ESET Online pomocník

Vyhľadať Slovenčina
Vyberte kapitolu

SPF a DKIM

SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) sú metódy používané na overovanie, či boli e‑mailové správy skutočne doručené z daných domén. Tieto metódy pomáhajú chrániť príjemcov pred podvodnými správami. ESET Mail Security využíva taktiež overovací mechanizmus DMARC (Domain-based Message Authentication, Reporting and Conformance), ktorý dopĺňa a rozširuje SPF a DKIM.

SPF

Kontrola SPF overuje, či bol e‑mail odoslaný legitímnym odosielateľom. Funguje tak, že sa vykoná DNS vyhľadávanie týkajúce sa záznamov SPF domény odosielateľa s cieľom získať zoznam IP adries. Ak sa ktorákoľvek z IP adries v záznamoch SPF zhoduje s IP adresou odosielateľa, výsledok kontroly SPF bude úspešný (Pass). Ak sa IP adresa odosielateľa nezhoduje, výsledok kontroly bude neúspešný (Fail). Avšak treba mať na pamäti, že nie všetky domény majú záznamy SPF špecifikované v DNS. Ak sa v DNS nenachádzajú žiadne SPF záznamy, výsledok kontroly bude mať hodnotu Nie je k dispozícii. V prípade, že vyprší časový limit DNS požiadavky, výsledok kontroly bude mať taktiež hodnotu Nie je k dispozícii.

DKIM

DKIM používajú organizácie na zabránenie sfalšovaniu e‑mailových správ, a to tak, že do hlavičiek odchádzajúcich správ sa pridá digitálny podpis podľa štandardu DKIM. E‑mailový server zašifruje súkromným doménovým kľúčom hlavičku odchádzajúcej správy a do DNS záznamov domény pridá verejnú verziu kľúča. ESET Mail Security si následne stiahne verejný kľúč, pomocou ktorého dešifruje hlavičku prichádzajúcej správy a overí, či správa skutočne pochádza z danej domény a nebola cestou zmenená.


note

Exchange Server 2010 a staršie verzie nie sú plne kompatibilné s DKIM, pretože hlavičky obsiahnuté v digitálne podpísaných prichádzajúcich správach môžu byť počas DKIM overovania upravené.

DMARC

DMARC vychádza z mechanizmov SPF a DKIM. Môžete vytvoriť pravidlo Ochrany prenosu e‑mailov, ktoré bude vyhodnocovať Výsledok DMARC, prípadne použije akciu Aplikovať DMARC politiku.

ARC

Protokol ARC (Authenticated Received Chain) poskytuje akýsi „kontrolný reťazec“ overenia e‑mailových správ, ktorý umožňuje každému subjektu spracúvajúcemu správu vidieť, ktoré subjekty s danou správou manipulovali predtým a aké bolo hodnotenie overenia správy v každom kroku. ARC rieši problém sprostredkujúcich e‑mailových serverov, ktoré úpravou e‑mailovej správy narúšajú tradičné metódy overovania, ako sú SPF alebo DKIM.

ARC umožňuje spracovateľom internetovej pošty pripojiť k jednotlivým e‑mailovým správam informáciu o posúdení pravosti správy. Ako správa postupne prechádza cez spracovateľov internetovej pošty s podporou ARC, môžu k nej byť pridané ďalšie informácie o posúdení ARC, ktoré sa zaradia do usporiadaného súboru záznamov ARC, kde je zapísaný výsledok overenia správy z každého kroku jej spracovania na ceste od odosielateľa.

Spracovatelia internetovej pošty využívajúci technológiu ARC môžu na základe súboru záznamov ARC pre danú správu rozhodnúť o akcii spracovania, identifikovať spracovateľov internetovej pošty narúšajúcich existujúce mechanizmy overovania a prenášať pôvodné výsledky overenia zaisťujúc hodnovernosť správy pri presune medzi rôznymi prostrediami a systémami.

Viac informácií o technológii ARC a prípadoch použitia pri spracúvaní správ nájdete na tejto stránke.

Prijať podpisy ARC

Funkcia ARC je predvolene zapnutá. Antispamová ochrana programu ESET Mail Security vyhodnocuje hlavičky ARC ako súčasť nastavených pravidiel pre SPF, DKIM a DMARC len v nasledujúcich prípadoch:

Výsledok SPF je FAIL, SOFTFAIL

Výsledok DKIM je FAIL

Výsledok DMARC je FAIL

Dôveryhodné podpisy ARC

Akceptované budú iba podpisy ARC od dôveryhodných služieb (ARC sealers). Predvolený zoznam dôveryhodných služieb zahŕňa: google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com, fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com, me.com, amazon.com, and aws.amazon.com.

Automaticky zisťovať DNS servery

Automatická detekcia používa nastavenia sieťového adaptéra.

IP adresa DNS servera

Ak chcete použiť konkrétne DNS servery pre SPF a DKIM, zadajte IP adresu (vo formáte IPv4 alebo IPv6) DNS servera, ktorý chcete použiť.

Časový limit DNS požiadavky (v sekundách)

Zadajte časový limit pre DNS odpoveď.

Automaticky odmietnuť správu, ak nebola SPF kontrola úspešná

V prípade, že kontrola SPF nebude úspešná, e‑mailová správa bude odmietnutá ešte pred jej prevzatím.


example

Kontrola SPF prebieha na SMTP vrstve. Správa však môže byť odmietnutá buď automaticky na SMTP vrstve, alebo počas vyhodnocovania pravidiel.

Pokiaľ máte aktivované automatické odmietnutie správ na SMTP vrstve, odmietnuté správy nebudú zaznamenávané do protokolu udalostí. Dôvod je taký, že zapisovanie do protokolu je vyvolané akciou nastavenou pre určité pravidlo, avšak k automatickému odmietnutiu správy dôjde už na SMTP vrstve, teda ešte pred tým, ako by mohlo prebehnúť samotné vyhodnocovanie pravidiel. Keďže správa je odmietnutá už pred vyhodnocovaním pravidiel, neexistuje žiadna informácia o tom, že na správu by bolo aplikované akékoľvek pravidlo, a teda ani nemôže dôjsť k zápisu do protokolu.

Odmietnuté správy je možné zaznamenávať do protokolu len v tom prípade, že boli odmietnuté na základe nastaveného pravidla. Ak si prajete, aby e-mailové správy, ktoré neprešli kontrolou SPF, boli odmietnuté, no zároveň boli po odmietnutí zaznamenané do protokolu, deaktivujte možnosť Automaticky odmietnuť správu, ak nebola SPF kontrola úspešná, a vytvorte nasledujúce pravidlo Ochrany prenosu e-mailov:

Podmienka

Typ: Výsledok SPF

Operácia: je

Parameter: Fail

Akcie

Typ: Odmietnuť správu

Typ: Zapísať do protokolu udalostí

Použiť doménu z reťazca HELO pri vyhodnocovaní SPF

Táto funkcia používa doménu HELO na vyhodnotenie SPF. Ak doména HELO nie je špecifikovaná, použije sa názov hostiteľa počítača.

Použiť From: hlavičku, ak je MAIL FROM prázdny

Hlavička MAIL FROM môže byť prázdna a môže byť tiež ľahko sfalšovaná. Ak je táto možnosť povolená a hlavička MAIL FROM je prázdna, správa sa stiahne a bude použitá hlavička From:.

Automaticky obísť greylisting, ak bola kontrola SPF úspešná

Nie je dôvod používať metódu greylisting pre správy, ktoré úspešne prešli kontrolou SPF.

Zamietavá SMTP odpoveď

Môžete zadať Kód odpovede, Stavový kódSprávu odpovede, ktoré definujú dočasne zamietnutú SMTP odpoveď odoslanú na SMTP server, z ktorého prišla zamietnutá správa. Správu odpovede môžete zadať v nasledujúcom formáte:

Kód odpovede

Stavový kód

Správa odpovede

550

5.7.1

SPF check failed