Blog

Některé DNS záznamy zlepší doručitelnost e-mailů

Nastavení SPF, DKIM a DMARC záznamu

Od února 2024 dojde ke zpřísnění pravidel pro zasílání e-mailů do e-mailových schránek Google a Yahoo. Abyste mohli doručovat e-maily do těchto schránek, je nutné mít v nastavení domény DNS záznamy – SPF, DKIM a DMARC.

Co je to SPF záznam a jak ho nastavit?

SPF (Sender Policy Framework) je metoda, která definuje, jaké servery mohou odesílat e-mailové zprávy z dané domény. Pomocí SPF tak zajistíte, že nikdo nebude moct odesílat e-maily za vás. Při nastavení záznamu byste měli zahrnout všechny servery, které z vaší domény odesílají elektronickou poštu. SPF záznam je možné přizpůsobit a upravovat za pomocí následujících parametrů:

  • ?all – žádná politika – SPF je pouze informativní a neurčuje příjemci, jak by se měl ke zprávám, které přijdou z neautorizovaného serveru, zachovat (NEUTRAL)
  • ~all – mírná politika – vyhodnocení zpráv, které přijdou z neautorizovaného serveru, je ponecháno na příjemci, ten zprávu může odmítnout nebo označit za spam (NEUTRAL/FAIL)
  • -all – přísná politika – zprávy, které přijdou z neautorizovaného serveru, by měl příjemce odmítnout a nedoručit (FAIL)
  • validní SPF záznam nesmí generovat více než 10 DNS požadavků a záznam může mít maximální délku 250 znaků
  • a (A nebo AAAA záznam domény)
  • mx (MX záznam domény)
  • ip4 (IPv4 adresa nebo rozsah adres)
  • ip6 (IPv6 adresa nebo rozsah adres)
  • include (převezme jiný SPF záznam)

V požadovaném výchozím nastavení by SPF záznam mohl vypadat následovně. V případě potřeby je možné přidat přes parametr „include“ další servery služeb, ze kterých e-maily odesíláte.

v=spf1 mx a ~all

Současné nastavení SPF záznamů můžete ověřit na stránce mxtoolbox.

Co je to DKIM záznam?

DKIM (DomainKeys Identified Mail) je způsob ověření, který zajistí, aby odeslaná zpráva nebyla při procesu doručení pozměněna. Ověřením také dochází k potvrzení, že je zpráva odesílána uživatelem, který má oprávnění doménu používat. Bez ověření DKIM není možné odesílat e-maily jménem vaší domény.

Lepší doručitelnost e-mailů

Co je to DMARC záznam?

DMARC (Domain-based Message Authentication, Reporting and Conformance) se využívá k validaci e-mailových zpráv a je navržen tak, aby chránil elektronickou komunikaci proti různým typům e-mailových podvodů, typicky se mezi tyto podvody řadí phishing nebo zasílání nevyžádané pošty jménem cizí domény. Mimo jiné lze také aktivovat zasílání reportů  o odeslaných zprávách a o chování příjemců. Správce domény tak může kontrolovat, kdo doménu využívá, kolik zpráv bylo odesláno a kam a v neposlední řadě i to, jak jsou zprávy vyhodnocovány na straně příjemců.

Jak nastavit DMARC záznam?

Nastavení DMARC záznamu je od února 2024 důležité pro doručitelnost e-mailů, jelikož u některých poštovních klientů došlo ke zpřísnění bezpečnosti a pravidel pro příjem pošty a tento záznam tak vyžadují (Gmail, Yahoo). Nastavení DMARC záznamu tedy doporučujeme všem uživatelům, kteří využívají e-mailing, ale i běžnou e-mailovou komunikaci. Je pravděpodobné, že v budoucnu budou DMARC záznam požadovat i další služby.

Možností, jak nastavit DMARC záznam je velké množství a vždy záleží na konkrétních potřebách uživatele, nastavení můžete přizpůsobit následujícími parametry:

  • – verze protokolu, v současnosti může nabývat pouze hodnoty DMARC1
  • pct – procenta zpráv, které budou podléhat kontrole (100 je pro 100 %, tzn. všechny zprávy)
  • ruf – e-mailová adresa pro zasílání forenzních reportů
  • rua – e-mailová adresa pro zasílání agregovaných reportů
  • – zvolená politika DMARC (určuje, jak bude příjemce zacházet se zprávami, které kontrolou neprojdou)
    • none – žádná politika, DMARC funguje pouze pro reportování či testování a příjemce na jeho výsledek nebere ohled
    • quarantine – příjemce na výsledek kontroly bere ohled, zprávu, která kontrolou neprošla, může označit za spam
    • reject – příjemce zprávu, která kontrolou neprošla, odmítne a nedoručí
  • sp – zvolená politika pro subdomény (např. novinky.vase-domena.cz), hodnoty shodné jako pro parametr p
  • adkim – mód kontroly pro DKIM alignment
    • r (relaxed) – méně restriktivní – shoda nastane, pokud souhlasí mateřská doména (např. novinky.vase-domena.cz = vase-domena.cz)
    • s (strict) – striktní – shoda nastane jen pokud je doména totožná
  • aspf – mód kontroly pro SPF alignment
    • r (relaxed) – méně restriktivní – shoda nastane, pokud souhlasí mateřská doména (např. novinky.vase-domena.cz = vase-domena.cz)
    • s (strict) – striktní – shoda nastane jen pokud je doména totožná
  • rf – formát pro reporty ke zprávám, v současnosti může nabývat pouze hodnot afrf
  • ri – interval pro zasílání agregovaných reportů o zprávách, které neprošly kontrolou DMARC, ve vteřinách
  • fo – mód zasílání forenzních reportů (reporty pro každou zprávu zvlášť)
    • 0 – report je příjemcem odeslán, pokud zpráva zcela neprojde DMARC kontrolou (tzn. obě kontroly, DKIM alignment a SPF alignment, selžou) – výchozí hodnota
    • 1 – report je příjemcem odeslán, pokud zpráva neprojde kontrolou SPF alignment nebo DKIM alignment (tzn. zpráva ovšem stále mohla celkově úspěšně projít DMARC kontrolou)
    • – report je příjemcem odeslán ke každé zprávě, která neprojde DKIM shodou
    • – report je příjemcem odeslán ke každé zprávě, která neprojde SPF shodou

K tomu, abyste mohli i nadále rozesílat e-maily na adresy Gmail či Yahoo stačí nastavit DMARC záznam s parametrem p a hodnotou none. Nastavení TXT záznamu by tedy mohlo vypadat následovně (pokud není již nastaveno, nebo nepoužíváte jinou politiku):

_dmarc.vase-domena.cz
v=DMARC1; p=none;

Současné nastavení DMARC záznamů můžete ověřit na stránce mxtoolbox.