Pokud jste se někdy zabývali ochranou své domény před podvržením nebo phishingem,pravděpodobně jstenarazili na tři zkratky, které se objevují všude: SPF, DKIM a DMARC.
Na první pohled znějí podobně (všechny jsou standardy ověřování e-mailů založené na DNS), ale každá z nich řeší jiný problém. Pochopení toho, jak se liší a jak spolupracují, je zásadní pro ochranu vaší domény a zlepšení doručitelnosti e-mailů.
Pojďme si je jeden po druhém rozebrat a pak se podívejme, jak dohromady tvoří kompletní obranný val proti podvodným e-mailům.
E-mail byl navržen před desítkami let, dávno předtím, než se kybernetická kriminalita nebo phishing staly každodenním problémem. Ve výchozím nastavení nic nebrání tomu, aby někdo odeslal e-mail, který se vydává za e-mail z vaší domény.
Standardy ověřování byly zavedeny proto, aby poštovní servery měly možnost ověřit legitimitu odesílatele. Nejdůležitější z nich jsou SPF, DKIM a DMARC.
Představte si je jako kontroly totožnosti v různých fázích:
FunkceSPF (Sender Policy Framework) umožňuje zveřejnit seznam serverů, které mohou odesílat e-maily pro vaši doménu. Když někdo odešle zprávu pomocí vaší domény, poštovní server příjemce porovná odesílající IP adresu s tímto seznamem.
Pokud je IP adresa uvedena v seznamu, zpráva projde protokolem SPF. Pokud v něm není, zpráva selže.
Takto vypadá typický záznam SPF:
v=spf1 include:_spf.google.com include:servers.mcsv.net -all-all na konci říká poštovním serverům, aby odmítly jakýkoli jiný zdroj.SPF se snadno implementuje a poskytuje silnou první vrstvu obrany. Má však dvě hlavní slabiny:
Jinými slovy, SPF potvrzuje, odkud e-mail přišel - ale ne nutně od koho.
DKIM (DomainKeys Identified Mail) používá kryptografické podpisy k potvrzení, že e-mail nebyl při přenosu pozměněn a že skutečně pochází z vaší domény.
Funguje takto:
Pokud se podpis shoduje, je e-mail považován za pravý.
Typický záznam DKIM vypadá takto:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFA...DKIM poskytuje jistotu, že se zprávou nebylo manipulováno, což je obrovská výhra pro integritu. Samotný DKIM však neříká, co se má stát s e-maily, které neprojdou ověřením, ani nezabraňuje útočníkům odesílat zprávy s vaší doménou bez platného podpisu.
To je chybějící vrstva zásad, kterouposkytuje DMARC.
DMARC vychází z protokolů SPF a DKIM a poskytuje vlastníkům domén skutečnou kontrolu. Dělá tři věci:
Kontroluje, zda doména ve viditelné hlavičce "From" odpovídá doméně ověřené pomocí SPF nebo DKIM.
Zásady - říká poštovním serverům, co mají dělat s neověřenými zprávami (nedělat nic, odeslat do spamu nebo odmítnout).
Reporting - Poskytuje zpětnou vazbu o tom, jak je vaše doména používána, prostřednictvím reportů XML (RUA a RUF).
Zde je příklad záznamu DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; pct=100Tento příkaz říká příjemcům, aby umístili do karantény všechny e-maily, které neprojdou kontrolou DMARC, odeslali souhrnné zprávy na zadanou adresu a použili pravidlo na 100 % zpráv.
Protokoly SPF a DKIM poskytují ověření, ale ne vynucení. DMARC přidává chybějící vrstvu odpovědnosti tím, že výsledky ověřování spojuje s viditelnou identitou domény a definuje, jaké kroky je třeba podniknout, když něco nesouhlasí.
V praxi je DMARC tím, co brání útočníkům podvrhnout vaši doménu a odesílat přesvědčivé phishingové zprávy "od" vás. Pomáhá také přesně zjistit, kdo odesílá poštu vaším jménem.
Protokoly SPF, DKIM a DMARC si můžete představit jako třídílný bezpečnostní systém, jehož jednotlivé části pokrývají to, co ostatní nemohou.
Pokud zpráva nevyhoví protokolu SPF, ale vyhoví protokolu DKIM, může být přesto doručena, pokud protokol DMARC potvrdí, že podpis DKIM odpovídá stejné doméně v adrese "Od".
Pokud obojí selže, DMARC použije zvolenou zásadu: monitorovat, umístit do karantény nebo odmítnout.
Tento mechanismus zarovnání je to, co dělá DMARC tak mocným. Propojuje technickou identitu odesílatele a identitu značky viditelnou pro příjemce.
I mezi zkušenými správci dochází někdy k záměně těchto protokolů. Pojďme si vyjasnit několik přetrvávajících mýtů:
SPF sám o sobě zabraňuje spoofingu.
Není to pravda. SPF neověřuje viditelnou doménu odesílatele. Pouze server, který zprávu odeslal. Útočníci mohou stále podvrhnout pole From.
DKIM je volitelný, pokud funguje SPF.
Není tomu tak. DKIM je nezbytný pro zajištění integrity a pomáhá zprávám přežít přeposílání, kde SPF často selhává.
DMARC je určen pouze pro velké organizace.
Také nepravdivé. DMARC je svobodný, otevřený standard. Každý vlastník domény, od malé firmy po globální značku, může zveřejnit záznam a získat okamžitou viditelnost.
Implementace všech tří typů je složitá.
Může se to zdát náročné, ale jakmile jsou nakonfigurovány protokoly SPF a DKIM, DMARC je jen další záznam TXT. Skutečnou výzvou je sledování zpráv a udržování souladu v průběhu času (což je nyní díky automatizačním nástrojům mnohem snazší).
Pokud jste je ještě neimplementovali, zde je praktická cesta, kterou se ubírá většina organizací:
Zveřejněte záznam SPF. Identifikujte všechny služby, které odesílají poštu pro vaši doménu, a uveďte je v záznamu SPF. Příklad:
v=spf1 include:_spf.google.com include:sendgrid.net -all
Povolte podepisování DKIM.
Většina poštovních služeb (například Google Workspace, Microsoft 365 nebo SendGrid) nabízí průvodce nastavením DKIM, který vygeneruje veřejný klíč pro váš DNS.
Přidejte záznam DMARC.
Spusťte v režimu monitorování, abyste mohli bezpečně shromažďovat data:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com.
Sledujte a upravujte.
Několik týdnů kontrolujte hlášení, ujistěte se, že všechny legitimní zdroje jsou ověřeny, a poté zpřísněte zásady na karanténu a případně na odmítnutí.
Tento proces nemusí být dokončen ze dne na den. Postupné zavádění minimalizuje riziko a zároveň postupně zlepšuje ochranu.
Na začátku roku 2024 oznámily společnosti Google a Yahoo nové požadavky na odesílatele, jejichž cílem je omezit spam a phishing na jejich platformách. Tato pravidla se týkají všech domén, které odesílají velké objemy e-mailů, zejména marketingových, transakčních nebo zpravodajských zpráv.
Podstatou těchto nových pravidel je,že pro odesílatele hromadných zpráv je povinné vynucování DMARC.
Zde je shrnutí toho, co oba poskytovatelé nyní vyžadují:
Zveřejnit platný záznam SPF a DKIM. Každá doména používaná k odesílání e-mailů musí mít zavedeny oba mechanismy ověřování, nikoli pouze jeden.
Implementujte DMARC alespoň s politikou "none". Společnosti Google a Yahoo vyžadují, aby všichni hromadní odesílatelé (obvykle definovaní jako více než 5 000 zpráv denně) zveřejnili záznam DMARC na úrovni domény. Příklad:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
I zásady "pouze pro sledování"(p=none) splňují základní požadavek - oba poskytovatelé však doporučují přejít na karanténu nebo odmítnutí pro úplnou ochranu.
Srovnejte domény "Od" a ověřené domény. Zprávy musí v hlavičce "From" používat doménu, která se shoduje s doménou ověřenou pomocí SPF nebo DKIM (nebo se s ní shoduje). Neshodné domény budou s větší pravděpodobností odmítnuty.
Poskytněte možnosti snadného odhlášení. Společnosti Google a Yahoo také nařizují, aby v komerčních zprávách byl odkaz pro odhlášení jedním kliknutím, a vyžadují, aby žádosti o odhlášení byly vyřízeny do dvou dnů.
Udržujte nízkou míru spamu. Podle metrik nástroje Google Postmaster Tools musí odesílatelé udržovat míru stížností na spam pod 0,3 %.
I když nejste "hromadný odesílatel", pokud vaše zprávy chodí na Gmail nebo Yahoo Mail, implementace těchto standardů už není volitelná, je to základní věc.
Jakmile je splníte, je mnohem pravděpodobnější, že vaše zprávy budou do schránek doručovány důsledně.
SPF, DKIM a DMARC nejsou konkurenční technologie, ale vzájemně se doplňující součásti jednoho systému.
Jejich kombinací se e-mail ze zranitelného a snadno podvrženého kanálu stává jednou z nejdůvěryhodnějších dostupných forem digitální komunikace.
A přestože je zveřejnění každého záznamu dostatečně jednoduché, udržování přehledu a smysluplnost výsledných dat se může rychle stát složitým, zejména pokud je zapojeno více dodavatelů, subdomén a externích služeb.
Právě v tom má automatizace a analytika zásadní význam.
Správné nastavení SPF, DKIM a DMARC je jen začátek. Skutečná výzva přichází až poté - interpretace zpráv DMARC, odhalování neautorizovaných zdrojů a udržování souladu s tím, jak se vyvíjí vaše e-mailová infrastruktura.
AplikaceDMARCeye je navržena tak, aby tento proces usnadnila. Převádí nezpracované zprávy XML na intuitivní ovládací panely, které na první pohled ukazují, kdo vaším jménem odesílá poštu a zda prochází ověřením.
S nástrojem DMARCeye můžete:
Ať už spravujete jednu doménu nebo stovky, DMARCeye vám poskytne přehled a kontrolu potřebnou k zajištění bezpečnosti e-mailů vaší organizace, aniž byste se museli ponořit do složitých hrubých dat.
Získejte bezplatnou zkušební verzi DMARCeye ještě dnes a začněte chránit svou e-mailovou doménu.