Porozumění ověření e-mailu a podvržení domény: SPF, DKIM a DMARC

Vaše podnikání je cílem útoků typu phishing a podvržení. Pokud váš e-mail není ověřen, útočníci se mohou snadno vydávat za vaši doménu. Bez ověření může kdokoli na internetu odeslat e-mail a vydávat se za vás.

Vyzkoušejte Proton Mail na 14 dní zdarma Požádat o demo

Co znamená ověření e-mailu?

Ověření e-mailu je soubor technických standardů, které ověřují, zda je odesílatel e-mailu skutečně tím, za koho se vydává. Byl vyvinut proto, že původní e-mailový protokol (Simple Mail Transfer Protocol neboli SMTP) nemá žádnou integrovanou funkci, která by zabránila zfalšování adresy odesílatele.

Pro pochopení ověření je užitečné vědět, že e-mail má dvě adresy odesílatele:

1. Odesílatel obálky (RFC 5321)

Tato adresa, známá také jako adresa MAIL FROM, odesílatel P1 nebo return-path, je technická adresa, kterou e-mailové servery používají na pozadí pro směrování a doručování.

Účel: Říká přijímajícímu serveru, kam má odesílat automatické zprávy, jako jsou oznámení o vrácení e-mailu (bounce) nebo hlášení o nedoručení (NDR).
Viditelnost: Příjemci tuto adresu ve svém e-mailovém klientovi obvykle nikdy nevidí; je součástí skryté "obálky" zprávy.
Bezpečnostní role: Toto je adresa ověřovaná pomocí SPF.

2. Odesílatel v hlavičce (RFC 5322)

Tato adresa, známá také jako adresa Od: nebo odesílatel P2, je viditelná adresa ve vaší doručené poště (např. Od: vase-banka@example.com).

Účel: Toto je "přívětivá" adresa určená pro lidskou interakci, která příjemce informuje o tom, od koho zpráva zdánlivě pochází.
Viditelnost: Toto je jediná adresa, kterou většina uživatelů vidí, když otevřou svou doručenou poštu.
Bezpečnostní role: Tuto adresu útočníci nejčastěji podvrhují a je hlavním předmětem kontroly zarovnání DMARC.

Díky tomuto návrhu je podvržení e-mailu (podvržení adresy Od:) velmi snadné. Útočník může použít platného odesílatele obálky, kterého má pod kontrolou, aby prošel základními kontrolami serveru, a zároveň použít podvodného odesílatele v hlavičce k oklamání příjemce. Protokoly pro ověření e-mailu, jako je DMARC, to řeší tím, že vyžadují shodu domén těchto dvou odesílatelů.

Proč je ověření e-mailu pro firmy zásadní?

Pro firmy je zavedení ověření e-mailu naprosto nezbytnou obranou. To:

Zastavuje podvržení a phishing: Brání útočníkům v odesílání podvodných e-mailů z vaší domény.

Chrání pověst vaší značky: Zabraňuje tomu, aby byla vaše značka spojována se spamem a phishingovými podvody.

Zlepšuje doručitelnost e-mailů: Signalizuje ostatním poskytovatelům e-mailu, že jste legitimní odesílatel, což udržuje vaše e-maily mimo složku se spamem.

3 hlavní metody ověření e-mailu

Silná obrana spoléhá na tři společně fungující standardy: SPF, DKIM a DMARC. Každý z nich staví na tom předchozím a vytváří tak vícevrstvou obranu.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) je veřejný seznam všech serverů (podle IP adresy), které mají povoleno odesílat e-maily pro vaši doménu.

Jak to funguje

Tento seznam zveřejníte jako záznam DNS typu TXT pro vaši doménu. Když přijímající e-mailový server obdrží zprávu, porovná IP adresu odesílajícího serveru s tímto seznamem. Pokud je IP adresa na seznamu, zpráva projde kontrolou SPF; pokud ne, selže.

Slabina

SPF ověřuje pouze technickou odesílací adresu používanou e-mailovými servery, nikoli viditelnou adresu Od:, kterou lidé vidí ve své doručené poště. Tato mezera umožňuje podvodníkům projít kontrolami SPF. Vzhledem k tomu, že SPF je protokol založený na cestě, často selhává také při přeposlání e-mailu přes e-mailový seznam nebo partnerský server. Jelikož přeposílající server není na vašem seznamu povolených serverů, kontrola selže.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) přidává k obsahu zprávy, včetně hlavičky Od:, jedinečný digitální podpis chráněný proti neoprávněné manipulaci.

Jak to funguje

Tento podpis se vytváří pomocí soukromého klíče, který zná pouze váš server. Odpovídající veřejný klíč je zveřejněn ve vašem DNS. Přijímající servery používají tento veřejný klíč k ověření podpisu. Pokud je platný, dokazuje to, že e-mail přišel z vaší domény a jeho obsah nebyl během přenosu změněn.

Slabina

Stejně jako SPF, ani DKIM sám o sobě nezabraňuje podvržení. Podpis dokazuje, že zpráva je autentická pro doménu, která ji odeslala, a nemusí to být nutně doména zobrazená v adrese Od:.

3. Ověřování, hlášení a shoda zpráv na základě domény (DMARC)

Ověřování, hlášení a shoda zpráv na základě domény (DMARC) je zásada, která spojuje SPF a DKIM. DMARC je pravidlo, které e-mailovým serverům říká, aby důvěřovaly e-mailům pouze v případě, že adresa Od:, kterou vidíte, odpovídá ověření na pozadí. Uzavírá tak mezeru, kterou útočníci zneužívají při použití samotného SPF nebo DKIM.

Jak to funguje

DMARC vyžaduje, aby se doména ve viditelné adrese Od: shodovala s doménou použitou při úspěšném ověření SPF nebo DKIM. Tento zásadní krok propojuje viditelnou adresu odesílatele s technickým ověřením.

Serverům také říká, co mají dělat: Vaše zásada DMARC (p) určuje přijímajícím serverům, jak mají nakládat se selháními:

p=none (Sledování): Neprovádět žádnou akci. Pouze Vám zasílá zprávy o tom, kdo z Vaší domény odesílá e-maily.
p=quarantine (Karanténa): Odesílat nevyhovující e-maily do složky se spamem.
p=reject (Zamítnout): Zcela blokovat nevyhovující e-maily.

Zabezpečte své podnikání před phishingem a podvržením domény

Více než 90 % všech úniků informací začíná phishingovým útokem nebo podvržením. Implementace SPF, DKIM a DMARC představuje Vaši první linii obrany, ale musí být spojena s poskytovatelem e-mailu, který je ve výchozím nastavení zabezpečený.

Služba Proton Mail for Business je navržena tak, aby tyto hrozby zablokovala dříve, než se vůbec dostanou k Vašemu týmu. Naše pokročilá detekce podvržení, technologie PhishGuard a koncové šifrování poskytují komplexní obranu, kterou lze snadno spravovat.

Vyzkoušejte Proton Mail na 14 dní zdarma Požádat o demo

Jak nastavit ověření e-mailu (krok za krokem)

Zabezpečení Vaší domény zahrnuje přidání několika záznamů do nastavení systému DNS (Domain Name System), které spravuje Váš registrátor domény (například GoDaddy, Namecheap nebo Cloudflare).

Krok 1

Vytvořte svůj záznam SPF

Nejprve identifikujte všechny služby, které používáte k odesílání e-mailů (např. Vašeho poskytovatele e-mailu, službu pro zasílání newsletterů jako Mailchimp, CRM). Váš záznam SPF je musí všechny zahrnovat. Například záznam SPF služby Proton Mail je v=spf1 include:_spf.proton.me mx ~all. Tento záznam přidáte jako záznam typu TXT do Vašeho nastavení DNS.

Krok 2

Nakonfigurujte svůj podpis DKIM

V administračním panelu služby Proton Mail (nebo jiného poskytovatele) přejděte do nastavení domény. Systém pro Vás vygeneruje jedinečný klíč DKIM. Proces nastavení DKIM v Microsoft 365, Google Workspace nebo Protonu je podobný: zkopírujete vygenerovaný klíč a podle pokynů vytvoříte nový záznam TXT ve svém DNS.

Krok 3

Implementujte svou zásadu DMARC

Přidání zásady DMARC (p) je posledním krokem. Měla by být zaváděna po fázích, aby nedošlo k zablokování Vašich vlastních legitimních e-mailů:

Začněte s p=none: Vytvořte záznam DMARC se zásadou p=none. Tento režim sledování Vám umožňuje přijímat zprávy o selháních e-mailů, aniž by to ovlivnilo doručování Vaší pošty.
Analyzujte zprávy: Pomocí hlášení DMARC vyhledejte všechny legitimní služby, které neprocházejí kontrolami, a přidejte je do svých záznamů SPF a DKIM.
Přejděte na p=quarantine: Jakmile si budete jisti, změňte svou zásadu na p=quarantine. To bude odesílat nevyhovující e-maily do složky se spamem.
Přejděte na p=reject: Po dalším sledování přejděte na p=reject, abyste zablokovali doručování všech podvodných e-mailů.

Podrobné pokyny k nastavení, včetně snímků obrazovky a hodnot záznamů, naleznete v příručce podpory společnosti Proton.

Nad rámec základů: ARC a BIMI

Jakmile budete mít SPF, DKIM a DMARC nastavené, existují dva volitelné standardy, které mohou přinést další hodnotu:

Ověřený řetězec přijetí (ARC)

Udržuje výsledky Vašeho ověření nedotčené při přeposílání e-mailů (například prostřednictvím e-mailových seznamů), které často SPF nebo DKIM naruší.

Indikátory značky pro identifikaci zpráv (BIMI)

Umožňuje zobrazit oficiální logo Vaší společnosti vedle Vašich e-mailů v podporovaných schránkách doručené pošty. Představte si to jako „ověřené zaškrtnutí“ pro e-mail. Abyste splnili podmínky, potřebujete silnou zásadu DMARC (quarantine nebo reject).

Jak Proton Mail zabezpečuje Váš firemní e-mail

Nastavení ověření e-mailu je nezbytné, ale je to pouze jedna část kompletní bezpečnostní strategie. Proton Mail přidává další vrstvy ochrany, které chrání Vaše podnikání před pokročilými hrozbami.

Pokročilá detekce podvržení

Proton Mail automaticky kontroluje SPF, DKIM a DMARC u všech příchozích zpráv. E-maily, které těmito kontrolami neprojdou, jsou jasně označeny, což snižuje riziko předstírání identity.

PhishGuard

PhishGuard rozpoznává podezřelé odkazy, vzorce a další varovné signály, které běžné filtry často přehlédnou, a pomáhá tak blokovat pokusy o phishing ještě předtím, než se dostanou k zaměstnancům.

Koncové šifrování a šifrování s nulovým přístupem

E-maily mezi uživateli Protonu jsou automaticky koncově šifrovány. Všechna Vaše data jsou uložena s šifrováním s nulovým přístupem, což znamená, že ani my nemůžeme číst Vaše e-maily.

Potvrzení odkazů

Když uživatelé kliknou na odkaz v e-mailu, Proton Mail zobrazí úplný náhled cílové URL adresy, což pomáhá předcházet neúmyslnému kliknutí na škodlivé stránky.

Vyzkoušejte Proton Mail na 14 dní zdarma Požádat o demo

Zabezpečte svou firemní komunikaci

Chraňte svou společnost před phishingem, podvržením a úniky informací pomocí e-mailové služby, která klade bezpečnost a soukromí na první místo. Zaveďte silné ověření e-mailu a využívejte výhod koncového šifrování a pokročilé ochrany proti phishingu, to vše v jednom jednoduchém a bezpečném řešení.

Vyzkoušejte Proton Mail for Business Požádat o demo

Často kladené otázky

Jaký je rozdíl mezi SPF a DKIM?: SPF kontroluje, kdo je oprávněn odesílat e-maily za Vaši doménu, a to ověřením odesílajícího serveru.
DKIM pomocí digitálního podpisu kontroluje, zda samotná zpráva nebyla pozměněna bez dovolení.
Řeší různé problémy, takže pro kompletní ochranu potřebujete obojí (a navíc DMARC).
Jak e-mailové servery kontrolují ověření?: Když e-mailový server přijme zprávu, vyhledá záznamy SPF, DKIM a DMARC odesílatele. Výsledky (například spf=pass nebo dkim=fail) zaznamená do skryté hlavičky s názvem Authentication-Results. Váš poskytovatel e-mailu pak tyto informace spolu s mnoha dalšími signály použije k rozhodnutí, zda zprávu doručit do Vaší doručené pošty, označit ji jako spam, nebo ji zablokovat.
Jak dlouho trvá, než DMARC začne fungovat?: DNS záznam je obvykle aktivní během několika hodin. Bezpečné zavedení DMARC však vyžaduje čas: začnete se zásadou určenou pouze ke sledování (p=none), analyzujete přehledy, opravíte legitimní odesílatele, kteří neprošli, a poté postupně přejdete k přísnějším zásadám (p=quarantine nebo p=reject). Tento proces často trvá několik týdnů nebo měsíců.
Co když podvodníci podvrhnou můj e-mail?: DMARC obsahuje funkci hlášení, která Vás informuje, pokud se někdo pokouší vydávat za Vaši doménu. Pokud to zjistíte, měli byste upozornit své zaměstnance, informovat své zákazníky a nahlásit podvod orgánům činným v trestním řízení a organizacím bojujícím proti phishingu, jako je FTC nebo Anti-Phishing Working Group.
Může to zastavit všechny phishingové útoky?: Žádný nástroj sám o sobě nezastaví všechno. SPF, DKIM a DMARC skvěle blokují přímé podvržení domény. Útočníci však používají také triky, jako jsou vzhledově podobné domény nebo kompromitované účty. Proto by mělo být ověření součástí vícevrstvé obrany, společně se školením uživatelů a pokročilými ochrannými funkcemi, jako je PhishGuard od Protonu.