Plné sladění (Full Alignment)
Plné sladění nastává, když SPF i DKIM projdou a sladí se s doménou From. Poznejte, proč je to zlatý standard autenticity DMARC a jak jej dosáhnout.
Co je plné sladění v ověřování e-mailů?
Plné sladění (full alignment) v DMARC označuje stav, kdy kontroly ověřování SPF i DKIM projdou a sladí se s doménou uvedenou ve viditelné hlavičce From e-mailu. Představuje to nejvyšší úroveň ověření identity domény a zajišťuje, že zpráva je technicky ověřená a zároveň správně spojená s doménou odesílatele. Plné sladění je zlatý standard e-mailové autenticity v rámci vynucování DMARC.
Když zpráva dosáhne plného sladění, projde jednotlivě kontrolami SPF a DKIM a obě se sladí se stejným názvem domény použitým v hlavičce From. Toto sladění přijímajícím poštovním serverům potvrzuje, že zpráva je legitimní, byla odeslána z autorizovaného systému a nebyla při doručení pozměněna.
Jak plné sladění funguje
V rámci DMARC může zpráva projít ověřováním, pokud projde a sladí se s doménou From buď SPF, nebo DKIM. K plnému sladění dojde, když obě projdou a sladí se současně. Aby to přijímající poštovní server určil, provede následující kontroly:
- Kontrola SPF: Potvrzuje, že IP adresa nebo odesílající server je autorizovaný k odesílání pošty pro doménu v Envelope From (MAIL FROM) a že tato doména odpovídá viditelné doméně From (nebo se s ní sladí).
- Kontrola DKIM: Ověřuje digitální podpis zprávy pomocí veřejného klíče zveřejněného v DNS pod podepisující doménou (parametr
d=) a zajišťuje, že se tato doména také sladí s doménou From.
Když obě kontroly uspějí a domény se shodují, zpráva dosáhne plného sladění:
From: billing@example.com
Return-Path: mail.example.com
DKIM-Signature: d=example.comZde se SPF i DKIM sladí s doménou example.com, čímž je splněna podmínka plného sladění DMARC.
Proč na plném sladění záleží
Plné sladění poskytuje nejsilnější záruku autenticity v e-mailové komunikaci. Potvrzuje, že zpráva pochází z autorizované poštovní infrastruktury domény, je kryptograficky podepsána toutéž doménou a příjemcům zobrazuje shodnou doménu. Toto komplexní ověření výrazně snižuje riziko spoofingu, phishingu a napodobování značky.
Mezi přínosy plného sladění patří:
- Nejvyšší možný signál důvěry a autenticity pro poskytovatele e-mailových schránek
- Lepší umístění do doručené pošty a reputace odesílatele
- Silnější ochrana proti neautorizovaným odesílatelům třetích stran
- Nižší riziko odmítnutí zprávy při přísných politikách DMARC
- Lepší forenzní viditelnost a přesnost reportingu
Organizace, které vynucují DMARC na p=reject, často usilují o plné sladění napříč všemi legitimními e-mailovými toky předtím, než přísné vynucování uplatní. Tím se zajistí, že všichni autorizovaní odesílatelé jsou správně nastaveni a že legitimní provoz nebude omylem odmítnut.
Jak dosáhnout plného sladění
Dosažení plného sladění vyžaduje koordinované nastavení záznamů SPF, DKIM a DMARC. Mezi osvědčené postupy patří:
- Zajistit, aby všechny odesílající domény a subdomény měly platné SPF a DKIM záznamy
- Používat konzistentní názvy domén v polích From, Return-Path a v poli DKIM
d= - Nastavit odesílatele třetích stran tak, aby se ověřovali pod vaší doménou, nikoli pod svou
- Uplatnit režimy přísného sladění (
adkim=saaspf=s) v DMARC záznamu pro maximální bezpečnost - Pravidelně kontrolovat souhrnné reporty DMARC a potvrzovat, které e-mailové zdroje sladění dosahují
Příklad DMARC záznamu vynucujícího přísné plné sladění:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc-reports@example.comNastavením obou parametrů adkim a aspf na s se musí domény sladit přesně - klíčový požadavek pro dosažení konzistentního plného sladění u všech zpráv.
Plné sladění a DMARCeye
DMARCeye poskytuje podrobnou viditelnost do výsledků ověřování a stavu sladění pro každou doménu a odesílatele. Platforma zvýrazňuje, které zprávy prošly SPF, DKIM nebo oběma, a umožňuje správcům identifikovat mezery v částečném sladění a pracovat na dosažení plného souladu.
Analytický engine DMARCeye koreluje data o sladění SPF a DKIM s reporty DMARC a přesně určuje odesílatele, kteří v plném sladění selhávají, ať už kvůli konfiguraci třetích stran, chybějícím DNS záznamům, nebo neshodám selektorů. Díky konkrétním doporučením a přehledným dashboardům pomáhá DMARCeye organizacím sebejistě postupovat od monitoringu k plnému vynucování při zachování doručitelnosti a integrity domény.
Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.
Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.