Přestože je bezpečnost v dnešní době velmi řešené téma, překvapivé množství firem má velké mezery v zabezpečení své e-mailové komunikace. Nejčastějším problémem je padělání e-mailů. Pokud elektronická pošta neobsahuje bezpečnostní prvky, je pouze na příjemci (správci serveru nebo samotném uživateli), jestli podvrh odhalí. Přidáním bezpečnostních prvků nejen ztížíte padělání e-mailů, ale také výrazně zvýšíte důvěryhodnost odesílaných zpráv.
Proto vám představíme několik nástrojů, se kterými budou vaše e-maily bezpečnější a důvěryhodnější.
Každý poskytovatel (např. e-mailingové nástroje jako Mailchimp nebo Heureka v rámci programu Ověřeno zákazníky), který odesílá e-maily, bude mít k dispozici SPF a DKIM záznamy, které nejčastěji naleznete v sekci s nastavením. Případně je nepochybně ráda poskytne zákaznická podpora.
Ve chvíli, kdy potřebné záznamy máte k dispozici, je stačí umístit do DNS zóny dané domény. Při implementaci je vhodná konzultace s odborníkem.
Jedním z hlavních nástrojů, které se v dnešní době pro zabezpečení e-mailů používají, je SPF záznam (Sender Policy Framework). Tento záznam slouží k tomu, abychom určili, ze kterých serverů je možné e-maily jménem vaší domény odesílat.
Pokud se někdo pokusí odeslat e-mail ze serveru, který není uveden v SPF záznamech, příjemce pošty mnohem bezpečněji pozná, že se jedná o podvrh. V rámci záznamu můžeme dokonce rozhodnout, co s takovým e-mailem příjemce udělá. Nabízí se 3 varianty: Odmítnout, přijmout nebo přijmout s varováním (tzv. soft fail).
Pozor, u tohoto záznamu hrozí důležité riziko. V případě, že neuvedete všechny servery, ze kterých odesílání e-mailů dochází, mohou být odmítnuty správné e-maily, které do té doby přicházely bez komplikací.
Dalším důležitým prvkem je DKIM (DomainKeys Identified Mail) záznam. Tento záznam je nutný zejména v případě, když odesíláte hromadné e-maily. Při použití tohoto záznamu bude e-mail digitálně podepsán. Služba adresáta (e-mailový klient) poté, pomocí záznamu uvedeného v DNS zóně dané domény, provede ověření.
Oproti SPF záznamům nehrozí riziko, že pokud DKIM záznam k doméně uvedete, dojde k nedoručení samotného e-mailu (pokud e-mail nebude podepsán, nebude se nic dohledávat a e-mail bude doručen jako dříve).
Poslední záznam je DMARC (Domain-based Message Authentication, Reporting & Conformance). Tento záznam elegantně kombinuje dva předešlé systémy (SPF a DKIM).
Záznam nám umožní lépe určit, co se má stát s e-mailem, který neprojde nastavenými pravidly. Zároveň můžeme nastavit e-mailovou schránku, kam nám budou docházet pravidelné reporty.
V první fázi nastavení DMARC záznamu se zpravidla určuje politika, která pouze sleduje provoz e-mailů. Díky tomu je možné odhalit všechny servery, ze kterých k odesílání e-mailů dochází. Poté je u těchto serverů možné vyřešit řazení do stávajících záznamů.
Samozřejmě může nastat i situace, kdy zjistíme, že z naší domény odcházejí e-maily jasně podvodné. V takovém případě je vhodné nastavit namísto pouhého sledování více restriktivní politiku.
Pokud využíváte specialisty k odesílání e-mailů, je velmi pravděpodobné, že už tuto problematiku máte vyřešenou. Pamatujte ale, že konečná zodpovědnost je vždy na majiteli domény.
Ondřej Kaška
vedoucí technické podpory
Ondra k nám do týmu nastoupil před 4 lety jako brigádník na Technickou podporu. Vyzkoušel si několik pozic a nyní vede své první oddělení. Zde se stará o včasné a hlavně kvalitní odbavení všech požadavků, které naši klienti mají. Při odpočinku od digitálního světa si rád otevře kvalitní knížku nebo vyrazí do zahraničí.
