Odesílatelé e-mailů třetích stran jsou jednou z nejčastějších příčin selhání DMARC. Ať už zavádíte nový ESP, CRM, ticketovací platformu, fakturační systém nebo marketingovou agenturu, i malá chybná konfigurace může narušit sladění, poškodit doručitelnost nebo vystavit vaši doménu zneužití.
Tento článek popisuje praktický 30denní rámec pro bezpečné onboardování odesílatelů třetích stran. Je určen pro týmy, které chtějí postupovat rychle, aniž by obětovaly kontrolu, viditelnost nebo dlouhodobé prosazování protokolu DMARC.
K selhání protokolu DMARC během onboardingu dochází jen zřídka, protože protokol je složitý. Dochází k nim proto, že není jasné vlastnictví a změny jsou uspěchané. Dodavatelé dostanou povolení odesílat e-maily před dokončením ověřování, změny DNS jsou provedeny bez ověření nebo se předpokládá sladění namísto testování.
Mezi nejčastější místa selhání patří:
Strukturovaný proces onboardingu těmto problémům předchází tím, že ke každému odesílateli přistupuje jako ke kontrolované změně, nikoli jako k jednorázové výjimce.
První týden zavádí kontrolu a viditelnost. Před zahájením jakéhokoli produkčního odesílání je třeba mít úplnou představu o tom, co bude odesílatel dělat a kdo je za to odpovědný.
Každý odesílatel třetí strany by měl mít zdokumentovaný záznam, který obsahuje:
Tento soupis se stává nezbytným s tím, jak se váš ekosystém odesílatelů rozrůstá. Mnoho organizací objeví zapomenuté dodavatele až tehdy, když se objeví ve zprávách DMARC o několik měsíců později.
Před povolením jakéhokoli odesílání ověřte, zda dodavatel podporuje řádné ověřování. To zahrnuje minimálně:
Pokud dodavatel nemůže podporovat zarovnání DKIM, neměl by mít povoleno odesílání z vaší domény.
Zajistěte, aby v kořenové doméně existoval záznam DMARC s p=none a monitorovanou adresou rua. Pokud bude odesílatel používat subdoménu, zveřejněte vyhrazený záznam DMARC i tam.
To vám umožní shromažďovat údaje o ověřování bez dopadu na doručování. Pokud si potřebujete osvěžit informace, přečtěte si článek Jak číst souhrnné zprávy DMARC.
Spusťte testovací odesílání na výchozí seznam, který zahrnuje Gmail, Yahoo, Microsoft a všechny regionálně významné poskytovatele poštovních schránek. Zachyťte základní výsledky, jako např:
Tato základní úroveň vám poskytne referenční bod pro pozdější pilotní fáze.
Druhý týden se zaměřuje výhradně na správnost ověřování. Dokud není ověřeno zarovnání, nemělo by se nic škálovat.
DKIM by měl být povolen pro každého odesílatele pomocí jedinečného selektoru. Dokumentujte:
Selektory by měly být specifické pro dodavatele, aby budoucí změny nebo odstranění neměly dopad na nesouvisející odesílatele.
Pečlivě aktualizujte SPF. Odstraňte starší zařazení, konsolidujte, kde je to možné, a zajistěte, aby záznam zůstal pod limitem 10 vyhledávání. Selhání SPF jsou častou příčinou nesprávného nastavení DMARC během zapracování.
Po každé změně znovu otestujte ověřování u hlavních poskytovatelů poštovních schránek.
Zkontrolujte záhlaví zprávy a potvrďte:
Zarovnání je často špatně chápáno. Pokud potřebujete vysvětlení, podívejte se na článek DMARC vs DKIM vs SPF: Jaký je mezi nimi rozdíl?
Pokud bude odesílatel doručovat marketingové nebo hromadné e-maily, zajistěte soulad s aktuálními požadavky poskytovatele poštovních schránek. Gmail a Yahoo nyní očekávají ověřenou poštu a funkční hlavičky pro odhlášení jedním kliknutím.
Otestujte odhlašovací toky od konce do konce a ověřte, že se dokončí v požadovaných lhůtách. Tyto detaily jsou stále více vázány na umístění ve schránce.
Jakmile je ověřování stabilní, přejděte do fáze řízeného pilotního odesílání. Cílem je pozorovat chování v reálném světě, aniž byste riskovali celé publikum.
Začněte s nízkoobjemovými nebo málo rizikovými kampaněmi. Monitorujte:
Jakýkoli posun by měl být podnětem k prošetření, nikoli k pokračování v nárůstu.
Před zvýšením objemu definujte objektivní kritéria, jako např:
Tyto brány odstraní subjektivitu z rozhodování o spuštění.
Závěrečná fáze připravuje odesílatele na plnou produkci a dlouhodobou správu.
Aktualizujte inventář odesílatele pomocí:
Tato dokumentace je neocenitelná při auditech, incidentech nebo přechodech týmů.
Dobře nalodění odesílatelé umožňují vynucení. Když se veškerá legitimní pošta sladí, můžete bezpečně přesunout domény do p=karanténa nebo p=odmítnout.
Pokyny k tomuto přechodu naleznete v článku Jak zastavit podvržené e-maily a phishingové útoky pomocí DMARC.
Odesílatelé třetích stran se v průběhu času mění. Naplánujte pravidelné opakované testy, rotace klíčů DKIM a revize SPF. K onboardingu přistupujte jako k životnímu cyklu, nikoli jako k jednorázovému úkolu.
S rostoucím počtem odesílatelů se ruční sledování stává neudržitelným. DMARCeye centralizuje přehled tím, že surová data DMARC mění na přehledné informační panely a upozornění.
Díky DMARCeye mohou týmy:
Tento přehled umožňuje organizacím s jistotou přijímat odesílatele třetích stran a zároveň si zachovat dlouhodobou kontrolu.
Začněte s bezplatnou zkušební verzí DMARCeye a vneste strukturu do přijímání odesílatelů třetích stran.
Širší pohled na ověřování a správu odesílatelů najdete v našem průvodci o základech spoofingu a o tom, jak mu předcházet.