DKIM a SPF

Množí se problémy při odesílání (nejen) hromadných emailů

článek byl vytvořen 22.5.2015, editován 16.8.2021

Přední poskytovatelé emailových schránek v ČR (seznam.cz, tiscali.cz, centrum.cz a další) zavádí různá opatření proto, aby dokázali rozlišit legitimní emaily od nevyžádané pošty. Tato problematika je poměrně obsáhlá a zahrnuje v sobě spoustu dílčích pravidel. Dvě z těchto opatření mohou omezit přijímání Vašich emailů schránkami daných poskytovatelů i v případě běžně zasílaných emailů (např. informace o stavu objednávky, email pro zaslání nového hesla i zcela běžnou komunikaci) – pokud nejsou dodržena určitá pravidla. Případů, kdy dochází k odmítání emailů kvůli absenci technologií DKIM a SPF, které jsou popsány dále v textu, začíná přibývat a pokud chcete docílit co největší pravděpodobnosti doručení Vámi zasílaných emailů, doporučujeme si o aktivaci těchto technologí zažádat.

Ve vydané aktualizaci E-commerce 4.061 jsou již potřebné funkce naprogramovány, řešení máme připraveno také pro mailserver, nicméně samotnou aktivaci není možné provést globálně - konfiguraci technologií je nutné provádět individuálně pro každou doménu (je nutné zadávat jiné hodnoty privátních a veřejných klíčů, provádět individuální úpravy DNS záznamů, povolených IP adres apod.). Pokud máte o aktivaci služeb zájem, napište nám skrze „Dotaz na technickou podporu“. Cena aktivace každé ze služeb je stanovena na 300,- Kč bez DPH, v případě aktivace obou 500,- Kč bez DPH (celkem za obě služby). Jedná se o jednorázový poplatek související s individuálním nastavením služeb, nikoli o pravidelný poplatek. Dříve než si aplikaci technologií vyžádáte, doporučujeme se seznámit se stručným popisem jejich principu a uvedených výhod / nevýhod, abyste mohli zvážit, zda je pro Vás daná technologie vhodná. 

1. Technoloigie DKIM (DomainKeys Identified Mail) 

Princip této technologie spočívá v tom, že je do zasílaného emailu automaticky vložen podpis, který je ověřen přijímací stranou. Emaily jsou podepisovány soukromým klíčem a ověřovány veřejným klíčem, který je uveden v DNS záznamu u vaší domény. Bez znalosti soukromého klíče nemůže nikdo další vaším jménem odesílat podepsané emaily. Podpisy se aplikují automaticky na mailserveru, e-shop, není z vaší strany nutná žádná součinnost.

Seznam.cz vyžaduje takovéto podepisování emailů od 1.4.2015, prozatím pouze v případě, že rozesíláte větší počet hromadných emailů (konkrétní číslo není známé) – pokud email není podepsaný, odmítne jeho přijetí. Je velmi pravděpodobné, že se na seznam.cz jedná pouze o první krok a že následně bude podpis vyžadován u veškeré komunikace.

Gmail uvádí tuto techlogii ve svém doporučení, od 1.8.2021 se pak u některých domén začala většina emailů zasílaných shopem doručovat do složky spam (po aktivaci podpisů DKIM se situace zlepšila).

Výhody: ověřením podpisu je garantováno, že zpráva nebyla „cestou“ změněna; podpisy se aplikují automaticky pokud posílate emaily skrze náš smtp server, e-shop; 

Nevýhody: žádní

Podepisování emailů tehcnologií DKIM je jakýmsi základem, řešení není zcela všespásné. Výrazně lepších výsledků se dosahuje kombinací DKIM + SPF.

Více zde: http://www.root.cz/clanky/jak-spammerum-zabranit-falsovat-adresy-je-tu-dkim/

2. Technologie SPF 

Tato technologie spočívá v tom, že jsou pro konkrétní doménu nastaveny IP adresy, ze kterých je možné emaily odesílat. Pokud IP adresa odesilatele nesouhlasí s jednou z nastavených IP adres, dojde k odmítnutí emailu (pokud příjemce tuto službu podporuje).

Toto nastavení je vyžadováno ze strany např. centrum.cz, tiscali.cz při odesílání většího počtu emailů (přesné číslo není známo, záleží na spamové politice konkrétního poskytovatele).

Výhody: při doručování emailu na cílový mailserver se posuzuje to, zda byl email zaslán z oprávněných IP adres (pokud je SPF politika na doméně odesilatele aktivní) a pokud ne, takovýto email se odmítne. Pokud máte na doméně tuto politiku aktivní, omezíte tím výrazně možnosti útočníků zasílat "vaším jménem" emaily.

Nevýhody:

• při zasílání kopie emailů / přeposílání emailů, kde je zachován původní odesilatel, může dojít k odmítnutí takto přeposlaného emailu
• pokud máte od poskytovatele internetu povolenu dynamickou IP adresu a NEZASÍLÁTE emaily skrze náš SMTP server, je nutné specifikovat celý rozsah možných přidělovaných adres
• V případě např. služební cesty, kdy dochází k odesílání mailů z nepovolené IP adresy (např. proto že poskytovatel nepodporuje připojení přes daný port na adresu mailserveru), mohou být tyto emaily zahazovány
• Některé společnosti (např. přepravní spol., katalogy zboží), mohou Vaši emailovou adresu používat k odesílání svých emailů (například o stavu doručení zásilky, prosba o hodnocení zboží). Toto odesílání probíhá z jejich vlastních serverů a pokud nejsou patřičné IP adresy povoleny, nemusí zpráva zamýšlenému příjemci dorazit. 
• Některé weby / e-shopy mohou vaším jménem posílat legitimní emaily (např. v případě, že na webu vyplňujete formulář, provádíte objednávku na e-shopu) a pokud uvedete adresu, na které máte platnou SPF politiku, email pravděpodobně příjemci (provozovatel webu / e-shopu) nedorazí.

Více zde: http://cs.wikipedia.org/wiki/SPF