SPF, DKIM i DMARC to jedne z metod uwierzytelniania wiadomości e-mail, która pozwalają organizacji/firmie poświadczyć iż są właścicielami i zarządcami danej domeny, co z kolei umożliwia odbiorcom wiadomości e-mail sprawdzenie, czy wiadomość została rzeczywiście wysłana przez deklarowanego nadawcę i czy treść wiadomości nie została sfałszowana.

Nie są to nowe technologie, od lat uczulamy i zachęcamy naszych klientów do wprowadzenia tych konfiguracji we własnych domenach, które posiadają skrzynki pocztowe. Prawdziwą zmianę spowodowała zmiana polityki Google w listopadzie 2022 roku, która wręcz karze nadawców za brak konfiguracji SPF, DKIM, i DMARC poprzez umieszczenie w folderze SPAM lub co gorsza, całkowicie odrzucenie nadawców bez poprawnie skonfigurowanych tych metod uwierzytelnienia.

Gotowe i szybkie rozwiązanie

Całą konfigurację możesz zlecić naszym administratorom - bez dodatkowych utrudnień i problemów. Wszelkie konfiguracje będą działały dla skrzynek już utworzonych dla danej domeny jak i stworzonych w przyszłości. Nie będzie potrzeba ponownego konfigurowania usługi, nawet w przypadku przedłużenia usługi hostingu.

Zamów bezpieczną:

Komunikat Google w sprawie SPF, DKIM i DMARC opublikowany na ich stronie w listopadzie 2022 roku:

Ważne: od listopada 2022 roku nowi nadawcy, którzy wysyłają e-maile na osobiste konta Gmail, muszą skonfigurować SPF lub DKIM. Google losowo sprawdza wiadomości nowych nadawców wysyłane na osobiste konta Gmail, aby potwierdzić, że są uwierzytelnione. Wiadomości, które nie mają co najmniej jednej z tych metod uwierzytelniania, będą odrzucane lub oznaczane jako spam. Jeśli jesteś już nadawcą, to wymaganie Cię nie dotyczy. Zalecamy jednak, aby zawsze konfigurować SPF i DKIM w celu ochrony poczty organizacji i spełnienia przyszłych wymagań dotyczących uwierzytelniania.

Skonfigurowanie SPF, DKIM i DMARC w swoich domenach nie jest konieczne i nie jest sankcjonowane przez żadne protokoły czy też umowy, jednak jak można zauważyć, niektóre firmy (czytaj wyżej) karzą za brak tych konfiguracji.

Na czym polega konfiguracja SPF, DKIM i DMARC

Pisząc, że domena wymaga konfiguracji SPF, DKIM czy DMARC mamy na myśli wprowadzenie szeregu ustawień w konfiguracji DNS Twojej domeny, a więc musisz zrobić to firmie, która świadczy Ci usługę serwera DNS, mówiąc potocznie; wpisy konfiguracyjne wprowadzasz w firmie, w której masz zaparkowaną domenę. Teoretycznie może zdarzyć się tak, że domenę masz zarejestrowaną w firmie A, hosting w firmie B, zaś utrzymanie serwera DNS dla danej domeny świadczy firma C.

W większości przypadków będzie to jednak firma w której posiadasz zakupioną domenę lub firma które obsługuje Twoją stronę lub sklep.

Błędna konfiguracja SPF, DKIM lub DMARC - zablokuje Twoją pocztę

Niestety nie ma róży bez kolców. Błędnie skonfigurowanie SPF, DKIM czy DMARC może być powodem odrzucenia Twoich wiadomości (a nie tylko sklasyfikowanie ich jako SPAMU i umieszczenie w folderze odbiorczym Twojego klienta z wiadomościami niepożądanymi, gdzie mało kto i tak zagląda). Dlatego ważne jest aby to nie tylko zrobić, ale zrobić poprawnie. Wprowadzenie zmian w konfiguracjach SPF, DKIM i DMARC może być problematyczne, ponieważ często konfiguracja nie jest odświeżana przez odbiorców na bieżąco i może upłynąć wiele godzin lub dni, zanim odbiorca Twojej poczty dowie się, że poprawiłeś swoje ustawienia. Ta opieszałość nie wynika z winy nadawców, ale z oszczędności dużych podmiotów, które ignorują ustawienia ważności konfiguracji i wydłużają je wbrew zasadom i o godziny i dni. Można to zaobserwować wśród dostawców DNS Google i innych monopolistów w dziedzinie tych usług.

SPF Jak działa

SPF (Sender Policy Framework) pomaga zapobiegać fałszowaniu wiadomości e-mail, które ma miejsce, gdy osoba atakująca wysyła wiadomość e-mail, która wydaje się pochodzić z Twojej domeny, aby nakłonić odbiorcę do ujawnienia poufnych informacji lub pobrania złośliwych załączników. Wdrażając SPF, możesz zwiększyć prawdopodobieństwo, że Twoje wiadomości e-mail zostaną dostarczone do skrzynki odbiorczej odbiorcy, zamiast oznaczania ich jako spam. Dobrze skonfigurowany rekord SPF może pomóc w utrzymaniu reputacji Twojej domeny, co może wpłynąć na dostarczalność wiadomości e-mail. Krótko mówiąc, chociaż SPF nie jest wymogiem, może zapewnić znaczne korzyści w zakresie bezpieczeństwa poczty e-mail, dostarczalności i reputacji domeny.

DKIM jak działa

DKIM działa poprzez dodanie podpisu cyfrowego do nagłówka wychodzącej wiadomości e-mail. Ten podpis jest generowany przy użyciu klucza prywatnego przechowywanego przez organizację wysyłającą (np. pocztę dedykowaną hostit.pl) i może zostać zweryfikowany przez każdą osobę mającą dostęp do odpowiedniego klucza publicznego opublikowanego w rekordzie DNS właściciela domeny.

DKIM tak jak SPF i DMARC nie jest bezwzględnie wymagany do dostarczania wiadomości e-mail, ale może zapewnić ważne korzyści w zakresie uwierzytelniania i bezpieczeństwa poczty e-mail. Pomaga zapobiegać fałszowaniu wiadomości e-mail i atakom typu phishing oraz może poprawić dostarczalność wiadomości e-mail, zmniejszając prawdopodobieństwo oznaczenia wiadomości e-mail jako spam. Dlatego DKIM jest zalecany dla każdej domeny, której właściciel chce zwiększyć bezpieczeństwo i integralność komunikacji e-mailowej, zwłaszcza tych, które wysyłają duże ilości e-maili, takich jak e-maile marketingowe lub e-maile transakcyjne.

Czym jest DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) to protokół uwierzytelniania poczty e-mail, który pomaga zapobiegać fałszowaniu wiadomości e-mail i atakom typu phishing, umożliwiając właścicielom domen określanie zasad postępowania z ich wiadomościami e-mail, które nie przejdą weryfikacji uwierzytelnienia.

Do prawidłowej konfiguracji DMARC wymagane jest skonfigurowanie SPF i DKIM

DMARC jak działa

  • Właściciel domeny publikuje zasady DMARC w swoim rekordzie DNS, określając, w jaki sposób odbiorcy poczty powinni obsługiwać wiadomości e-mail, które nie przejdą weryfikacji uwierzytelnienia.
  • Gdy odbiorca wiadomości e-mail otrzymuje wiadomość, która rzekomo pochodzi z domeny właściciela domeny, sprawdza wiadomość pod kątem rekordów SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) domeny, aby określić, czy jest wiarygodna.
  • Jeśli wiadomość pomyślnie przejdzie testy SPF i DKIM, odbiorca w zwykły sposób dostarczy ją do skrzynki odbiorczej odbiorcy.
  • Jeśli wiadomość z kolei nie przejdzie kontroli SPF lub DKIM, odbiorca sprawdza zasady DMARC dla domeny, aby określić sposób obsługi wiadomości. Zasady mogą określać, czy wiadomość powinna zostać dostarczona, poddana kwarantannie lub odrzucona, w zależności od wagi błędu uwierzytelnienia.
  • Jeśli polityka określa, że ​​wiadomość powinna zostać odrzucona, odbiorca wysyła raport o niepowodzeniu z powrotem do właściciela domeny, wskazując, że wiadomość nie została dostarczona z powodu niepowodzenia uwierzytelnienia.

Korzystając z DMARC, właściciele domen mogą uzyskać lepszy wgląd w sposób, w jaki ich domeny są wykorzystywane do obsługi poczty e-mail, i mogą podejmować działania zapobiegające nieautoryzowanemu użyciu lub próbom wyłudzania informacji. Odbiorcy poczty e-mail mogą również korzystać z DMARC, aby lepiej egzekwować zasady uwierzytelniania poczty e-mail i zmniejszać ryzyko dotarcia oszukańczych wiadomości e-mail do swoich użytkowników.