DKIM, SPF a DMARC

Spolehlivé doručování emailů

článek byl vytvořen 22.5.2015, editován 09.07.2025

Poskytovatelé emailových schránek  zavádí různá opatření proto, aby dokázali rozlišit legitimní emaily od nevyžádané pošty. Tato problematika je poměrně obsáhlá a zahrnuje v sobě spoustu dílčích pravidel. Aktuálně (rok 2025) vyžadují někeří poskytovatelé mailserverů (zejména gmail.com, icloud.com), aby na odesílací doméně byly aktivní technologie DKIM, SPF a v některých případech dokonce i DMARC. Aplikace těchto technologií již přestává být možností ale stává se spíše nutností.

Protože správné nastavení není úplně jednoduché a chybné nastavení znamená mnohdy kompletní znemožnění e-mailové komunikace nastavujeme dané technologie z naší strany na klíč včetně otestování. K nastavení potřebujeme mít přístup k DNS záznamům domény (ten máme pokud doménu platíte nám). V případě kdy tyto přístupy nemáme, provedeme potřebné nastavení na straně webhostingu / eshopu a zašleme vám potřebné podklady pro vašeho správce DNS. Po nastavení DNS vždy testujeme, zda je vše nastaveno správně a zda jsou aplikované technologie aktivní. Cena aktivace každé ze služeb je stanovena na 300,- Kč bez DPH. V případě aktivace více služeb (DKIM + SPF / DKIM + SPF + DMARC) je pak cena stanovena na 500,- Kč bez DPH. U nově zakládaných webhostingů řešíme aplikaci DKIM a SPF automaticky zdarma. 

Níže jsou popsány jednotlivé technologie, doporučujeme se s nimi před jejich vyžádáním alespoň ve stručnosti seznámit.

1. Technologie DKIM (DomainKeys Identified Mail) 

Princip této technologie spočívá v tom, že je do zasílaného emailu automaticky vložen podpis, který je ověřen přijímací stranou. Emaily jsou podepisovány soukromým klíčem a ověřovány veřejným klíčem, který je uveden v DNS záznamu u vaší domény. Bez znalosti soukromého klíče nemůže nikdo další vaším jménem odesílat podepsané emaily. Podpisy se aplikují automaticky na mailserveru / e-shopu, není z vaší strany nutná žádná součinnost.

Podepisování emailů technologií DKIM je jakýmsi nutným základem, bez DKIM podpisu řada mailserverů váš email automaticky odmítne.

Více zde: http://www.root.cz/clanky/jak-spammerum-zabranit-falsovat-adresy-je-tu-dkim/

2. Technologie SPF (Sender Policy Framework)

Tato technologie spočívá v tom, že jsou pro konkrétní doménu nastaveny IP adresy, ze kterých je možné emaily odesílat. Když pak e-mail dorazí k příjemci, jeho server zkontroluje, jestli byl odeslán z povoleného "místa". Pokud ne, může ho označit jako podezřelý nebo ho rovnou odmítnout. SPF tedy pomáhá zabránit falešným e-mailům, které se snaží tvářit jako odeslané z vaší domény.

 S touto technologií souvisí určité možné problémy a omezení:

• tato technologie se může nastavit pouze v případě kdy používáte emaily na své doméně. Není možné ji nastavit v případě, kdy emaily rozesíláte přes běžné adresy jako neco@gmail.com, neco@seznam.cz atd.
• při zasílání kopie emailů / přeposílání emailů, kde je zachován původní odesilatel, může dojít k odmítnutí takto přeposlaného emailu
• pokud máte od poskytovatele internetu povolenu dynamickou IP adresu a NEZASÍLÁTE emaily skrze náš SMTP server, je nutné specifikovat celý rozsah možných přidělovaných adres
• V případě např. služební cesty, kdy dochází k odesílání mailů z nepovolené IP adresy (např. proto že poskytovatel nepodporuje připojení přes daný port na adresu mailserveru), mohou být tyto emaily zahazovány
• Některé společnosti (např. přepravní spol., katalogy zboží), mohou Vaši emailovou adresu používat k odesílání svých emailů (například o stavu doručení zásilky, prosba o hodnocení zboží). Toto odesílání probíhá z jejich vlastních serverů a pokud nejsou patřičné IP adresy povoleny, nemusí zpráva zamýšlenému příjemci dorazit. 
• Některé weby / e-shopy / služby mohou vaším jménem posílat legitimní emaily (např. v případě, že na webu vyplňujete formulář, provádíte objednávku na e-shopu, nebo rozesíláte newsletter) a pokud uvedete adresu, na které máte platnou SPF politiku, email pravděpodobně příjemci (provozovatel webu / e-shopu) nedorazí.

Více zde: http://cs.wikipedia.org/wiki/SPF

3. Technologie DMARC

DMARC je technologie, která  kontroluje, jestli e-mail prošel ověřením pomocí dvou dalších technologií – SPF (který ověřuje, zda e-mail přišel z povoleného serveru) a DKIM (který kontroluje, zda byl e-mail digitálně podepsán a po cestě nezměněn). DMARC pak definuje, co má příjemce udělat, když zpráva těmito kontrolami neprojde – např. ji odmítnout nebo označit jako spam. Aby DMARC fungoval správně, je nutné ho nastavit v DNS záznamech domény, včetně určení e-mailových adres, na které budou chodit reporty o tom, jak e-maily z vaší domény procházejí kontrolami a zda se ji někdo nepokouší zneužít.

Tato technologie je "poslední záchranou", pokud již máte aktivní technologie DKIM a SPF a přesto nejsou vaše emaily na některé mailservery doručovány. Při aktivaci této technologie je nutné uvést emailovou adresu, na kterou budou zasílány reporty o doručovaných emailech. Pro tyto potřeby můžeme vytvořit speciální schránku např. dmarc@vasedomena.cz

V případě vašeho zájmu o tyto technologie se na nás prosím obraťte skrze dotaz na tehnickou podporu