DKIM, SPF a DMARC
Spolehlivé doručování emailů
článek byl vytvořen 22.5.2015, editován 09.07.2025
Poskytovatelé emailových schránek zavádí různá opatření proto, aby dokázali rozlišit legitimní emaily od nevyžádané pošty. Tato problematika je poměrně obsáhlá a zahrnuje v sobě spoustu dílčích pravidel. Aktuálně (rok 2025) vyžadují někeří poskytovatelé mailserverů (zejména gmail.com, icloud.com), aby na odesílací doméně byly aktivní technologie DKIM, SPF a v některých případech dokonce i DMARC. Aplikace těchto technologií již přestává být možností ale stává se spíše nutností.
Aplikaci technologií pro vás můžeme zřídit my. V případě, kdy máme přístup k DNS záznamům vaší domény, můžeme v případě zájmu provést kompletní nastavení. V případě kdy tyto přístupy nemáme, provedeme potřebné nastavení na straně webhostingu / eshopu a zašleme vám potřebné podkaldy pro vašeho správce DNS. Po nastavení DNS vždy testujeme, zda je vše nastaveno správně a zda jsou aplikované technologie aktivní. Toto nastavení není bohužel možné provést plošně, je nutné se věnovat každé doméně individuálně. Cena aktivace každé ze služeb je stanovena na 300,- Kč bez DPH. V případě aktivace více služeb (DKIM + SPF / DKIM + SPF + DMARC) je pak cena stanovena na 500,- Kč bez DPH. U nově zakládaných webhostingů řešíme aplikaci DKIM a SPF zdarma.
Níže jsou popsány jednotlivé technologie, doporučujeme se s nimi před jejich vyžádáním alespoň ve stručnosti seznámit.
1. Technoloigie DKIM (DomainKeys Identified Mail)
Princip této technologie spočívá v tom, že je do zasílaného emailu automaticky vložen podpis, který je ověřen přijímací stranou. Emaily jsou podepisovány soukromým klíčem a ověřovány veřejným klíčem, který je uveden v DNS záznamu u vaší domény. Bez znalosti soukromého klíče nemůže nikdo další vaším jménem odesílat podepsané emaily. Podpisy se aplikují automaticky na mailserveru / e-shopu, není z vaší strany nutná žádná součinnost.
Podepisování emailů tehcnologií DKIM je jakýmsi nutným základem, bez DKIM podpisu řada mailserverů váš email automaticky odmítne.
Více zde: http://www.root.cz/clanky/jak-spammerum-zabranit-falsovat-adresy-je-tu-dkim/
2. Technologie SPF (Sender Policy Framework)
Tato technologie spočívá v tom, že jsou pro konkrétní doménu nastaveny IP adresy, ze kterých je možné emaily odesílat. Když pak e-mail dorazí k příjemci, jeho server zkontroluje, jestli byl odeslán z povoleného "místa". Pokud ne, může ho označit jako podezřelý nebo ho rovnou odmítnout. SPF tedy pomáhá zabránit falešným e-mailům, které se snaží tvářit jako odeslané z vaší domény.
S touto tehnologií souvisí určité možné problémy a omezení:
- tato technologie se může nastavit pouze v případě kdy používáte emaily na své doméně. Není možné ji nastavit v případě, kdy emaily rozesíláte přes běžné adresy jako neco@gmail.com, neco@seznam.cz atd.
- při zasílání kopie emailů / přeposílání emailů, kde je zachován původní odesilatel, může dojít k odmítnutí takto přeposlaného emailu
- pokud máte od poskytovatele internetu povolenu dynamickou IP adresu a NEZASÍLÁTE emaily skrze náš SMTP server, je nutné specifikovat celý rozsah možných přidělovaných adres
- V případě např. služební cesty, kdy dochází k odesílání mailů z nepovolené IP adresy (např. proto že poskytovatel nepodporuje připojení přes daný port na adresu mailserveru), mohou být tyto emaily zahazovány
- Některé společnosti (např. přepravní spol., katalogy zboží), mohou Vaši emailovou adresu používat k odesílání svých emailů (například o stavu doručení zásilky, prosba o hodnocení zboží). Toto odesílání probíhá z jejich vlastních serverů a pokud nejsou patřičné IP adresy povoleny, nemusí zpráva zamýšlenému příjemci dorazit.
- Některé weby / e-shopy / služby mohou vaším jménem posílat legitimní emaily (např. v případě, že na webu vyplňujete formulář, provádíte objednávku na e-shopu, nebo rozesíláte newsletter) a pokud uvedete adresu, na které máte platnou SPF politiku, email pravděpodobně příjemci (provozovatel webu / e-shopu) nedorazí.
Více zde: http://cs.wikipedia.org/wiki/SPF
3. Technologie DMARC
DMARC je technologie, která kontroluje, jestli e-mail prošel ověřením pomocí dvou dalších technologií – SPF (který ověřuje, zda e-mail přišel z povoleného serveru) a DKIM (který kontroluje, zda byl e-mail digitálně podepsán a po cestě nezměněn). DMARC pak definuje, co má příjemce udělat, když zpráva těmito kontrolami neprojde – např. ji odmítnout nebo označit jako spam. Aby DMARC fungoval správně, je nutné ho nastavit v DNS záznamech domény, včetně určení e-mailových adres, na které budou chodit reporty o tom, jak e-maily z vaší domény procházejí kontrolami a zda se ji někdo nepokouší zneužít.
Tato technologie je "poslední záchranou", pokud již máte aktivní technologie DKIM a SPF a přesto nejsou vaše emaily na některé mailservery doručovány. Při aktivaci této technologie je nutné uvést emailovou adresu, na kterou budou zasílány reporty o doručovaných emailech. Pro tyto potřeby můžeme vytvořit speciální schránku např. dmarc@vasedomena.cz
V případě vašeho zájmu o tyto technologie se na nás prosím obraťte skrze dotaz na tehnickou podporu