SPF, DKIM, DMARC
SPF, DKIM a DMARC sú tri navzájom sa dopĺňajúce DNS záznamy, ktoré spoločne overujú, že email odoslaný z vašej domény je legitímny — a určujú, čo sa má stať s emailmi, ktoré overením neprejdú.
Ako to funguje
Emailový protokol SMTP bol navrhnutý v 80. rokoch bez akejkoľvek autentifikácie. Ktokoľvek môže odoslať email s ľubovoľnou adresou odosielateľa — vrátane vašej firmy. Práve toto zneužívajú phishingové kampane: útočník pošle email tváriac sa ako váš CEO alebo vaša banka, pričom technicky to z pohľadu SMTP bol legitímny email. SPF, DKIM a DMARC sú tri vrstvy ochrany, ktoré toto správanie detegujú a blokujú.
SPF (Sender Policy Framework) je zoznam IP adries a serverov, ktoré smú odosielať emaily za vašu doménu. Ukladáte ho ako TXT záznam v DNS. Keď príjemca dostane email z vašej domény, jeho emailový server skontroluje, či odosielateľský server je na tomto zozname. Ak nie, email môže byť označený ako spam alebo zamietnutý. SPF rieši: "odoslal tento email server, ktorý má povolenie?"
DKIM (DomainKeys Identified Mail) pridáva kryptografický podpis k emailu. Odosielateľský server podpíše email súkromným kľúčom; prijímajúci server overí podpis pomocou verejného kľúča publikovaného v DNS. Podpis pokrýva obsah emailu aj hlavičky — akákoľvek zmena počas prenosu podpis znevaliduje. DKIM rieši: "nebol email počas prenosu pozmenený?"
DMARC (Domain-based Message Authentication Reporting and Conformance) kombinuje SPF a DKIM a pridáva politiku: čo má prijímajúci server urobiť s emailom, ktorý neprejde overením (nic, quarantine — spam priečinok, alebo reject — zamietnuť). DMARC tiež umožňuje nastaviť adresu, na ktorú emailoví provideri posielajú agregátne reporty — vidíte, kto odosiela emaily z vašej domény a koľko z nich prechádza overením. Od februára 2024 Google a Yahoo vyžadujú DMARC pre hromadných odosielateľov nad 5000 emailov denne.
Z našej praxe
V Strange Loops nastavujeme SPF, DKIM a DMARC pre každý klientsky projekt ako súčasť emailovej infraštruktúry. Pre projekty používajúce transakčný email (Ovulogy — registrácia, Stripe webhooky; rehabit-mvp — notifikácie pacientom) je správna emailová autentifikácia kritická pre doručiteľnosť. Implementácia: SPF TXT záznam so zoznamom povolených senderov (Postmark, Resend, alebo vlastný Fastify emailový service), DKIM konfigurácia v rámci príslušného emailového providera, DMARC začíname s politikou `p=none` pre monitoring, po overení posúvame na `p=quarantine` alebo `p=reject`.
Kedy to potrebujete
- Vaše firemné emaily pristávajú v spame u zákazníkov namiesto v doručenej pošte — chýbajúce alebo nesprávne SPF/DKIM/DMARC záznamy sú jedna z najčastejších príčin.
- Zákazník vám hlási, že dostal podozrivý email "od vás", hoci ste nič neposielali — niekto spoofuje vašu doménu, DMARC to zastaví a bude vás o tom informovať.
- Plánujete rozoslať newsletter väčšiemu zoznamu kontaktov a chcete sa vyhnúť blacklistovaniu — bez DMARC vás Google od februára 2024 odmietne prijať.
- Robíte bezpečnostný audit firmy a emailová infraštruktúra je jednou z položiek — SPF, DKIM a DMARC sú základná hygiena, ktorú každý audit skontroluje.
Najčastejšie otázky
Musím nastaviť všetky tri — SPF, DKIM aj DMARC?
Pre plnú ochranu áno. SPF a DKIM fungujú samostatne, ale bez DMARC nemáte politiku pre zlyhania ani reportovanie. DMARC bez SPF alebo DKIM nemá čo overovať. Všetky tri sa navzájom dopĺňajú a spoločne vytvárajú účinnú ochranu.
Ovplyvní DMARC moje existujúce emaily?
Závisí od politiky. DMARC s `p=none` len monitoruje — nic sa nezmení, len dostávate reporty. `p=quarantine` posiela nevhodné emaily do spamu, `p=reject` ich odmieta. Odporúčame začať s `p=none`, analyzovať reporty 2–4 týždne a až potom sprísniť politiku.
Kde v DNS nastavím SPF a DMARC?
Oba sú TXT záznamy v DNS vašej domény. SPF: `v=spf1 include:_spf.google.com ~all` (príklad pre Google Workspace). DMARC: `v=DMARC1; p=none; rua=mailto:dmarc@vasafirma.sk` na subdoméne `_dmarc.vasadomena.sk`. DKIM záznamy vygeneruje váš emailový provider (Google, Postmark, Resend) a vy ich pridáte ako CNAME alebo TXT záznamy.
Súvisiace pojmy
DNSSEC
DNSSEC (Domain Name System Security Extensions) je rozšírenie DNS protokolu, ktoré pomocou kryptografických podpisov zaručuje, že DNS odpovede sú autentické a neboli cestou pozmenené — čím bráni útočníkom presmerovať návštevníkov vašej domény na falošné stránky.
DNS — Domain Name System
DNS (Domain Name System) je distribuovaný systém, ktorý prekladá doménové mená — napríklad strangeloops.sk — na IP adresy serverov, a zároveň riadi kam smerujú emaily, ako sa domény overujú a kde bežia jednotlivé cloudové služby.
Potrebujete s tým pomôcť?
Ak riešite niečo z toho, čo tu opisujeme, ozvite sa. Povieme vám, či a ako vieme pomôcť.