C:\www\viamedia.cz\pages\nastaveni_posty.htm

OBECNÉ INFORMACE O SPF, DKIM a DMARC

DOMÉNY BĚŽÍCÍ NA SERVERECH ViaMedia TĚCHTO TECHNOLOGIÍ UŽÍVAJÍ


SPF/DKIM/DMARC jsou dnes vrcholem možností zabezpečení domén proti SMAPu - proti tomu, aby byla VAŠE doména zneužívána třetí stranou k odesílání SPAMu VAŠÍ doménou, vašemi e-mailovými adresami. Týká se tedy pouze odeslané pošty, ve finále však „chrání“ VAŠI doménu a VÁŠ/NÁŠ mailserver a IP adresu k doméně přiřazené aby ty nebyly reportovány do SPAM databází (SORBS/SpamHaus/SpamCop/WPBL a stovka dalších), které následně využívají při příjmu e-mailů, jakože tyto databáze využívá většina mailserverů.

PRINCIP:

1/ SPF - Sender Policy Framework       (RFC 4408)

V DNS vaší domény (tedy na úplně jiném místě než je mailserver a zároveň tam, kam informace můžeme dávat MY a né SPAMmer) je uloženo, jaká je IP adresa NAŠEHO/VAŠEHO mailserveru. Pakliže server přijímá e-mail z VAŠÍ domény, tak se „podívá“ do DNS odkud kde se dozví IP adresu kterou MY (né SPAMmer) deklaruje jako povolenou IP adresu a porovná ji s IP adresou, ze které zpráva nesoucí identifikaci VAŠÍ DOMÉNY opravdu přichází. Pokus IP adresa vyčtená z DNS vaší domény NESOUHLASÍ s IP adresou ze které fakticky e-mail přichází - pak je to důkaz, že odesílatelem nejste vy - říká se tomu „zcizená identita“. Takový e-mail neposíláte NÁŠ/VÁŠ mailserver, ale nšjaký JINÝ/CIZÍ mailserver. Závěr SPF testu je: FAIL.



2/ DKIM - DomainKeys Identified Mail       (RFC 6376)

na NAŠEM/VAŠEM mailserveru je uložen „privátní klíč“ a tímto klíčem je do hlavičky e-mailu  „podepsán“ každý ee-mail, který odchází z VAŠÍ domény + NAŠEHO/VAŠEHO mailserveru.  Stejně jako u SPF je v DNS zapsán „veřejný klíč“. mailserver příjemce si tento „veřejný klíč“ načte a pakliže klíče dle jistého ztrátového algoritmu (ztrátového aby nebylo možné z veřejného klíče vypočítat privátní) k sobě nepatří, je nezvratné, že e-mail ve skutečnosti neodeslal NÁŠ/VÁŠ mailserver.  Závěr SPF testu je: FAIL.

Zároveň - pakliže e-mail DKIM klíč v hlavičce neobsahuje vůbec (on je tam vlastně oproti normálnímu stavu navíc) a zároveň v DNS existuje záznam s klíčem pak je to pro mailserver příjemce signál, že jej má očekávat.

 

3/ DMARC - Domain-based Message Authentication, Reporting and Conformance        (RFC 7489)

Proměnné zapsané opět v DNS - server pracuje se „svými“ výsledky SPF a DKIM a pakliže jeden z nich má závěr FAIL tak se stane to co je deklarováno ve vlastnostech DMSRC zapsaných v DNS. Tedy rozhodování, co se má s e-mailem dít nezávisí na serveru příjemce (jeho nastavení) ale na NAŠEM rozhodnutí, které poznamenáme do DNS.  V našem případě nastavujeme REJECT tedy e-mail je ODMÍTNUT..

Další fíčurou je, že v DNS záznamu je specifikován e-mail administrátora serveru, ke kterému doména patři, a administrátor dostává z mailserverů z celého světa reporty, kde všude byly s VAŠÍMI doménami neúspěšné pokusy o doručení.   Vlastně takový „log“ o VAŠÍ doméně tvořený dotčenými mailservery celého světa.

 

CO Z TOHO VE FINÁLE PLYNE:

A/   Je-li e-mail od VÁS tzn. odeslal jej NÁŠ/VÁŠ mailserver, tak pak SPF i DKIM testy dopadnou pozitivně a navíc - což je důležité - díky tomu, že DKIM závěr zní „OK“ tak příchozím serverem je takto přijatý e-mail získá větší „kredibilitu“ a je na něj v dalších interních hodnoceních mailserveru pohlíženo tak, že pochází z ověřeně zaručeného zdroje.

B/   pokud je e-mail od SPAMmera, tak závěr SPF i DKIM (nebo i kdyby jednoho z nich) FAIL a e-mail je zahozen. Boční efekt této akce je, že onen (pro nás neznámý) mailserver nereportuje vaši doménu do celosvětových spammerských databází - tzn. když bude někdo 5 dní posílat SMAP z Číny do USA na nějaký mailserver a jako odesílatele ponese identitu VAŠÍ doméy, tak se vaše doména v případě že máme SPF+DKIM+DMARC nedostane do spammerských databází (jako SORBS/SpamHaus/SpamCop/WPBL) a přesto, že se někde objevují miliony e-mailů s identitou VAŠÍ domény, VAŠE DOMÉNA zůstává neposkvrněna, neb se vždy prokáže, že se jedná o „zcizenou identitu“.   Bez SPF/DKIM/DMARC by v případě přijetím ee-mailu mailserverem a následném vyhodnocení, že samotný e-mail nese atributy spamu a byl označen jako SPAM, by byla VAŠE doména reportována do spammerských databází jako spammer...  Ze spammerskéch databází (SORBS/SpamHaus/SpamCop/WPBL) pak čtou mailservery po celém světě a vy pak posíláte příkladně z Česka do Německa e-mail a německý mailserver příjemce si vás „proklepne“ a zjistí, že vaše doména má špatnou reputaci v SORBS a e-mail nebude doručen.  V případě, že VAŠE doména používá SPF/DKIM/DMARC tak tento případ nemůže nastat neb zcizení identity VAŠÍ domény je vždy odhaleno - a z toho důvodu není mailserverem v USA po intenzivní Čínské invazi mejlů nesoucích identitou VAŠÍ domény do spammerských databází VAŠE doména reportována.

Ještě je třeba si uvědomit, že SPF/DKIM/DMARC není ve své podstatě antispam - ale brání spamu aby byl vaší identitou kamkoliv jinam doručován, což z dlouhodobého hlediska zvyšuje ve spammerských databázích hodnocení VAŠÍ domény + VAŠEHO/NAŠEHO mailserveru a IP adresy mailserveru.