Jak funguje ověření autentičnosti e-mailů SPF, DKIM a DMARC

V článku Víte, proč se o ověřování e-mailů tolik mluví? jsme se zaměřili na obecné výroky o autentizaci e-mailů a trochu víc jsme si je rozebrali. Zde se už budeme věnovat konkrétním protokolům autentifikace e-mailů jako SPF, DKIM nebo DMARC a tomu, jak vlastně fungují.

SPF – Sender Policy Framework

Jedná se o metodu autentizace e-mailů, která prověřuje IP adresu odesílatele.

Jak SPF funguje

V prostoru Domain Name System (DNS), což je takový překladač názvů domén webových stránek, odesílající domény se publikuje sada textových záznamů (TXT). Ty obsahují všechny nebo určité IP adresy, které z této domény mohou odesílat e-maily, a to s adresou Mail From. Podobně to funguje i u poskytovatelů jako Google.com nebo Seznam.cz, kde pro odesílání ze svého e-mailu využíváte IP adresu, kterou vám přidělili nebo ji sdílíte s ostatními uživateli. Jako e-mail marketér ale doménu spíš vlastníte, a tak vybrané IP adresy budete muset zahrnout do jejího SPF záznamu. Poté budou všichni příjemci vědět, že daným IP adresám dovolujete odesílat zprávy s vaší doménou a jako Mail From. Když pak příjemce vidí, že se nějaká IP adresa snaží poslat zprávu z domény, která tuto IP adresu nepovoluje, snadno ji zahodí a zapomene.

Pro lepší pochopení

Dejme tomu, že si váš kamarád vyrazil na výlet a předem vám dal seznam měst, která navštíví spolu se slibem, že vám z každého pošle dopis. Když vám pak přijde obálka se jménem kamaráda poslaná z některého z měst, která máte na seznamu, bez váhání ji otevřete a čtete. Jenže když vám s jeho jménem přijde dopis z úplně jiného města, než máte na seznamu, nejspíš trochu zpozorníte.

DKIM – DomainKeys Identified Mail

Ověřovací protokol DKIM je dost mazaný. Zajistí, že konkrétní doména může odeslanou zprávu nejen „podepsat“, ale také zajistit, aby se předem definované části e-mailu cestou nijak nezměnily.

Jak DKIM funguje

Nejdříve dojde k vytvoření dvou neoddělitelných šifrovacích klíčů – soukromého a veřejného. Soukromý zůstane u vlastníka odesílací domény, a pokud je poškozen, musí se celý proces zopakovat. Veřejný klíč je pak publikován jako textový záznam subdomény odesílající domény s příponou selector, která se přidá do e-mailu jako další záhlaví. Pomocí tohoto kroku příjemce ví, kde veřejný textový záznam podpisu odesílající domény hledat. Když je zpráva odeslána, odesílatel použije soukromý klíč k šifrování dané části zprávy, kterou může být hlavička, tělo nebo předmět e-mailu. Tato část se pak do zprávy připojí jako další hlavička. Příjemce ji později zachytí a porovná se striktně definovanými částmi e-mailu pomocí veřejného klíče zveřejněného v DNS, který lze použít pouze k dekódování hashe – šifrovaného řetězce.

Mezi odesílateli se skutečné části zprávy, které budou šifrovány, liší. Někteří „podepíšou“ pouze hlavičky příjemců jako To: a CC: a jiní podepíšou i hlavičku autora From:, předmět, tělo nebo každé další záhlaví. V tomto ohledu má svou hodnotu také oversigning.

Pro lepší pochopení

Teď vám ten samý kamarád dal navíc kartičku s detailním popisem, jak bude při psaní dopisů postupovat. Třeba ve všech dopisech zvolí konkrétní poslední písmeno každé věty nebo vybere jiný způsob, jak vám dát najevo, že je dopis vážně od něj. Takže když od něj dopis nakonec dostanete, můžete způsob, jakým je psaný, porovnat s „manuálem“, který jste dostali. Je psaný podle předem domluveného „kódu“, nebo ne? Zaměřte se hlavně na ty pasáže, kde vás žádá o menší finanční výpomoc, aby si mohl koupit další jízdenku. Díky „kódu“ budete mít jasno, zda je dopis skutečně od něj i zda ho nikdo během cesty k vám nepřepisoval a neměnil jeho význam.

DMARC – Domain-based Message Authentication Reporting and Conformance

Ověřování, reporting a autentizace zpráv na základě domény, tedy DMARC, je nejpromyšlenějším protokolem autentifikace e-mailů. Může být postaven na výsledcích SPF a DKIM autentizace nebo kombinaci výsledků obou validačních metod.

Jak DMARC funguje

DMARC je další textový záznam umístěný v DNS, konkrétně v subdoméně odesílající domény _dmarc.example.com a měl by obsahovat příznak p= znamenající „policy“. Tedy to, co se má s pochybnými e-maily stát:

Nic.
Mají být přesunuty do karantény.
Mají být odmítnuty.

Pak už jen záleží, pro kterou možnost se daná doména rozhodne. Další příznak zase udává adresu, kam se mají hlášení o přesunu do karantény nebo jiné akci zasílat. Souhrnné zprávy o shodě nebo porušení DMARC by se vždy měly dostat k příjemci, aby je odborníci zanalyzovali a mohli použít k vytvoření nebo zlepšení bezpečnostní strategie.

Pro lepší pochopení

Pokud vám „kód“ ani kartička nepomohly v rozhodování, jestli vám dopis opravdu přišel od vašeho kamaráda, je tu ještě poznámka. On totiž myslel dopředu a napsal vám do ní, co s dopisy, u kterých si nejste jisti, že jsou od něho:

S dopisem nedělejte nic kromě toho, že s ním budete zacházet jako normálně.
Dopis raději uložte do šuplíku a nechte ho tam.
Dopis zahoďte.

Předem vám dal najevo, že si přeje, abyste postupovali podle bodu 2 a zároveň vás požádal, abyste v takovém případě poslali informace o dopisu na adresu, která je na jeho obálce uvedena.

Bezpečnost zpráv je zvláště v e-mail marketingu, kde se odesílají hromadné zprávy mnohým příjemcům, zásadní a neustále skloňované téma. Pokud máte pochybnosti o tom, jestli k SPF, DKIM a DMARC přistupujete správně, obraťte se na náš tým.

KONTAKT