Preskoči na sadržaj
Pustili smo novi sajt sa mnogo novih opcija — AI Builder uskoro
(+381) 60 3535 720
Moj nalog
🇷🇸
BeoHosting
BeoHosting
Korisnički PanelKontaktirajte nas
(+381) 60 3535 720
 
Email

Kako podesiti SPF, DKIM i DMARC zapise

BeoHosting Tim··10 min čitanja
Kako podesiti SPF, DKIM i DMARC zapise

Zašto su email autentifikacioni zapisi važni

Svakodnevno se šalje preko 300 milijardi emailova, a procenjuje se da je gotovo polovina od toga spam ili phishing pokušaji. Napadači rutinski falsifikuju From adresu emaila kako bi se predstavili kao legitimne kompanije ili osobe - ova tehnika se zove email spoofing. Bez odgovarajućih zaštitnih mehanizama, bilo ko može poslati email koji izgleda kao da dolazi sa vaše domene, potencijalno varajući vaše klijente, partnere ili zaposlene. SPF, DKIM i DMARC su tri međusobno povezana DNS zapisa koja zajedno formiraju sistem autentifikacije emaila i štite vaš domen od zloupotrebe.

Osim zaštite od spoofing-a, ovi zapisi direktno utiču na isporuku vaših legitimnih emailova. Gmail, Outlook i drugi veliki email provajderi sve strožije proveravaju autentifikaciju, pa je bitno imati profesionalan email hosting sa ispravnom konfiguracijom - od februara 2024. Gmail zahteva DKIM i DMARC za sve koji šalju više od 5000 emailova dnevno. Bez pravilno konfigurisanih zapisa, vaši poslovni emailovi mogu završiti u spam folderu ili biti potpuno odbijeni.

SPF (Sender Policy Framework)

Kako SPF funkcioniše

SPF je DNS TXT zapis koji definiše koji serveri imaju dozvolu da šalju email u ime vaše domene. Kada primaočev email server primi poruku sa vaše domene, proverava SPF zapis u DNS-u da utvrdi da li je server pošiljaoca na listi ovlašćenih servera. Ako server nije na listi, email može biti označen kao sumnjiv ili odbijen. SPF proverava envelope sender adresu (MAIL FROM), ne From header koji korisnik vidi, što je važna distinkcija za razumevanje kako SPF sarađuje sa DMARC-om.

Kreiranje SPF zapisa

SPF zapis se dodaje kao TXT zapis u DNS-u vaše domene. Osnovni format počinje sa v=spf1 koji označava verziju, zatim slede mehanizmi koji definišu ovlašćene pošiljaoce, i završava se kvalifikatorom koji određuje šta raditi sa neovlašćenim pošiljaocima. Na primer, za domen koji koristi BeoHosting za email i Google Workspace za poslovni email, SPF zapis bi izgledao ovako: v=spf1 include:_spf.beohosting.rs include:_spf.google.com -all. Mehanizam include uključuje SPF zapise drugog domena, a -all na kraju znači da svi ostali serveri nisu ovlašćeni i email treba odbiti.

Česte SPF greške

Najčešća greška je prekoračenje limita od 10 DNS lookup-ova. Svaki include, a i mx mehanizam zahteva DNS lookup, i ako ih imate previše, SPF validacija automatski pada. Rešenje je korišćenje ip4 i ip6 mehanizama koji ne troše lookup-e, ili konsolidacija include-ova. Druga česta greška je korišćenje tilde umesto minusa na kraju - ~all je soft fail koji samo označava email kao sumnjiv umesto da ga odbije, dok je -all hard fail koji je bezbedniji. Treća greška je zaboravljanje da dodate sve servise koji šalju email u vaše ime - transakcione emailove, newsletter platforme, CRM sisteme i helpdesk alate.

DKIM (DomainKeys Identified Mail)

Kako DKIM funkcioniše

DKIM koristi kriptografiju javnog ključa za potpisivanje odlaznih emailova. Vaš email server dodaje digitalni potpis u header svake poruke koristeći privatni ključ koji je poznat samo vašem serveru. Primaočev server pronalazi javni ključ u DNS-u vaše domene i koristi ga za verifikaciju potpisa. Ako se potpis poklapa, to dokazuje dve stvari: email je zaista poslat sa servera koji kontroliše vlasnik domene, i sadržaj emaila nije menjan u tranzitu. Za razliku od SPF-a koji samo proverava IP adresu pošiljaoca, DKIM potvrđuje integritet same poruke.

Generisanje DKIM ključeva

DKIM ključevi se generišu kao par privatnog i javnog ključa. Privatni ključ se instalira na email server i koristi za potpisivanje poruka. Javni ključ se objavljuje kao DNS TXT zapis na specifičnom poddomenu u formatu selektor._domainkey.vasadomena.rs. Selektor je proizvoljni string koji identifikuje ključ, na primer default ili google. Preporučena minimalna dužina ključa je 2048 bita - kraći ključevi od 1024 bita se smatraju nesigurnim. Većina hosting provajdera i email servisa automatski generiše DKIM ključeve i daje vam samo DNS zapis koji treba dodati.

Postavljanje DKIM-a

Za postavljanje DKIM-a na BeoHosting-u, pristupite cPanel-u i pronađite sekciju za email autentifikaciju gde je DKIM obično već aktiviran. Za Google Workspace, idite na Admin konzolu, zatim Apps, Gmail, Authenticate Email i generirajte DKIM ključ. Google vam daje TXT zapis koji dodajete u DNS. Za Microsoft 365, proces je sličan - u Exchange Admin Center-u aktivirate DKIM za svaku domenu i dodajete dva CNAME zapisa u DNS. Nakon dodavanja DNS zapisa, sačekajte do 48 sati za DNS propagaciju, mada je obično dovoljno 1-2 sata.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Kako DMARC funkcioniše

DMARC povezuje SPF i DKIM u jedinstven sistem i definiše šta primaočev server treba da uradi sa emailom koji ne prođe autentifikaciju. DMARC uvodi koncept alignment-a - proverava da li domen u From header-u (koji korisnik vidi) odgovara domenu koji je prošao SPF ili DKIM proveru. Ovo je ključno jer SPF i DKIM sami po sebi ne štite From header koji korisnici zapravo vide. DMARC takođe uvodi sistem izveštavanja koji vam šalje dnevne izveštaje o tome ko šalje email sa vaše domene i da li prolaze autentifikaciju.

Kreiranje DMARC zapisa

DMARC zapis se dodaje kao TXT zapis na _dmarc.vasadomena.rs poddomenu. Osnovni zapis izgleda ovako: v=DMARC1; p=none; rua=mailto:[email protected]. Tag v označava verziju, p definiše politiku (none, quarantine ili reject), a rua je email adresa na koju primate agregirane izveštaje. Preporučujemo postepeni pristup: počnite sa p=none da samo pratite ko šalje email sa vaše domene bez blokiranja, nakon analize izveštaja pređite na p=quarantine da sumnjivi emailovi idu u spam, i na kraju aktivirajte p=reject za potpuno odbijanje neautorizovanih emailova.

DMARC politike

Politika none je režim praćenja koji ne utiče na isporuku emailova ali vam šalje izveštaje. Koristite je prvih 2-4 nedelje da identifikujete sve legitimne servise koji šalju email sa vaše domene i dodate ih u SPF i DKIM konfiguraciju. Politika quarantine instruira primaočev server da sumnjive emailove stavi u spam folder - ovo je dobar srednji korak koji štiti primaoce ali ne blokira potpuno emailove u slučaju konfiguracionih grešaka. Politika reject je najstroža i potpuno odbija emailove koji ne prođu autentifikaciju - aktivirajte je tek kada ste sigurni da su svi legitimni izvori pravilno konfigurisani.

Analiza DMARC izveštaja

DMARC agregirani izveštaji stižu u XML formatu i sadrže informacije o IP adresama koje šalju email sa vaše domene, da li su prošle SPF i DKIM provere i koji procenat emailova prolazi autentifikaciju. Sirovi XML izveštaji su teški za čitanje, pa preporučujemo korišćenje besplatnih alata poput DMARC Analyzer-a, dmarcian-a ili Postmark DMARC alata koji vizualizuju podatke i olakšavaju analizu. Redovna analiza izveštaja otkriva neovlašćeno korišćenje vaše domene i pomaže u optimizaciji konfiguracije.

Testiranje konfiguracije

Online alati za testiranje

Nakon postavljanja zapisa, obavezno testirajte konfiguraciju. MXToolbox je sveobuhvatan alat koji proverava SPF, DKIM i DMARC zapise i prikazuje detaljne rezultate sa objašnjenjima grešaka. Mail-tester.com ocenjuje ukupnu konfiguraciju emaila na skali od 1 do 10 - pošaljite test email na generisanu adresu i dobijate detajan izveštaj. Google Postmaster Tools prikazuje kako Gmail vidi vaše emailove i identifikuje probleme sa autentifikacijom. Za DKIM specifično, koristite DKIMCore alat za verifikaciju DNS zapisa ili pošaljite email na [email protected] za automatsku proveru.

Provera iz komandne linije

Za tehničke korisnike, DNS zapisi se mogu proveriti direktno iz terminala. Komandom dig TXT vasadomena.rs proveravate SPF zapis. Za DKIM koristite dig TXT selektor._domainkey.vasadomena.rs gde je selektor vaš DKIM selektor. Za DMARC koristite dig TXT _dmarc.vasadomena.rs. Na Windows-u koristite nslookup sa tipom TXT. Ove komande prikazuju stvarne DNS vrednosti i pomažu u identifikovanju problema sa propagacijom ili formatiranjem zapisa.

Troubleshooting čestih problema

  • Email ide u spam: Proverite da li SPF, DKIM i DMARC svi prolaze - koristite header analizu u primljenom emailu da vidite rezultate autentifikacije.
  • SPF PermerError: Previše DNS lookup-ova - konsolidujte include mehanizme ili koristite IP adrese direktno.
  • DKIM fail: Proverite da li je javni ključ pravilno objavljen u DNS-u i da li selektor u DNS-u odgovara selektoru koji email server koristi.
  • DMARC alignment fail: From domen se ne poklapa sa domenom u SPF ili DKIM proveri - čest problem sa third-party email servisima.
  • Newsletter bouncing: Dodajte vaš newsletter servis (Mailchimp, SendinBlue) u SPF zapis i aktivirajte DKIM potpisivanje kroz njihov dashboard.
  • Transakcioni emailovi odbijeni: SaaS platforme koje šalju email u vaše ime moraju biti uključene u SPF i imati DKIM potpisivanje.

Zaključak

Pravilno konfigurisanje SPF, DKIM i DMARC zapisa je danas obavezno za svaku domenu koja šalje emailove. Ovi zapisi štite vaš brend od spoofing-a, poboljšavaju isporuku legitimnih emailova i pružaju uvid u to ko šalje email sa vaše domene. Počnite sa SPF-om, dodajte DKIM, zatim aktivirajte DMARC u režimu praćenja i postepeno pojačavajte politiku. Na BeoHosting-u automatski konfigurišemo SPF i DKIM za sve hosting naloge i pružamo tehničku podršku za postavljanje DMARC-a sa ciljem da vaši emailovi uvek stižu u inbox a ne u spam folder.

BeoHosting Tim

10+ godina iskustva — Stručnjaci za web hosting i infrastrukturu

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Poslednje ažurirano:

Povezani članci

Kako podesiti profesionalni email za firmu

11. avgust 2025.

Kako sprečiti da vaši emailovi završavaju u spam-u

10. avgust 2025.

Email etikecija za poslovnu komunikaciju

1. septembar 2025.
Nazad na blogVise iz kategorije: Email