Kako nastaviti zapise SPF, DKIM in DMARC

Zakaj so zapisi za avtentikacijo e-pošte pomembni

Vsak dan se pošlje več kot 300 milijard e-poštnih sporočil, ocenjuje pa se, da je skoraj polovica od tega neželena pošta ali poskusi lažnega predstavljanja. Napadalci rutinsko ponarejajo naslov From e-pošte, da bi se predstavili kot legitimna podjetja ali osebe - ta tehnika se imenuje email spoofing. Brez ustreznih zaščitnih mehanizmov lahko kdorkoli pošlje e-pošto, ki izgleda, kot da prihaja z vaše domene, in s tem potencialno preslepi vaše stranke, partnerje ali zaposlene. SPF, DKIM in DMARC so trije med seboj povezani DNS zapisi, ki skupaj tvorijo sistem za avtentikacijo e-pošte in ščitijo vašo domeno pred zlorabo.

Poleg zaščite pred spoofingom ti zapisi neposredno vplivajo na dostavo vaše legitimne e-pošte. Gmail, Outlook in drugi veliki e-poštni ponudniki vse strožje preverjajo avtentikacijo, zato je pomembno imeti profesionalno e-poštno gostovanje z ustrezno konfiguracijo - od februarja 2024 Gmail zahteva DKIM in DMARC za vse, ki pošiljajo več kot 5000 e-poštnih sporočil dnevno. Brez pravilno konfiguriranih zapisov lahko vaša poslovna e-pošta konča v mapi z neželeno pošto ali pa je popolnoma zavrnjena.

SPF (Sender Policy Framework)

Kako deluje SPF

SPF je DNS TXT zapis, ki opredeljuje, kateri strežniki imajo dovoljenje za pošiljanje e-pošte v imenu vaše domene. Ko e-poštni strežnik prejemnika prejme sporočilo z vaše domene, preveri SPF zapis v DNS, da ugotovi, ali je strežnik pošiljatelja na seznamu pooblaščenih strežnikov. Če strežnik ni na seznamu, je lahko e-pošta označena kot sumljiva ali zavrnjena. SPF preverja naslov envelope sender (MAIL FROM), ne glave From, ki jo uporabnik vidi, kar je pomembna razlika za razumevanje, kako SPF sodeluje z DMARC.

Ustvarjanje SPF zapisa

SPF zapis se doda kot TXT zapis v DNS vaše domene. Osnovni format se začne z v=spf1, ki označuje različico, nato sledijo mehanizmi, ki opredeljujejo pooblaščene pošiljatelje, in se konča s kvalifikatorjem, ki določa, kaj storiti z nepooblaščenimi pošiljatelji. Na primer, za domeno, ki uporablja BeoHosting za e-pošto in Google Workspace za poslovno e-pošto, bi SPF zapis izgledal takole: v=spf1 include:_spf.beohosting.com include:_spf.google.com -all. Mehanizem include vključuje SPF zapise druge domene, -all na koncu pa pomeni, da vsi ostali strežniki niso pooblaščeni in e-pošto je treba zavrniti.

Pogoste napake SPF

Najpogostejša napaka je prekoračitev omejitve 10 DNS poizvedb. Vsak mehanizem include, a in mx zahteva DNS poizvedbo, in če jih imate preveč, validacija SPF samodejno odpove. Rešitev je uporaba mehanizmov ip4 in ip6, ki ne porabljajo poizvedb, ali konsolidacija mehanizmov include. Druga pogosta napaka je uporaba tilde namesto minusa na koncu - ~all je soft fail, ki e-pošto le označi kot sumljivo, namesto da bi jo zavrnil, medtem ko je -all hard fail, ki je varnejši. Tretja napaka je, da pozabite dodati vse storitve, ki pošiljajo e-pošto v vašem imenu - transakcijska e-pošta, platforme za novičnike, sistemi CRM in orodja za podporo.

DKIM (DomainKeys Identified Mail)

Kako deluje DKIM

DKIM uporablja kriptografijo javnega ključa za podpisovanje odhodne e-pošte. Vaš e-poštni strežnik doda digitalni podpis v glavo vsakega sporočila z uporabo zasebnega ključa, ki je znan le vašemu strežniku. Strežnik prejemnika poišče javni ključ v DNS vaše domene in ga uporabi za preverjanje podpisa. Če se podpis ujema, to dokazuje dvoje: e-pošta je bila resnično poslana s strežnika, ki ga nadzira lastnik domene, in vsebina e-pošte se med prenosom ni spremenila. V nasprotju s SPF, ki preverja le IP naslov pošiljatelja, DKIM potrjuje celovitost samega sporočila.

Generiranje DKIM ključev

DKIM ključi se generirajo kot par zasebnega in javnega ključa. Zasebni ključ se namesti na e-poštni strežnik in se uporablja za podpisovanje sporočil. Javni ključ se objavi kot DNS TXT zapis na specifični poddomeni v formatu selektor._domainkey.vasadomena.com. Selektor je poljuben niz, ki identificira ključ, na primer default ali google. Priporočena najmanjša dolžina ključa je 2048 bitov - krajši ključi od 1024 bitov se štejejo za nevarne. Večina ponudnikov gostovanja in e-poštnih storitev samodejno generira DKIM ključe in vam da le DNS zapis, ki ga je treba dodati.

Nastavitev DKIM

Za nastavitev DKIM pri BeoHostingu dostopajte do cPanel in poiščite razdelek za avtentikacijo e-pošte, kjer je DKIM običajno že aktiviran. Za Google Workspace pojdite na skrbniško konzolo, nato Apps, Gmail, Authenticate Email in generirajte DKIM ključ. Google vam da TXT zapis, ki ga dodate v DNS. Za Microsoft 365 je postopek podoben - v Exchange Admin Center aktivirate DKIM za vsako domeno in dodate dva CNAME zapisa v DNS. Po dodajanju DNS zapisov počakajte do 48 ur za DNS propagacijo, čeprav je običajno dovolj 1-2 uri.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Kako deluje DMARC

DMARC povezuje SPF in DKIM v enoten sistem in opredeljuje, kaj naj strežnik prejemnika stori z e-pošto, ki ne prestane avtentikacije. DMARC uvaja koncept alignment - preverja, ali se domena v glavi From (ki jo uporabnik vidi) ujema z domeno, ki je prestala preverjanje SPF ali DKIM. To je ključno, ker SPF in DKIM sama po sebi ne ščitita glave From, ki jo uporabniki dejansko vidijo. DMARC uvaja tudi sistem poročanja, ki vam pošilja dnevna poročila o tem, kdo pošilja e-pošto z vaše domene in ali prestane avtentikacijo.

Ustvarjanje DMARC zapisa

DMARC zapis se doda kot TXT zapis na poddomeno _dmarc.vasadomena.com. Osnovni zapis izgleda takole: v=DMARC1; p=none; rua=mailto:dmarc@vasadomena.com. Oznaka v označuje različico, p opredeljuje politiko (none, quarantine ali reject), rua pa je e-poštni naslov, na katerega prejemate agregirana poročila. Priporočamo postopen pristop: začnite z p=none, da le spremljate, kdo pošilja e-pošto z vaše domene, brez blokiranja, po analizi poročil preidite na p=quarantine, da sumljiva e-pošta gre v neželeno pošto, in na koncu aktivirajte p=reject za popolno zavrnitev nepooblaščene e-pošte.

DMARC politike

Politika none je način spremljanja, ki ne vpliva na dostavo e-pošte, a vam pošilja poročila. Uporabljajte jo prvih 2-4 tedne, da prepoznate vse legitimne storitve, ki pošiljajo e-pošto z vaše domene, in jih dodate v konfiguracijo SPF in DKIM. Politika quarantine naroči strežniku prejemnika, naj sumljivo e-pošto postavi v mapo z neželeno pošto - to je dober vmesni korak, ki ščiti prejemnike, a ne blokira popolnoma e-pošte v primeru konfiguracijskih napak. Politika reject je najstrožja in popolnoma zavrne e-pošto, ki ne prestane avtentikacije - aktivirajte jo šele, ko ste prepričani, da so vsi legitimni viri pravilno konfigurirani.

Analiza DMARC poročil

Agregirana DMARC poročila prihajajo v formatu XML in vsebujejo informacije o IP naslovih, ki pošiljajo e-pošto z vaše domene, ali so prestali preverjanji SPF in DKIM ter kolikšen odstotek e-pošte prestane avtentikacijo. Surova XML poročila je težko brati, zato priporočamo uporabo brezplačnih orodij, kot so DMARC Analyzer, dmarcian ali orodje Postmark DMARC, ki vizualizirajo podatke in olajšajo analizo. Redna analiza poročil razkrije nepooblaščeno uporabo vaše domene in pomaga pri optimizaciji konfiguracije.

Testiranje konfiguracije

Spletna orodja za testiranje

Po nastavitvi zapisov obvezno preizkusite konfiguracijo. MXToolbox je celovito orodje, ki preverja zapise SPF, DKIM in DMARC ter prikazuje podrobne rezultate z razlagami napak. Mail-tester.com oceni celotno konfiguracijo e-pošte na lestvici od 1 do 10 - pošljite testno e-pošto na generirani naslov in dobite podrobno poročilo. Google Postmaster Tools prikazuje, kako Gmail vidi vašo e-pošto, in prepozna težave z avtentikacijo. Za DKIM specifično uporabite orodje DKIMCore za preverjanje DNS zapisov ali pošljite e-pošto na check-auth@verifier.port25.com za samodejno preverjanje.

Preverjanje iz ukazne vrstice

Za tehnične uporabnike je mogoče DNS zapise preveriti neposredno iz terminala. Z ukazom dig TXT vasadomena.com preverite SPF zapis. Za DKIM uporabite dig TXT selektor._domainkey.vasadomena.com, kjer je selektor vaš DKIM selektor. Za DMARC uporabite dig TXT _dmarc.vasadomena.com. V sistemu Windows uporabite nslookup s tipom TXT. Ti ukazi prikazujejo dejanske DNS vrednosti in pomagajo pri prepoznavanju težav s propagacijo ali oblikovanjem zapisov.

Odpravljanje pogostih težav

• E-pošta gre v neželeno pošto: Preverite, ali SPF, DKIM in DMARC vsi uspešno prestanejo - uporabite analizo glave v prejeti e-pošti, da vidite rezultate avtentikacije.
• SPF PermError: Preveč DNS poizvedb - konsolidirajte mehanizme include ali uporabite IP naslove neposredno.
• DKIM fail: Preverite, ali je javni ključ pravilno objavljen v DNS in ali se selektor v DNS ujema s selektorjem, ki ga uporablja e-poštni strežnik.
• DMARC alignment fail: Domena From se ne ujema z domeno v preverjanju SPF ali DKIM - pogosta težava s storitvami e-pošte tretjih oseb.
• Novičnik se vrača (bouncing): Dodajte svojo storitev za novičnike (Mailchimp, SendinBlue) v SPF zapis in aktivirajte DKIM podpisovanje prek njihove nadzorne plošče.
• Transakcijska e-pošta zavrnjena: SaaS platforme, ki pošiljajo e-pošto v vašem imenu, morajo biti vključene v SPF in imeti DKIM podpisovanje.

Zaključek

Pravilna konfiguracija zapisov SPF, DKIM in DMARC je danes obvezna za vsako domeno, ki pošilja e-pošto. Ti zapisi ščitijo vašo blagovno znamko pred spoofingom, izboljšujejo dostavo legitimne e-pošte in nudijo vpogled v to, kdo pošilja e-pošto z vaše domene. Začnite s SPF, dodajte DKIM, nato aktivirajte DMARC v načinu spremljanja in postopoma stopnjujte politiko. Pri BeoHostingu samodejno konfiguriramo SPF in DKIM za vse gostovalne račune in nudimo tehnično podporo za nastavitev DMARC s ciljem, da vaša e-pošta vedno prispe v mapo prejeto in ne v neželeno pošto.