Najważniejsze wnioski
Uwierzytelnianie wiadomości stało się fundamentem dostarczalności emaili. Dostawcy skrzynek pocztowych, tacy jak Gmail, Yahoo czy Microsoft, coraz agresywniej egzekwują wymagania dotyczące SPF, DKIM i DMARC
SPF, DKIM i DMARC pełnią odrębne funkcje i nie można ich traktować zamiennie. Każdy z protokołów odpowiada na inne pytanie dotyczące bezpieczeństwa i zaufania.
Wdrożenie polityki egzekwowania DMARC to nie opcja dla zaawansowanych. To podstawowy środek bezpieczeństwa, który chroni domenę przed podszywaniem się i atakami phishingowymi.
SPF, DKIM i DMARC to skróty, które przewijają się w każdej rozmowie o dostarczalności emaili. Większość marketerów wie, że coś takiego istnieje. Znacznie mniej rozumie, co każdy z nich robi, dlaczego wszystkie trzy są potrzebne jednocześnie i co się dzieje, gdy jeden z nich jest skonfigurowany nieprawidłowo.
Dzieje się jedno: twoje emaile trafiają do spamu. Nie dlatego, że są źle napisane. Dlatego, że infrastruktura, z której wysyłasz, nie przeszła weryfikacji, której oczekują serwery odbiorców.
Ten artykuł objaśnia każdy z trzech protokołów w prostych słowach, pokazuje, czym się rożną, i tłumaczy, jak razem tworzą kompletną warstwę ochrony tożsamości domeny.
Czym jest uwierzytelnianie Wiadomości email?
Uwierzytelnianie wiadomości email to sposób, w jaki dostawcy skrzynek pocztowych weryfikują, że email naprawdę pochodzi z domeny, z której deklaruje pochodzenie, i że nie został zmodyfikowany po wysłaniu.
Za każdym razem, gdy email dociera do serwera odbiorcy, serwer ten zadaje kilka podstawowych pytań:
Uwierzytelnianie emaili istnieje po to, żeby odpowiedzieć na te pytania weryfikowalnymi dowodami, a nie domysłami.
Ważna rzecz, która często umyka: ten proces nie służy do uwierzytelniania osoby. Służy do uwierzytelniania infrastruktury. Weryfikuje relacje między właścicielem domeny, serwerami wysyłającymi w jego imieniu a samą wiadomością. Gdy te sygnały się zgadzają, wiadomość zyskuje zaufanie. Gdy nie, dostawcy skrzynek traktują ją jako ryzyko.
SPF, DKIM i DMARC to protokoły, które ten system umożliwiają. Razem dają dostawcom skrzynek pocztowych podstawy do traktowania twoich wiadomości jako legalnych, a nie potencjalnie niebezpiecznych.
Dlaczego uwierzytelnianie emaili ma znaczenie?
Email jest z natury naiwnym protokolem. Bez weryfikacji na poziomie domeny i infrastruktury każdy może wysłać wiadomość wyglądającą tak, jakby pochodziła z twojej firmy, używając twojej nazwy, znaku firmowego i reputacji.
Gdy uwierzytelnianie jest brakujace lub blednie skonfigurowane:
Gdy uwierzytelnianie jest poprawnie skonfigurowane:
Kluczowa rzecz do zrozumienia: uwierzytelnianie nie służy tylko do powstrzymywania złośliwych Jaktorów. Daje dostawcom skrzynek pocztowych pewność co do całej konfiguracji wysyłania. Bez tej pewności nawet dobrze napisany email zaczyna być traktowany jako ryzyko.
DMARC jako ochrona przed atakami Business Email Compromise
Business Email Compromise (BEC) to kategoria ataków, które udają się nie dlatego, że użytkownik popełnił błąd, ale dlatego, że dostawca skrzynki musiał domyślać się zaufania, zamiast je egzekwować. DMARC usuwa te dwuznaczność.
Gdy polityka DMARC jest egzekwowana, to właściciel domeny, a nie skrzynka odbiorcza, decyduje co się dzieje, gdy uwierzytelnianie zawiedzie. Podszyte wiadomości nie mogą już wtapiać się w legalny ruch.
Według danych Mimecast, spośród 5000 najbardziej rozpoznawalnych firm na świecie wdrożenie DMARC dotyczy jedynie 34% z nich. Oznacza to, że większość marek o wysokiej wartości jest wciąż narażona na podszywanie się pod ich domenę.
Bez egzekwowania DMARC
Z egzekwowaniem DMARC
Opublikowanie rekordu DMARC bez polityki egzekwowania daje jedynie wgląd, ale nie ochronę. Identyfikuje nadużywanie domeny bez jego powstrzymywania. To nie jest kompletna strategia.
Trzy protokoły uwierzytelniania: SPF, DKIM i DMARC
Uwierzytelnianie emaili to system warstwowy, gdzie każdy protokół odpowiada na inne pytanie o zaufanie. SPF, DKIM i DMARC współpracują ze sobą, ale pełnią odrębne role i rozwiązują różne problemy.
Większość błędów konfiguracyjnych wynika z założenia, że jeden protokół może zastąpić inny. Nie może.
Czym jest DKIM?
DKIM (DomainKeys Identified Mail) weryfikuje integralność wiadomości i odpowiedzialność domeny za jej wysłanie.
Kiedy email jest wysyłany, system wysyłający dodaje kryptograficzny podpis cyfrowy do wybranych pól nagłówka wiadomości. Podpis ten powstaje przy użyciu klucza prywatnego. Serwer odbiorcy pobiera klucz publiczny z rekordu DNS i weryfikuje, czy wiadomość nie została zmodyfikowana po podpisaniu oraz czy dana domena wzięła odpowiedzialność za jej wysłanie.
Co DKIM udowadnia
Czego DKIM nie udowadnia
Wiadomość może przejść weryfikację DKIM i nadal fałszywie reprezentować nadawcę. DKIM chroni integralność, nie intencje.
Czym jest SPF?
SPF (Sender Policy Framework) weryfikuje autoryzację infrastruktury wysyłającej.
SPF pozwala właścicielowi domeny opublikować listę serwerów i adresów IP, które są uprawnione do wysyłania emaili w jego imieniu. Gdy wiadomość jest odbierana, serwer pocztowy sprawdza, czy źródło wysyłania jest na tej liście.
Co SPF udowadnia
Czego SPF nie udowadnia
SPF odpowiada na pytanie, skąd pochodzi email, a nie na pytanie, czy tożsamość nadawcy powinna być zaufana.
Czym jest DMARC?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) egzekwuje zgodność tożsamości nadawcy i definiuje politykę postępowania w przypadku nieudanej weryfikacji.
DMARC ocenia wyniki SPF i DKIM w odniesieniu do domeny widocznej dla odbiorcy. Następnie nakazuje dostawcom skrzynek, co robić, gdy uwierzytelnianie zawiedzie. Dostarcza tez raportów, które dają wgląd w to, kto i jak używa twojej domeny.
Co DMARC kontroluje:
DMARC zamienia sygnały uwierzytelniania w egzekwowanie. Bez niego dostawcy skrzynek muszą domyślać się zaufania. Z nim, tożsamość nadawcy staje się egzekwowalna na poziomie protokołu.
Jak różnią się SPF, DKIM i DMARC?
Choć często wymieniane razem, SPF, DKIM i DMARC rozwiązują różne problemy na różnych warstwach potoku pocztowego. Są komplementarne z założenia. Żaden nie zastępuje pozostalych.
W skrócie:
Dostawcy skrzynek oceniają wszystkie trzy sygnały razem, by zdecydować, czy email zasłuży na miejsce w skrzynce odbiorczej, czy zostanie potraktowany jako zagrożenie.
SPF vs DKIM vs DMARC: tabela porównawcza
Protokół | Główna | Co weryfikuje | Mocne strony | Ograniczenia |
|---|---|---|---|---|
SPF | Autoryzacja infrastruktury | Które serwery mogą wysyłać dla domeny | Prosta konfiguracja; blokuje bezpośrednie podszywanie się z nieautoryzowanych IP | Nie weryfikuje widocznego adresu From; kruchy przy przekierowaniach i złożonych łańcuchach |
DKIM | Integralność wiadomości | Że wiadomość nie została zmieniona i domena ją podpisała | Dowód kryptograficzny; buduje reputację nadawcy; trwa przy wielu ścieżkach tranzytu | Nie egzekwuje tożsamości nadawcy; podpisy mogą się łamać przy modyfikacjach nagłówków |
DMARC | Egzekwowanie tożsamości i polityka | Zgodność między deklarowanym nadawcą a wynikami uwierzytelniania | Zapobiega podszywaniu pod domenę; umożliwia egzekwowanie i raportowanie | Wymaga prawidłowej konfiguracji SPF/DKIM; egzekwowanie wymaga aktywnego monitorowania |
Gdzie są przechowywane rekordy SPF, DKIM i DMARC?
Wszystkie trzy protokoły są publikowane w systemie DNS (Domain Name System), czyli publicznym katalogu internetowym. DNS umożliwia serwerom pocztowym pobieranie instrukcji uwierzytelniania dla danej domeny w czasie rzeczywistym, przed podjęciem decyzji o tym, jak obsłużyć przychodzący email.
Każdy z trzech protokołów używa rekordów TXT w DNS:
Ponieważ DNS jest publicznie dostępny i kontrolowany przez właściciela domeny, stanowi autorytatywne źródło prawdy dla uwierzytelniania emaili. Dostawcy skrzynek polegają na tych rekordach w czasie rzeczywistym, by oceniać zaufanie, egzekwować polityki i chronić użytkowników przed nadużywaniem.
Jak Skonfigurować SPF, DKIM i DMARC
Wszystkie trzy mechanizmy są konfigurowane jako rekordy TXT w DNS. Oznacza to, że konfiguracja zawsze odbywaywą sie na poziomie DNS, nawet jeśli wartości najcześciej pochodzą od dostawcy usług pocztowych lub serwera pocztowego.
Ostatecznym celem jest zgodność (ang. alignment), czyli sytuacja, w której domena używana do uwierzytelniania odpowiada domenie widocznej dla odbiorcy.
Przed rozpoczęciem konfiguracji upewnij się, że wiesz:
Krok 1: SPF. Autoryzuj infrastrukturę wysyłającą
Pomyśl o SPF jak o liście dozwolonych serwerów pocztowych.
W DNS swojej domeny tworzysz jeden rekord, który mówi: to są serwery pocztowe, którym ufam przy wysyłaniu emaili dla tej domeny.
Przykład rekordu SPF:
v=spf1 include:_spf.twoj-dostawca.com ~all
v=spf1 - to jest rekord SPF
include: - wskazuje autoryzowanych dostawców poczty
~all - soft fail: nieautoryzowane emaile są oznaczane, ale nie odrzucane
Jeśli testujesz, zacznij od ~all. Gdy jesteś pewny konfiguracji, zmień na -all (hard fail) dla silniejszego egzekwowania.
Krok 2: DKIM. Podpisuj każdą wiadomość kryptograficznie
DKIM to twój podpis cyfrowy. Kiedy email opuszcza twój serwer, serwer używa klucza prywatnego do podpisania wybranych części wiadomości. Serwer odbiorcy pobiera twój klucz publiczny z DNS i weryfikuje ten podpis.
Procedura konfiguracji:
- Wygeneruj parę kluczy DKIM u swojego dostawcy poczty
- Opublikuj klucz publiczny jako rekord TXT w DNS
- Aktywuj podpisywanie DKIM w swoim systemie wysyłania
Po opublikowaniu klucza serwer odbiorcy może potwierdzić dwie rzeczy: że wiadomość nie została zmieniona podczas tranzytu oraz że została wysłana przez serwer autoryzowany do podpisywania dla twojej domeny.
DKIM działa nawet po przekierowaniu wiadomości, co czyni go silniejszym sygnałem niż sam SPF.
Krok 3: DMARC. Zdefiniuj, co się dzieje, gdy weryfikacja zawiedzie
DMARC łączy SPF i DKIM w jednym miejscu i mowi serwerom odbiorczymm, co zrobic, gdy weryfikacja sie nie powiedzie.
Przyklad minimalnego rekordu DMARC:
v=DMARC1; p=none; rua=mailto:dmarc@twojadomc.pl
v=DMARC1 - to jest rekord DMARC
p=none - tryb monitorowania (brak egzekwowania)
rua= - adres do otrzymywania raportow zbiorczych
Zacznij od p=none, zeby monitorowac bez ryzyka blokowania legalnych emaili. Gdy przez kilka tygodni widzisz czystą zgodność, przejdź na p=quarantine, a potem p=reject.
DMARC egzekwuje zgodność, co oznacza, że widoczny adres From musi być zgodny z uwierzytelnioną tożsamością. Bez DMARC wyniki SPF i DKIM nie mówią nic o tym, za kogo podaje się email, więc podszywanie może nadal przejść przez filtry.
Wnioski
SPF, DKIM i DMARC tworzą fundament zaufania w skrzynce odbiorczej. Gdy uwierzytelnianie jest zgodne i egzekwowane, dostawcy skrzynek traktują twoją pocztę jako legalną. Gdy zgodność się łamie, nawet poprawnie skonfigurowane programy pocztowe tracą dostęp do skrzynki odbiorczej.
Uwierzytelnianie wymaga ciągłego monitorowania w miarę zmian infrastruktury. Każda nowa platforma do wysyłania emaili, każda migracja na inny ESP, każda zmiana konfiguracji DNS to moment, w którym warto sprawdzić, czy wszystkie trzy sygnały są nadal zgodne.
Najczęściej zadawane pytania
Nie. DMARC wymaga, żeby przynajmniej jeden z protokołów (SPF lub DKIM) przeszedł weryfikację i był zgodny z widoczną domeną From. Poleganie tylko na jednym zwiększa jednak kruchość konfiguracji i ogranicza pewność egzekwowania na większej skali.
Tak. DKIM samodzielnie potwierdza integralność wiadomości. Bez DMARC nie ma jednak egzekwowania zgodności tożsamości, wiec dostawcy skrzynek nadal muszą domyślać się zaufania zamiast je egzekwować.
Tak, pod warunkiem że SPF przejdzie weryfikację i domena Return-Path będzie zgodna z widoczną domeną From. Ta zgodność to miejsce, w którym konfiguracje oparte wyłącznie na SPF najczęściej się psują.
Zawsze w tej kolejności: najpierw SPF i DKIM, potem DMARC. DMARC nie ma sensu bez poprawnej konfiguracji dwóch pozostałych protokołów. Zacznij od wdrożenia i przetestowania SPF i DKIM, a następnie dodaj DMARC w trybie monitorowania (p=none), zanim przejdziesz do egzekwowania.