Vedeli ste, že bez správneho nastavenia môže ktokoľvek poslať e-mail v mene vašej firmy? Stačí, aby napísal vašu adresu ako odosielateľa, a zákazník dostane podvodnú správu, ktorá vyzerá ako od vás. Pred týmto chránia tri záznamy: SPF, DKIM a DMARC. Poďme si vysvetliť, čo robia a prečo ich firma potrebuje.

Problém: ktokoľvek sa vydá za vašu firmu

E-mail bol navrhnutý dávno a pôvodne neoveroval, kto ho naozaj posiela. Bez ochrany tak môže podvodník rozoslať e-maily, ktoré sa tvária, že prišli z vašej domény. Zákazníci im uveria, naletia na podvod a vaša povesť utrpí. Tomuto sa hovorí spoofing.

Čo sú SPF, DKIM a DMARC

Sú to tri záznamy v DNS vašej domény, ktoré spolu overia, že e-mail naozaj pochádza od vás:

  • SPF určuje, ktoré servery smú posielať e-maily za vašu doménu. Príjemca tak vie overiť, či správa prišla z povoleného miesta.
  • DKIM pridáva k e-mailu digitálny podpis, ktorý dokazuje, že správa cestou nikto nezmenil a naozaj je od vás.
  • DMARC určuje pravidlo, čo robiť so správou, ktorá neprejde kontrolou (odmietnuť alebo dať do karantény), a posiela vám prehľady o zneužití.

Prečo to firma potrebuje

  • Ochrana pred zneužitím domény, podvodníci nemôžu jednoducho písať v mene firmy.
  • Lepšia doručiteľnosť, vaše e-maily menej padajú do spamu.
  • Vyššia dôveryhodnosť v očiach zákazníkov aj poštových služieb.

Ako sa to nastaví

Záznamy sa pridajú do DNS domény. Najprv treba poznať všetkých svojich odosielateľov: vlastný poštový server, Microsoft 365 alebo Google, službu na newslettre a podobne. DMARC sa potom sprísňuje postupne, od sledovania až po odmietanie podvrhnutých správ.

Politiky DMARC: od sledovania k odmietaniu

DMARC má tri úrovne prísnosti a prechádza sa nimi postupne:

  • none (sledovanie) nič neblokuje, len vám posiela reporty. Slúži na to, aby ste zmapovali všetkých svojich odosielateľov a videli, čo by sa odmietalo.
  • quarantine (karanténa) presunie neoverené správy do spamu.
  • reject (odmietnutie) ich rovno zahodí, takže podvodník vašu doménu nezneužije.

Cieľom je dostať sa postupne až na reject, ale až keď z reportov vidíte, že všetka vaša legitímna pošta prechádza. Skok rovno na reject bez tejto fázy je najčastejšia príčina, prečo firme prestanú chodiť vlastné e-maily.

Bonus: BIMI a logo v schránke

Keď máte DMARC nastavený na quarantine alebo reject, môžete pridať aj záznam BIMI. Vďaka nemu sa vaše firemné logo zobrazí pri e-maile v schránke príjemcu (podporujú to napríklad Gmail či Apple Mail). Pôsobí to profesionálne a zároveň zákazníkovi pomáha rozoznať pravú správu od podvrhu.

Na čo si dať pozor

Zle nastavené záznamy môžu zhodiť doručovanie aj vašich vlastných e-mailov, ak na niektorého odosielateľa zabudnete. Preto treba poznať všetky služby, ktoré za vás posielajú, a zmeny testovať. Súvisí to aj s ochranou pred phishingom.

Chcete mať firemný e-mail chránený a dôveryhodný? Ozvite sa nám, nastavíme SPF, DKIM a DMARC správne v rámci IT podpory pre firmy. Pomôže aj článok o e-maile s vlastnou doménou.

Tento článok je súčasťou prehľadu Podnikanie a IT.