Jak nastavit záznamy SPF, DKIM a DMARC

Proč jsou autentizační záznamy e-mailů důležité

Každý den se odešle přes 300 miliard e-mailů a odhaduje se, že téměř polovina z nich je spam nebo phishingové pokusy. Útočníci běžně falšují odesílatele v poli From, aby se vydávali za legitimní firmy nebo osoby – této technice se říká e-mailový spoofing. Bez správných ochranných mechanismů může kdokoli odeslat e-mail, který vypadá, že přišel z vaší domény, a potenciálně tak oklamat vaše klienty, partnery nebo zaměstnance. SPF, DKIM a DMARC jsou tři propojené DNS záznamy, které společně tvoří systém autentizace e-mailů a chrání vaši doménu před zneužitím.

Kromě ochrany před spoofingem mají tyto záznamy přímý vliv na doručování vašich legitimních e-mailů. Gmail, Outlook a další velcí poskytovatelé e-mailu jsou při kontrolách autentizace stále přísnější, takže je důležité mít profesionální e-mailový hosting se správnou konfigurací – od února 2024 Gmail vyžaduje DKIM a DMARC pro každého, kdo odesílá více než 5 000 e-mailů denně. Bez správně nastavených záznamů mohou vaše firemní e-maily skončit ve složce spam nebo být zcela odmítnuty.

SPF (Sender Policy Framework)

Jak funguje SPF

SPF je DNS záznam typu TXT, který určuje, které servery jsou oprávněny odesílat e-maily jménem vaší domény. Když e-mailový server příjemce přijme zprávu z vaší domény, zkontroluje v DNS záznam SPF, aby zjistil, zda je server odesílatele na seznamu oprávněných. Pokud server na seznamu není, může být e-mail označen jako podezřelý nebo odmítnut. SPF kontroluje adresu odesílatele v obálce (MAIL FROM), nikoli hlavičku From, kterou vidí uživatel, což je důležitý rozdíl pro pochopení toho, jak SPF spolupracuje s DMARC.

Vytvoření záznamu SPF

Záznam SPF se přidává jako TXT záznam do DNS vaší domény. Základní formát začíná hodnotou v=spf1 označující verzi, následují mechanismy, které definují oprávněné odesílatele, a končí kvalifikátorem, jenž určuje, jak naložit s neoprávněnými odesílateli. Například pro doménu, která používá BeoHosting pro e-mail a Google Workspace pro firemní poštu, by záznam SPF vypadal takto: v=spf1 include:_spf.beohosting.com include:_spf.google.com -all. Mechanismus include načte záznamy SPF jiné domény a -all na konci znamená, že všechny ostatní servery nejsou oprávněny a e-mail má být odmítnut.

Časté chyby u SPF

Nejčastější chybou je překročení limitu 10 DNS dotazů. Každý mechanismus include, a a mx vyžaduje jeden DNS dotaz, a pokud jich máte příliš mnoho, validace SPF automaticky selže. Řešením je používat mechanismy ip4 a ip6, které dotazy nespotřebovávají, nebo konsolidovat záznamy include. Další častou chybou je použití vlnovky místo minusu na konci – ~all je soft fail, který e-mail pouze označí jako podezřelý místo toho, aby ho odmítl, zatímco -all je hard fail, který je bezpečnější. Třetí chybou je zapomenout přidat všechny služby, které odesílají e-maily vaším jménem – transakční e-maily, platformy pro newslettery, CRM systémy a helpdeskové nástroje.

DKIM (DomainKeys Identified Mail)

Jak funguje DKIM

DKIM používá k podepisování odchozích e-mailů asymetrickou kryptografii. Váš e-mailový server přidává do hlavičky každé zprávy digitální podpis pomocí soukromého klíče, který zná pouze váš server. Server příjemce najde v DNS vaší domény veřejný klíč a pomocí něj podpis ověří. Pokud podpis sedí, dokazuje to dvě věci: e-mail byl skutečně odeslán ze serveru spravovaného vlastníkem domény a obsah e-mailu nebyl při přenosu změněn. Na rozdíl od SPF, které kontroluje pouze IP adresu odesílatele, DKIM potvrzuje integritu samotné zprávy.

Generování klíčů DKIM

Klíče DKIM se generují jako pár soukromého a veřejného klíče. Soukromý klíč se nainstaluje na e-mailový server a používá se k podepisování zpráv. Veřejný klíč se publikuje jako DNS záznam TXT na konkrétní subdoméně ve formátu selektor._domainkey.vasedomena.cz. Selektor je libovolný řetězec, který klíč identifikuje, například default nebo google. Doporučená minimální délka klíče je 2048 bitů – kratší klíče o délce 1024 bitů jsou považovány za nezabezpečené. Většina poskytovatelů hostingu a e-mailových služeb generuje klíče DKIM automaticky a dá vám jen DNS záznam k přidání.

Nastavení DKIM

Chcete-li DKIM nastavit v BeoHosting, přihlaste se do cPanelu a najděte sekci autentizace e-mailu, kde je DKIM obvykle už aktivovaný. Pro Google Workspace přejděte do Admin Console, poté Aplikace, Gmail, Authenticate Email a vygenerujte klíč DKIM. Google vám poskytne TXT záznam k přidání do DNS. U Microsoft 365 je postup podobný – v Exchange Admin Center povolíte DKIM pro každou doménu a do DNS přidáte dva záznamy CNAME. Po přidání DNS záznamů počkejte až 48 hodin na propagaci DNS, i když obvykle stačí 1–2 hodiny.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Jak funguje DMARC

DMARC spojuje SPF a DKIM do jednotného systému a určuje, jak má server příjemce naložit s e-mailem, který autentizací neprojde. DMARC zavádí koncept zarovnání (alignment) – kontroluje, zda doména v hlavičce From (kterou vidí uživatel) odpovídá doméně, jež prošla kontrolou SPF nebo DKIM. To je klíčové, protože SPF a DKIM samy o sobě nechrání hlavičku From, kterou uživatelé skutečně vidí. DMARC navíc zavádí systém reportingu, který vám zasílá denní zprávy o tom, kdo odesílá e-maily z vaší domény a zda projdou autentizací.

Vytvoření záznamu DMARC

Záznam DMARC se přidává jako TXT záznam na subdoménu _dmarc.vasedomena.cz. Základní záznam vypadá takto: v=DMARC1; p=none; rua=mailto:dmarc@vasedomena.cz. Tag v označuje verzi, p definuje politiku (none, quarantine nebo reject) a rua je e-mailová adresa pro příjem souhrnných reportů. Doporučujeme postupný přístup: začněte s p=none, abyste pouze sledovali, kdo z vaší domény odesílá e-maily, bez blokování; po analýze reportů přejděte na p=quarantine, aby podezřelé e-maily putovaly do spamu; a nakonec povolte p=reject, abyste neoprávněné e-maily zcela odmítali.

Politiky DMARC

Politika none je monitorovací režim, který neovlivňuje doručování e-mailů, ale zasílá vám reporty. Použijte ji během prvních 2–4 týdnů k identifikaci všech legitimních služeb, které z vaší domény odesílají e-maily, a přidejte je do konfigurace SPF a DKIM. Politika quarantine instruuje server příjemce, aby podezřelé e-maily umístil do složky spam – to je dobrý mezikrok, který chrání příjemce, ale e-maily zcela neblokuje pro případ chyb v konfiguraci. Politika reject je nejpřísnější a e-maily, které neprojdou autentizací, zcela odmítá – povolte ji až tehdy, když máte jistotu, že jsou všechny legitimní zdroje správně nakonfigurovány.

Analýza reportů DMARC

Souhrnné reporty DMARC přicházejí ve formátu XML a obsahují informace o IP adresách, které z vaší domény odesílají e-maily, o tom, zda prošly kontrolami SPF a DKIM, a o procentu e-mailů, jež autentizací prošly. Surové XML reporty se čtou špatně, proto doporučujeme používat bezplatné nástroje jako DMARC Analyzer, dmarcian nebo Postmark DMARC tool, které data vizualizují a zjednodušují analýzu. Pravidelná analýza reportů odhaluje neoprávněné používání vaší domény a pomáhá optimalizovat konfiguraci.

Testování konfigurace

Online testovací nástroje

Po nastavení záznamů konfiguraci určitě otestujte. MXToolbox je komplexní nástroj, který kontroluje záznamy SPF, DKIM a DMARC a zobrazuje podrobné výsledky s vysvětlením chyb. Mail-tester.com hodnotí celkovou konfiguraci e-mailu na škále od 1 do 10 – odešlete testovací e-mail na vygenerovanou adresu a dostanete podrobný report. Google Postmaster Tools ukazuje, jak Gmail vidí vaše e-maily, a identifikuje problémy s autentizací. Konkrétně pro DKIM použijte nástroj DKIMCore k ověření DNS záznamů nebo odešlete e-mail na adresu check-auth@verifier.port25.com pro automatickou kontrolu.

Kontrola z příkazové řádky

Techničtí uživatelé si mohou DNS záznamy zkontrolovat přímo z terminálu. Příkaz dig TXT vasedomena.cz zkontroluje záznam SPF. Pro DKIM použijte dig TXT selektor._domainkey.vasedomena.cz, kde selektor je váš DKIM selektor. Pro DMARC použijte dig TXT _dmarc.vasedomena.cz. Ve Windows použijte nslookup s typem TXT. Tyto příkazy zobrazí skutečné hodnoty v DNS a pomáhají odhalit problémy s propagací nebo formátem záznamu.

Řešení častých problémů

• E-mail končí ve spamu: Zkontrolujte, zda projdou SPF, DKIM i DMARC – výsledky autentizace zjistíte analýzou hlaviček v přijatém e-mailu.
• SPF PermError: Příliš mnoho DNS dotazů – konsolidujte mechanismy include nebo použijte přímo IP adresy.
• DKIM fail: Zkontrolujte, zda je veřejný klíč správně publikovaný v DNS a zda selektor v DNS odpovídá selektoru, který používá e-mailový server.
• DMARC alignment fail: Doména v poli From neodpovídá doméně z kontroly SPF nebo DKIM – časté u e-mailových služeb třetích stran.
• Newsletter se vrací: Přidejte svou službu pro newslettery (Mailchimp, SendinBlue) do záznamu SPF a povolte podepisování DKIM v jejich administraci.
• Transakční e-maily jsou odmítány: SaaS platformy, které odesílají e-maily vaším jménem, musí být zahrnuty v SPF a mít podepisování DKIM.

Závěr

Správná konfigurace záznamů SPF, DKIM a DMARC je dnes povinností pro každou doménu, která odesílá e-maily. Tyto záznamy chrání vaši značku před spoofingem, zlepšují doručování legitimních e-mailů a dávají vám přehled o tom, kdo z vaší domény odesílá poštu. Začněte s SPF, přidejte DKIM, poté povolte DMARC v monitorovacím režimu a politiku postupně zpřísňujte. V BeoHosting automaticky konfigurujeme SPF a DKIM pro všechny hostingové účty a poskytujeme technickou podporu při nastavení DMARC s cílem, aby vaše e-maily vždy dorazily do doručené pošty, a ne do spamu.