SPF, DKIM i DMARC to trzy kluczowe mechanizmy, które chronią nas przed spamem, phishingiem i innymi zagrożeniami. Każdy z tych protokołów pełni inną funkcję w procesie weryfikacji wiadomości. Ich wspólnym celem jest zapewnienie, że e-mail pochodzi z zaufanego źródła.
W kontekście najnowszych wymagań Google, Yahoo i Microsoft, stosowanie SPF, DKIM i DMARC stało się obowiązkowym standardem dla każdego nadawcy, który chce skutecznie prowadzić komunikację e-mailową. Brak ich poprawnej konfiguracji może prowadzić do problemów z dostarczalnością wiadomości, które zamiast do skrzynki odbiorczej trafią do folderu SPAM lub w ogóle zostaną odrzucone.
Niewłaściwie zabezpieczona domena może też zostać wykorzystana przez cyberprzestępców do podszywania się pod Twoją markę. Takie działania negatywnie wpływają na reputację Twojej marki i osłabiają zaufanie, jakim darzą Cię odbiorcy.
Jeśli chcesz zadbać o bezpieczeństwo swoich wiadomości i uniknąć problemów z dostarczalnością, czytaj dalej! Dowiesz się, jak działają protokoły SPF, DKIM i DMARC oraz dlaczego każdy z nich jest ważny.
Wprowadzenie do bezpieczeństwa maili
E-mail od początku swojego istnienia stanowił kluczowy kanał komunikacji, jednak szybko ujawnił swoje ograniczenia w zakresie bezpieczeństwa. Chociaż szyfrowanie zapewnia ochronę przesyłanych danych między serwerami, jego możliwości są ograniczone. Nie wystarcza, by przeciwdziałać nadużyciom takim jak spam, phishing czy spoofing. Techniki te pozwalają cyberprzestępcom podszywać się pod zaufane marki i wprowadzać odbiorców w błąd.
Gdy w 1982 powstał protokół SMTP, jego twórcy nie przewidzieli potrzeby uwierzytelniania nadawców wiadomości. Z czasem e-mail zaczął wykorzystywać rozwiązania takie jak TLS, które zapewniały szyfrowanie połączeń między serwerami i poprawiały bezpieczeństwo transmisji danych. Nie rozwiązywały jednak problemu weryfikacji nadawcy, co zostawiło sporą lukę w systemie zabezpieczeń poczty elektronicznej.
Odpowiedzią na rosnące zagrożenia związane ze spamem, phishingiem i spoofingiem stało się opracowanie trzech podstawowych mechanizmów uwierzytelniania poczty elektronicznej. Ich zadaniem jest wzmocnienie ochrony zarówno po stronie nadawców, jak i odbiorców wiadomości e-mail.
- SPF (Sender Policy Framework) – Sprawdza w systemie DNS, czy serwer wysyłający wiadomość ma uprawnienia do nadawania w imieniu danej domeny.
- DKIM (DomainKeys Identified Mail) – Dodaje cyfrowy podpis do wiadomości, który pozwala odbiorcy potwierdzić, że wiadomość została autoryzowana przez właściciela domeny i nie została zmodyfikowana po drodze.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) – Definiuje, jak powinny być traktowane wiadomości, które nie przejdą weryfikacji SPF lub DKIM, oraz umożliwia zbieranie raportów o próbach nadużyć.
Jak działa SPF?
Sender Policy Framework (SPF) to protokół uwierzytelniania wiadomości e-mail stworzony w odpowiedzi na luki w działaniu SMTP. Jego zadaniem jest ochrona domen przed nieautoryzowanym wykorzystaniem w komunikacji e-mail. Od 2014 roku SPF jest szeroko stosowany przez nadawców na całym świecie jako jedno z podstawowych narzędzi ograniczających nadużycia.
Protokół działa w oparciu o rekord DNS, w którym właściciel domeny określa, które adresy IP lub serwery mają prawo do wysyłania wiadomości w jej imieniu. Gdy serwer odbiorczy otrzymuje e-mail, porównuje dane nadawcy z informacjami zapisanymi w rekordzie SPF. Zgodność oznacza, że wiadomość pochodzi z autoryzowanego źródła.
Prawidłowa konfiguracja SPF pomaga ograniczyć spam i skutecznie wykrywać wiadomości phishingowe. Każda domena może posiadać tylko jeden rekord SPF, a jego struktura powinna zawierać maksymalnie dziesięć odwołań. Serwery odbiorcze najpierw szukają rekordu SPF w DNS, a następnie sprawdzają, czy infrastruktura nadawcza spełnia warunki autoryzacji.
Odpowiedzi SPF – Co oznaczają?
Serwery odbiorcze, analizując rekord SPF domeny, mogą zwrócić jedną z siedmiu odpowiedzi. Każda z nich informuje o wyniku weryfikacji i wpływa na decyzję, czy wiadomość powinna zostać dostarczona.
- Pass – Wiadomość została wysłana z autoryzowanego serwera. Serwer pocztowy nadawcy ma prawo wysyłać e-maile w imieniu domeny.
- Fail – Serwer nadawczy nie znajduje się na liście dozwolonych adresów IP. Wiadomość zostanie odrzucona jako nieautoryzowana.
- None – Domena nie posiada rekordu SPF. Brakuje jakichkolwiek wytycznych dotyczących autoryzacji serwerów.
- Neutral – Rekord SPF istnieje, ale nie precyzuje żadnych uprawnień. Efekt końcowy zależy od konfiguracji DMARC dla danej domeny.
- Soft fail – Wiadomość została wysłana z serwera, który prawdopodobnie nie ma autoryzacji. Może zostać oznaczona jako podejrzana, ale nie musi zostać odrzucona. Efekt końcowy zależy od polityki serwera odbiorczego lub ustawień DMARC.
- Temporary error – Wystąpił błąd techniczny, np. problem z dostępem do DNS. Weryfikacja SPF nie została przeprowadzona i wiadomość może zostać opóźniona.
- Permanent error – Rekord SPF jest niepoprawny. Może zawierać błędy składniowe lub przekraczać dozwolone limity. Wiadomość nie zostanie uznana za zgodną z SPF.
Protokół SPF może działać samodzielnie, ale jego pełna skuteczność ujawnia się w połączeniu z DKIM i DMARC. W kolejnych częściach artykułu zobaczysz, jak te mechanizmy wzajemnie się uzupełniają.
Jak działa DKIM?
DomainKeys Identified Mail (DKIM) to protokół uwierzytelniania wiadomości e-mail, który wykorzystuje system DNS do udostępniania kluczy publicznych potrzebnych do weryfikacji nadawcy. Mechanizm ten umożliwia dodanie do wiadomości cyfrowego podpisu DKIM. Dzięki niemu można potwierdzić, że wiadomość została wysłana z konkretnej domeny i nie została zmodyfikowana w trakcie przesyłania.
Podpis tworzony jest przy użyciu kryptografii klucza publicznego. Serwer nadawcy generuje unikalny podpis przy pomocy klucza prywatnego, a serwer odbiorcy porównuje go z kluczem publicznym zapisanym w rekordzie DNS domeny nadawczej. Jeżeli podpis jest zgodny, wiadomość uznawana jest za autentyczną.
Jak przebiega proces tworzenia rekordu DKIM w praktyce?
Aby wiadomość e-mail mogła zostać uznana za wiarygodną, musi przejść proces podpisywania i weryfikacji. DKIM działa w tle, automatycznie zabezpieczając każdą wysłaną wiadomość. W tym celu wykorzystuje parę kluczy. Klucz prywatny służy do podpisania wiadomości, a klucz publiczny do jej weryfikacji.
- Zapisanie klucza publicznego w DNS.
Domena nadawcy udostępnia klucz publiczny w swoich ustawieniach DNS. Serwery odbierające wiadomości mogą go tam znaleźć.
- Podpisanie wiadomości.
Gdy nadawca wysyła e-mail, jego serwer dodaje do niej podpis stworzony za pomocą klucza prywatnego. Tylko nadawca ma do niego dostęp.
- Sprawdzenie podpisu.
Po odebraniu wiadomości, serwer odbiorcy pobiera klucz publiczny z DNS i porównuje go z podpisem w e-mailu. Jeśli wszystko się zgadza, wiadomość jest traktowana jako autentyczna.
Protokół DKIM umożliwia dołączanie cyfrowych podpisów do wysyłanych wiadomości, co pozwala potwierdzić ich autentyczność. Podpis jest automatycznie umieszczany w nagłówku wiadomości i rozpoznawany przez serwery pocztowe obsługujące DKIM.
Właściciel domeny może przypisać różne klucze podpisujące do różnych dostawców e-mail. Dzięki temu zarówno wewnętrzne zespoły firmy, jak i zewnętrzni partnerzy mogą legalnie wysyłać wiadomości w imieniu marki.
Prywatny klucz służący do podpisywania wiadomości pozostaje po stronie nadawcy. Publiczny klucz trafia do DNS, gdzie mogą z niego skorzystać serwery odbiorcze. Takie rozwiązanie zapewnia skuteczny i przejrzysty sposób weryfikowania, czy wiadomość naprawdę pochodzi z danej domeny.
Czym jest domain alignment i dlaczego ma znaczenie?
Domain alignment polega na zapewnieniu zgodności między domeną widoczną w polu nadawcy a domeną wskazaną w rekordach SPF i/lub DKIM. Taka spójność jest wymagana przez DMARC, który może odrzucać wiadomości, jeśli te domeny się różnią. W zależności od konfiguracji, alignment może przyjmować dwie formy.
- Relaxed alignment oznacza, że wystarczy zgodność głównej domeny, nawet jeśli subdomena jest inna. Na przykład, jeśli wiadomość pochodzi z adresu news.example.com, a rekord SPF lub DKIM wskazuje example.com, to taka sytuacja nadal będzie uznana za zgodną.
- Strict alignment wymaga, aby domena w adresie nadawcy dokładnie odpowiadała domenie użytej w rekordzie SPF lub DKIM. Na przykład, jeśli wiadomość pochodzi z marketing.example.com, to rekord SPF lub DKIM również musi odnosić się dokładnie do marketing.example.com, a nie tylko do example.com.
Brak spójności domen to częsty powód, dla którego wiadomości, mimo przejścia SPF i DKIM, są odrzucane przez serwery odbiorcze. Utrzymanie alignmentu to jeden z kluczowych warunków skutecznego uwierzytelniania i wysokiej dostarczalności maili.
Jak działa DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) to protokół, który określa, jak serwery pocztowe powinny reagować na wiadomości, które nie przejdą uwierzytelnienia SPF, DKIM lub obu naraz. Zasady działania zapisuje się w rekordzie DNS domeny, z której wysyłane są e-maile.
Po otrzymaniu wiadomości serwer odbiorczy sprawdza jej autentyczność. Jeśli nie uda się jej zweryfikować, DMARC wskazuje, co zrobić dalej. Można zdecydować o dostarczeniu wiadomości mimo wszystko, oznaczeniu jej jako podejrzanej albo całkowitym odrzuceniu.
Oprócz ochrony, DMARC daje nadawcom dostęp do raportów, które pokazują, jak serwery odbiorcze radzą sobie z uwierzytelnianiem. Raporty mogą być zbiorcze lub dotyczyć konkretnych wiadomości. Dzięki nim łatwiej wychwycić próby podszywania się pod domenę i poprawić konfigurację zabezpieczeń.
Jakie działania może podjąć DMARC?
Rekord DMARC pozwala określić, co serwer odbiorczy powinien zrobić z wiadomością, która nie przejdzie weryfikacji SPF lub DKIM.
- None – Oznacza brak konkretnego działania. Wiadomości są dostarczane bez zmian, co pozwala monitorować sytuację i zbierać dane. Ten tryb najczęściej stosuje się na początku wdrożenia DMARC w celach testowych.
- Quarantine – Wiadomość jest uznawana za podejrzaną i trafia do folderu spam lub innego miejsca wyznaczonego do ręcznej weryfikacji. To opcja pośrednia, która nie blokuje wiadomości całkowicie.
- Reject – Wiadomość zostaje odrzucona i nie trafia do odbiorcy. W tym przypadku serwery otrzymują informację, że wiadomość pochodzi z nieautoryzowanego źródła, a wiadomość może stanowić potencjalne zagrożenie.
Raportowanie w DMARC
Rekord DMARC może zawierać informacje o tym, gdzie mają trafiać raporty dotyczące wyników uwierzytelniania wiadomości. Wyróżniamy dwa typy raportów.
- RUA to raporty zbiorcze, które pokazują statystyki dotyczące zgodności z SPF i DKIM. Ułatwiają analizę skuteczności zabezpieczeń w ujęciu ogólnym.
- RUF to raporty szczegółowe, które zawierają informacje o konkretnych wiadomościach, które nie przeszły procesu uwierzytelnienia. Dzięki nim można szybciej zidentyfikować błędy i potencjalne zagrożenia.
Włączenie obu typów raportów pozwala na ciągłe monitorowanie stanu ochrony domeny i szybką reakcję w razie problemów.
Jak działa BIMI?
Brand Indicators for Message Identification (BIMI) to stosunkowo nowy standard, który pozwala na wyświetlanie logo nadawcy bezpośrednio w skrzynce odbiorczej odbiorcy obok tematu wiadomości. Dzięki temu marka zyskuje na rozpoznawalności, a odbiorca otrzymuje dodatkowy sygnał zaufania jeszcze zanim otworzy e-mail.
Aby móc wdrożyć BIMI, konieczne jest spełnienie kilku warunków.
- Aktywna i poprawnie skonfigurowana polityka DMARC.
- Posiadanie zaszyfrowanego logo w formacie SVG umieszczonego pod publicznie dostępnym adresem URL.
- (opcjonalnie) Weryfikacja tożsamości organizacji za pomocą Verified Mark Certificate. Jest wymagana przez niektórych dostawców poczty, np. Gmail.
Choć wdrożenie BIMI nie wpływa bezpośrednio na dostarczalność wiadomości, może znacząco poprawić CTR i wskaźniki otwarć, a także wzmacniać profesjonalny wizerunek marki w oczach odbiorcy.
Jak SPF, DKIM i DMARC współpracują, by zapewnić dostarczalność wiadomości e-mail?
Proces autoryzacji e-maili zaczyna się od mechanizmu SPF, który sprawdza, czy serwer wysyłający wiadomość jest uprawniony do działania w imieniu danej domeny. To pierwszy krok, niezbędny do poprawnego działania DMARC i DKIM. SPF korzysta z rekordów DNS, ale sam nie weryfikuje treści wiadomości ani nie zapobiega ich fałszowaniu.
Kolejnym elementem jest DKIM. Dzięki niemu wiadomość zostaje cyfrowo podpisana, a podpis ten można zweryfikować przy użyciu publicznego klucza umieszczonego w DNS nadawcy. Pozwala to potwierdzić, że wiadomość pochodzi z autoryzowanego źródła i nie została zmodyfikowana w trakcie przesyłania.
Na końcu łańcucha znajduje się DMARC, który analizuje wyniki uwierzytelniania SPF i DKIM. Na ich podstawie właściciel domeny może określić, jak powinny zachować się serwery odbiorcze w przypadku wiadomości, które nie przechodzą weryfikacji. DMARC również wykorzystuje DNS, jednak jego rola skupia się na egzekwowaniu polityki oraz gromadzeniu raportów.
Współdziałanie tych trzech mechanizmów umożliwia:
- potwierdzenie tożsamości nadawcy dzięki SPF,
- weryfikację integralności wiadomości przez DKIM,
- egzekwowanie zasad dostarczania i raportowanie za pomocą DMARC.
Razem tworzą skuteczny system ochrony przed fałszywymi wiadomościami i poprawiają szanse na trafienie e-maila do skrzynki odbiorczej, a nie do spamu.