Sylwia Cerecka, 2023-07-07
W 2022 roku prawie 49% maili wysyłanych na całym świecie było zidentyfikowanych jako spam (statista.com), a prawie 96% ataków phishingowych jest przeprowadzanych przy użyciu poczty elektronicznej (mailmodo.com).
Jak zatem zapewnić jak najlepszą dostarczalność swoich maili oraz chronić się przed phishingiem i innymi oszustwami?
Odpowiedź jest jedna - ustawić SPF i DKIM w rekordach DNS dla swojego serwera pocztowego.
Artykuł powstał z myślą o użytkownikach, którzy nie mają doświadczenia technicznego, ale chcą mieć lepszą kontrolę nad dostarczalnością poczty w swojej firmie.
Znajdziesz tu krótki opis:
Na początek, żeby łatwiej Ci było skonfigurować rekordy SPF i DKIM dla swojej domeny, musisz zrozumieć czym te rekordy są i jak działają.
Spf (Sender Policy Framework) jest jedną z podstawowych metod uwierzytelnienia poczty email. SPF chroni przed podszywaniem się pod domenę oraz zmniejsza ryzyko oznaczenia wiadomości jako spam.
Dzięki niemu serwer odbierający wie, że wiadomość wysłana w imieniu twojej domeny pochodzi z serwerów do tego uprawnionych.
Rekord SPF to rekord DNS typu TXT, który zawiera w sobie listę adresów IP uprawnionych do wysyłki wiadomości email w imieniu Twojej domeny.
Kiedy wysyłasz wiadomość serwer odbiorcy sprawdza czy adres IP serwera nadawcy znajduje się na liście adresów IP podanych w SPF. Jeśli tak, mail zostaje przyjęty i trafia do odbiorcy.
Spf nie jest jednak doskonały. Jego wadą jest brak obsługi wiadomości typu “Forward/Przekaż dalej”. Dlatego oprócz podstawowego rekordu SPF zalecane jest także ustawienie rekordu DKIM.
Rekord DKIM (Domain Keys Identified Mails) podobnie jak SPF zabezpiecza komunikację mailową. Dzięki DKIM odbiorca wiadomości ma pewność że mail, który otrzymał z domeny np. kontakt@mojadomena.pl naprawdę pochodzi od tego nadawcy i nikt sie pod niego nie podszywa.
Protokół DKIM tworzy dla każdej wysyłanej wiadomości podpis kryptograficzny oraz podpis domeny, który jest dodawany do nagłówka wiadomości.
Podpis jest wykorzystywany do weryfikacji czy mail został rzeczywiście wysłany przez właściciela domeny, a nie kogoś innego. Służy też do sprawdzenia czy wiadomość nie została naruszona w drodze od nadawcy do odbiorcy.
Dkim jest nieco bardziej zaawansowany niż rekord SPF, a jego dużą zaletą, jest to, że - w odróżnieniu od Spf - obsługuje też forwarding wiadomości.
DKIM nadaje wiadomościom cyfrowy podpis w nagłówku, który jest zabezpieczony szyfrowaniem. Każdy podpis DKIM zawiera wszystkie informacje potrzebne serwerowi pocztowemu do zweryfikowania autentyczności podpisu i jest szyfrowany za pomocą pary kluczy DKIM. Nadawczy serwer pocztowy ma tak zwany „prywatny klucz DKIM”, który może zostać zweryfikowany przez odbierający serwer pocztowy lub dostawcę usług internetowych za pomocą drugiego klucza, zwanego „publicznym kluczem DKIM”.
Klucz “publiczny” jest przekazywany każdemu, kto chce go otrzymać, klucz “prywatny” jest trzymany w tajemnicy (z reguły przez właściciela).
Podczas podpisywania wiadomości email klucz prywatny jest wykorzystywany do stworzenia skrótu wiadomości. Skrót ten jest następnie szyfrowany kluczem publicznym i wysyłany z samą wiadomością.
Gdy odbiorca dostaje wiadomość, używa swojego klucza prywatnego do odszyfrowania skrótu i sprawdzenia czy odpowiada on oryginalnej treści wiadomości.
Jeśli już wiesz jak ważne jest ustawienie SPF i DKIM dla Twojej domeny, czas przejść do działania.
Na początek zacznij od sprawdzenia czy dla Twojej domeny jest już ustawiony jakiś rekord i czy jest on poprawny.
Polecamy do tego narzędzia:
Wystarczy w polu do tego przeznaczonym wpisać nazwę swojej domeny, np sugester.pl. Po chwili dostaniesz informację czy na Twojej domenie jest ustawiony jakiś rekord SPF, a jeśli tak to czy jest on poprawny.
Jeśli rekordy nie zostały znalezione
lub są błędne, musisz dodać nowe.
Żeby to zrobić, musisz wiedzieć gdzie masz hosting swojej domeny (np. Home, nazwa, ovh itd).
Jeśli nie masz pewności lub nie masz kogo zapytać, możesz się zasugerować tym, co wyświetli się w raporcie w mxtoolbox “Your DNS hosting provider is ..”
Aby dodać rekord SPF najlepiej jest zgłosić się do supportu Twojego hostingu i poprosić o pomoc.
Generalnie należy zalogować się na swoim koncie w hostingu i w konsoli w odpowiednim miejscu wkleić kawałek przygotowanego tekstu.
Jeśli korzystasz np z Google Apps do wysyłki maili Twój rekord SPF będzie wyglądał tak:
"v=spf1 mx include:_spf.google.com ~all"
Poniżej przykłady konfiguracji SPF dla kilku najpopularniejszych hostów domen:
Rozpoczęcie pracy z protokołem DKIM należy zacząć od 3 kroków:
Następnie wygenerowany rekord TXT wklejasz we właściwym miejscu do swoich rekordów DNS.
Tak jak w przypadku ustawienia SPF, jeśli nie masz wprawy najlepiej poprosić o pomoc obsługę techniczną hosta.
Poniżej przykłady ustawienia DKIM dla kilku popularnych hostów domen:
Ktoś może zapytać: Czy jeśli chcę wysyłać maile przez wasze serwery, to też muszę ustawiać SPF?
Zdecydowanie tak. Niezależnie od tego przez jakie serwery wysyłasz wiadomości w imieniu Twojej domeny, musisz mieć ustawione SPF dla lepszej dostarczalności Twoich maili.
Jeśli wysyłasz pojedyncze maile z Sugestera korzystając z Sendgrida, do swojego DNS musisz mieć dodany rekord spf dla Sendgrida, który będzie wyglądał jak ten poniżej
"v=spf1 mx include:u908313.wl.sendgrid.net ~all"
Jeśli wysyłasz tylko mailing z Sugestera, dodaj rekord SPF dla Mailgun
"v=spf1 mx include:mailgun.org ~all"
Natomiast jeśli wysyłasz wiadomości przez kilku providerów np. newslettery przez Mailguna, a "zwykłą pocztę" przez Sendgrid, Gmail i AWS możesz napisać:
txt = "v=spf1 mx mx include:u908313.wl.sendgrid.net include:_spf.google.com include:mailgun.org include:amazonses.com ~all"
Jeśli chodzi o DKIM w Sugesterze to domyślnie wstawiamy nasz DKIM do wszystkich wiadomości wysyłanych z Sugestera. Możemy jednak zwiększyć dostarczalność Twoich maili, konfigurując dla Ciebie własny DKIM wraz z własnym serwerem wysyłającym - wiadomości będą wtedy wysyłane i podpisywane przez Twoją domenę (opcja dostępna jest od planu PRO).
Aby ją aktywować, musisz zmodyfikować SPF/TXT i dodać trzy nowe wpisy do DNS Twojej domeny. Zanim to zrobisz:
Jeżeli wysyłasz dużo maili, niezależnie czy są to kampanie mailingowe czy korespondencja z klientem, zadbaj o reputację Twojej domeny. Nie ryzykuj, że Twoje wiadomości będą lądować w spamie, a ty trafisz w końcu na czarną listę. Ustaw rekordy SPF i DKIM w DNS serwera. To niezbędny krok, by zadbać o bezpieczeństwo domeny i wysoką dostarczalność swoich maili.
Zobacz też: DMARC - ochrona przed phishingiem i wpadaniem do spamu
Artykuł został zaktualizowany 21.02.2024 r.