EHLO a HELO: SMTP pozdrav, doručitelnost a souvislost s DMARC

EHLO a HELO jsou dvě malá slova, která stojí na samém začátku konverzace SMTP, ale mohou mít obrovský vliv na doručitelnost, filtrování spamu a na to, jak poskytovatelé poštovních schránek interpretují legitimitu vašeho poštovního toku.

Pokud jste někdy viděli protokoly, ve kterých se uvádí "HELO domain", "EHLO string" nebo "HELO does not resolve", pak se díváte právě na tuto část e-mailového handshake. Většina týmů si toho všimne, až když se něco pokazí: zprávy začnou přistávat ve spamu, e-mailová brána odmítne spojení nebo se v hlášeních projektu DMARC objeví podezřelý provoz.

Tento průvodce vysvětluje, co je EHLO/HELO, jak funguje, jak vypadá správná konfigurace a jak řešit běžné problémy.

Co jsou HELO a EHLO?

Když se jeden poštovní server připojuje k druhému prostřednictvím protokolu SMTP, představuje se. Historicky je tímto úvodem HELO (původní pozdrav SMTP). Později byl protokol SMTP rozšířen o další funkce (nazývané ESMTP) a z pozdravu se stalo EHLO (Extended HELO).

Zjednodušeně řečeno:

• HELO je starší pozdrav SMTP.
• EHLO je moderní pozdrav, který přijímajícímu serveru říká "Podporuji rozšíření ESMTP" a umožňuje příjemci inzerovat funkce jako STARTTLS, AUTH, SIZE a další.

Pozdrav obsahuje jméno hostitele (někdy doménu). Tato hodnota se často nazývá doména HELO nebo název EHLO. Není to totéž jako doména "From", kterou vaši uživatelé vidí v e-mailovém klientu. Jedná se o identifikátor mezi jednotlivými servery, který se používá při kontrole připojení a reputace.

Kam patří EHLO/HELO v cestě e-mailu

EHLO/HELO pomáhají vizualizovat pořadí událostí v typickém doručení SMTP:

1. Odesílající server se připojí k přijímajícímu serveru.
2. Odesílající server odešle EHLO (nebo HELO, pokud nemůže použít ESMTP).
3. Příjemce odpoví pomocí podporovaných funkcí SMTP.
4. Odesílatel předá hlavičky a tělo zprávy.
5. Příjemce vyhodnotí ověření (SPF, DKIM, DMARC) a další signály.

Přestože DMARC vyhodnocuje zarovnání pomocí domény "From", mnoho poskytovatelů poštovních schránek a bezpečnostních bran používá HELO/EHLO jako důležitý signál pro:

• HeloHloO: pro legitimitu spojení a základní hygienické kontroly.
• Sledování reputace IP (stabilní HELO může pomoci konzistenci).
• Odhalení chybně nakonfigurované nebo podezřelé infrastruktury.

Souvisí EHLO/HELO s SPF a DMARC?

Přímo DMARC není "založen" na EHLO/HELO. DMARC vyhodnocuje soulad mezi viditelnou doménou "From" a ověřením SPF nebo DKIM. HELO/EHLO však přesto může ovlivnit váš e-mailový program několika důležitými způsoby.

SPF může kontrolovat identitu HELO

SPF vyhodnocuje, zda je odesílatel oprávněn odesílat poštu pro danou doménu. "Doménou" používanou při kontrolách SPF je obvykle doména MAIL FROM (Return-Path), ale v SPF existuje také koncept nazývaný identita HELO. Někteří příjemci zvažují, zda je jméno HELO/EHLO rozumné a konzistentní, zejména když ostatní signály vypadají podezřele.

Pokud váš projekt zahrnuje sladění SPF pro DMARC (například při vynucování), budete pravděpodobně současně čistit také signály infrastruktury. Tento proces je podrobněji popsán v článku Jak řešit a odstraňovat problémy s DMARC.

Špatné HELO/EHLO může poškodit doručitelnost, i když DMARC projde

Můžete mít správně nakonfigurovány protokoly SPF, DKIM a DMARC, a přesto se objeví problémy s doručitelností, pokud je váš pozdrav SMTP zjevně špatně nakonfigurován, jako např:

• HELO je localhost nebo interní hostitelské jméno.
• Název HELO je doslovný název IP nebo náhodný řetězec.
• Název HELO se v DNS nepřekládá.
• Název HELO neodpovídá vzoru reverzního DNS, který poskytovatelé poštovních schránek očekávají.

To je důležité zejména pro velkoobjemové odesílatele zaměřené na umístění do schránky. Pokud je doručitelnost prioritou, viz Zlepšení doručitelnosti e-mailů pomocí DMARC, kde najdete širší kontrolní seznam, který kombinuje ověřování se základy reputace odesílání.

Jak vypadá "dobrá" konfigurace EHLO/HELO

Zdravý pozdrav SMTP je nudný, konzistentní a ověřitelný. Ideální nastavení se obvykle řídí těmito pravidly:

• Jako název EHLO/HELO použijte plně kvalifikovaný název domény (například mail.yourdomain.com nebo smtp.yourdomain.com).
• Ujistěte se, že je resolvovatelný (existuje záznam A nebo AAAA).
• Shodujte se s očekáváním reverzního DNS (odesílající IP by měla mít záznam PTR, který ukazuje na hostitelský název, a tento hostitelský název by měl být přeložen zpět na IP). Někteří poskytovatelé jsou přísní ohledně předávání potvrzených reverzních DNS pro hromadný provoz.
• Udržujte ji stabilní v celé odesílací infrastruktuře. Časté změny vypadají podezřele.

Pokud implementujete DMARC poprvé a čistíte odesílací infrastrukturu, je zde popsána postupná práce s DNS: Kompletní průvodce implementací DMARC.

Běžné problémy s EHLO/HELO a jejich řešení

1) HELO je "localhost" nebo interní název

To se obvykle stává u samosprávných MTA, zařízení nebo starších systémů. Příjemci to v lepším případě říká, že odesílatel je špatně nakonfigurován, v horším případě skrývá identitu.

Náprava: nakonfigurujte svůj MTA tak, aby používal veřejný FQDN. Například:

• Postfix: nastavte myhostname a potvrďte, že se používá pro pozdravy SMTP.
• Exim: nastavte primary_hostname.
• Exchange: potvrďte "FQDN" na odesílacích konektorech.

2) Doména HELO se v DNS nepřekládá.

Mnoho bran používá kontrolu "HELO must resolve". I když je natvrdo neodmítají, může to snížit důvěryhodnost a zvýšit filtrování.

Oprava: zveřejněte záznam A/AAAA pro hostitelské jméno použité v pozdravu. Zachovejte jednoduchost. Pokud nemáte pod kontrolou systém DNS, je to rychlá žádost pro vaše správce DNS.

3) Neshoda reverzního DNS (PTR)

Hromadní odesílatelé se často setkávají s problémy, když odesílající IP adresa nemá žádný záznam PTR nebo PTR ukazuje na něco nesouvisejícího. Někteří poskytovatelé a filtry spamu považují chybějící nebo neshodný reverzní záznam DNS za známku nekvalitní infrastruktury.

Náprava: Nastavte záznam PTR pro odesílající IP adresu, který ukazuje na hostitelské jméno, které máte pod kontrolou (často subdoména, jako je mail.yourdomain.com), a zajistěte, aby se hostitelské jméno překládalo zpět na IP adresu.

4) Sdílená infrastruktura a dodavatelé třetích stran

Pokud používáte ESP, CRM, ticketovací systém nebo poskytovatele plateb, nemusíte mít kontrolu nad jejich pozdravem SMTP. To je v pořádku. Praktickým cílem je ujistit se, že ověření a zarovnání jsou správné a že dodavatel používá renomovanou a stabilní infrastrukturu.

Náprava: přistupujte k přijímání dodavatelů jako ke strukturovanému procesu: nejprve ověřte SPF, DKIM a zarovnání DMARC a poté vyhodnoťte podpůrné signály, jako je reverzní DNS, pokud zjistíte problémy s doručitelností.

5) HELO a MAIL FROM spolu nesouvisí

Toto není automaticky špatně. Mnoho systémů používá pro pozdravy SMTP jiné hostitelské jméno než doménu návratové cesty. Pokud však vše vypadá nesouvisle, mohou to poskytovatelé považovat za podezřelé, zejména v kombinaci s dalšími problémy (vysoká míra reklamací, nízká angažovanost nebo selhání ověřování).

Oprava: upřednostněte správnost a stabilitu. Nepotřebujete, aby každý identifikátor odpovídal, ale chcete, aby každý z nich vypadal záměrně a byl správně nakonfigurován.

Jak zkontrolovat EHLO/HELO v praxi

Máte několik praktických možností v závislosti na tom, jak moc chcete být praktičtí:

• Zkontrolujte protokoly odesílání: většina MTA protokoluje relaci SMTP včetně pozdravu použitého při odchozím doručení.
• Použijte testovací schránku a zkontrolujte hlavičky: mnoho poskytovatelů obsahuje údaje, které napovídají o identitě připojujícího se serveru a názvu HELO/EHLO.
• Telnet nebo openssl na server SMTP: pokud server ovládáte, můžete se připojit a přesně zjistit, co oznamuje (případně použijte STARTTLS).

Pokud jste uprostřed práce na DMARC a vidíte opakovaná selhání ověřování, je často užitečné vyřešit nejprve tato selhání a pak vyčistit sekundární signály, jako je konzistence HELO. Postup řešení problémů je uveden v článku Jak řešit a odstraňovat problémy s protokolem DMARC.

Požadavky na EHLO/HELO a hromadné odesílatele

Společnosti Google a Yahoo zvýšily základní požadavky na hromadné odesílatele. Zatímco jejich zveřejněné požadavky se zaměřují na ověřování (SPF, DKIM, DMARC) a signály uživatelského komfortu (stížnosti, podpora odhlášení), reálná doručitelnost stále závisí na základní hygieně infrastruktury, včetně konzistentní a seriózní identity SMTP.

Pokud diagnostikujete selhání doručování související s dodržováním předpisů nebo matoucí zprávy typu bounce, je tato příručka užitečným společníkem: Navigace v novém systému dodržování předpisů v oblasti elektronické pošty: Průvodce chybovými zprávami Google a Yahoo.

EHLO/HELO a DMARCeye

DMARCeye pomáhá organizacím pochopit, jak nízkoúrovňové signály SMTP, jako jsou EHLO a HELO, souvisejí s reálnými výsledky ověřování a doručitelnosti. Zatímco EHLO/HELO není DMARC přímo vyhodnocováno, problémy na vrstvě připojení SMTP často vyplouvají na povrch nepřímo prostřednictvím selhání ověřování, neočekávaných zdrojů odesílání nebo neobvyklých vzorců provozu.

Analýzou souhrnných zpráv DMARC a jejich korelací s odesílajícími IP adresami a chováním infrastruktury umožňuje DMARCeye uživatelům:

• identifikovat IP adresy a servery odesílající poštu jménem vaší domény.
• Včas odhalit chybně nakonfigurované nebo neočekávané zdroje odesílání.
• Korelovat selhání SPF, DKIM a zarovnání s konkrétní infrastrukturou.
• Sledovat zlepšení při nápravě hygieny odesílání a ověřování.

Pokud existují problémy s konfigurací EHLO/HELO ve vlastní infrastruktuře, často se shodují s dalšími problémy, jako je chybějící reverzní DNS, nestabilní odesílající hostitelé nebo neúplné zarovnání ověřování. DMARCeye poskytuje přehled potřebný pro stanovení priorit oprav a ověření, že změny vedou k měřitelnému zlepšení úspěšnosti ověřování a doručitelnosti.

Zaregistrujte se k bezplatné zkušební verzi DMARCeye ještě dnes a zabezpečte svou e-mailovou doménu.