odesílají velké objemy e-mailů, zejména marketingových, transakčních nebo zpravodajských zpráv.

Podstatou těchto nových pravidel je,že pro odesílatele hromadných zpráv je povinné vynucování DMARC.

Zde je shrnutí toho, co oba poskytovatelé nyní vyžadují:

1. Zveřejnit platný záznam SPF a DKIM. Každá doména používaná k odesílání e-mailů musí mít zavedeny oba mechanismy ověřování, nikoli pouze jeden.

2. Implementujte DMARC alespoň s politikou "none". Společnosti Google a Yahoo vyžadují, aby všichni hromadní odesílatelé (obvykle definovaní jako více než 5 000 zpráv denně) zveřejnili záznam DMARC na úrovni domény. Příklad:

   • v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com

   I zásady "pouze pro sledování"(p=none) splňují základní požadavek - oba poskytovatelé však doporučují přejít na karanténu nebo odmítnutí pro úplnou ochranu.

3. Srovnejte domény "Od" a ověřené domény. Zprávy musí v hlavičce "From" používat doménu, která se shoduje s doménou ověřenou pomocí SPF nebo DKIM (nebo se s ní shoduje). Neshodné domény budou s větší pravděpodobností odmítnuty.

4. Poskytněte možnosti snadného odhlášení. Společnosti Google a Yahoo také nařizují, aby v komerčních zprávách byl odkaz pro odhlášení jedním kliknutím, a vyžadují, aby žádosti o odhlášení byly vyřízeny do dvou dnů.

5. Udržujte nízkou míru spamu. Podle metrik nástroje Google Postmaster Tools musí odesílatelé udržovat míru stížností na spam pod 0,3 %.

I když nejste "hromadný odesílatel", pokud vaše zprávy chodí na Gmail nebo Yahoo Mail, implementace těchto standardů už není volitelná, je to základní věc.

Jakmile je splníte, je mnohem pravděpodobnější, že vaše zprávy budou do schránek doručovány důsledně.

Stručné shrnutí

SPF, DKIM a DMARC nejsou konkurenční technologie, ale vzájemně se doplňující součásti jednoho systému.

• SPF ověřuje odesílací infrastrukturu.
• DKIM ověřuje integritu zpráv.
• DMARC ověřuje soulad a prosazuje zásady.

Jejich kombinací se e-mail ze zranitelného a snadno podvrženého kanálu stává jednou z nejdůvěryhodnějších dostupných forem digitální komunikace.

A přestože je zveřejnění každého záznamu dostatečně jednoduché, udržování přehledu a smysluplnost výsledných dat se může rychle stát složitým, zejména pokud je zapojeno více dodavatelů, subdomén a externích služeb.

Právě v tom má automatizace a analytika zásadní význam.

Jak DMARCeye zjednodušuje implementaci a monitorování DMARC

Správné nastavení SPF, DKIM a DMARC je jen začátek. Skutečná výzva přichází až poté - interpretace zpráv DMARC, odhalování neautorizovaných zdrojů a udržování souladu s tím, jak se vyvíjí vaše e-mailová infrastruktura.

AplikaceDMARCeye je navržena tak, aby tento proces usnadnila. Převádí nezpracované zprávy XML na intuitivní ovládací panely, které na první pohled ukazují, kdo vaším jménem odesílá poštu a zda prochází ověřením.

S nástrojem DMARCeye můžete:

• sledovat výsledky SPF, DKIM a DMARC ve všech doménách
• Okamžitě identifikovat a blokovat pokusy o podvržené zprávy
• Vidět jasně oddělené legitimní a neautorizované odesílatele
• S jistotou sledovat svůj postup od "monitorování" k "vynucování".
• Chránit pověst své značky při zachování doručitelnosti

Ať už spravujete jednu doménu nebo stovky, DMARCeye vám poskytne přehled a kontrolu potřebnou k zajištění bezpečnosti e-mailů vaší organizace, aniž byste se museli ponořit do složitých hrubých dat.