Ověřování e-mailů
SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) jsou ověřovací metody, které kontrolují, zda jsou příchozí e-mailové zprávy z určitých domén autorizovány vlastníkem dané domény. Pomáhají chránit příjemce před podvodnými e-mailovými zprávami. ESET Mail Security používá také validační systém DMARC (Domain-based Message Authentication, Reporting and Conformance) mechanismus, který rozšiřuje možnosti SPF a DKIM.
SPF
Kontrola SPF ověřuje, že byl e-mail odeslán legitimním odesílatelem. Za účelem získání seznamu IP adres odešle DNS dotaz pro vyhledání SPF záznamů u domény odesílatele. Pokud IP adresa odesílatele e-mailu odpovídá adrese získané z DNS dotazu, výsledek kontroly je úspěšný a zpráva je považována za legitimní. V případě, že IP adresa odesílatele neodpovídá SPF záznamu, výsledek kontroly je neúspěšný. Ne všechny domény však mají SPF záznamy v DNS. U takové domény se výsledek kontroly vrátí hodnota jako Nedostupné. Pokud vyprší limit DNS žádosti, výsledek kontroly bude rovněž Nedostupné.
DKIM
Tuto metodu využívají společnosti, aby zabránili impersonaci pomocí e-mailu. Do hlavičky odchozích zpráv přidávají digitální podpis dle standardu DKIM. Poštovní server zašifruje část hlavičky zprávy odcházející z vaší domény privátním doménovým klíčem. Přijímací server (v tomto případě ESET Mail Security) si následně z DNS záznamu domény stáhne veřejný klíč, dešifruje hlavičku zprávy a ověří, zda zpráva skutečně pochází z dané domény a nebyla cestou změněna.
|
Exchange Server 2010 a starší není plně kompatibilní s DKIM, protože hlavičky obsažené v digitálně podepsaných příchozích zprávách mohou být v průběhu DKIM ověření modifikovány. |
DMARC
DMARC využívá stávající mechanismy SPF a DKIM. Můžete tedy vytvořit transportní pravidlo, které bude vyhodnocovat výsledek DMARC, případně jako akci používat Aplikování DMARC politiky.
ARC
Protokol ARC (Authenticated Received Chain) poskytuje zprávě ověřený „kontrolní řetězec“, který umožňuje zjistit každé entitě nakládající se zprávou, jaké entity s ní nakládaly předtím a jak byla posuzována pravost zprávy v každém kroku. ARC upravuje e-mailové zprávy, pokud prochází přes zprostředkující poštovní servery a tím dochází k narušení běžných metod ověřování, jako je SPF nebo DKIM.
ARC umožňuje zpracovatelům internetové pošty připojovat k jednotlivým zprávám potvrzení o pravosti zpráv. Jak zprávy prochází internetovými obslužnými programy pro zpracování pošty s podporou ARC, mohou být ke zprávám připojeny další ARC kontrolní výrazy. Lze tak vytvořit jejich uspořádané sady ARC kontrolních výrazů, které představují posouzení autentizace v každém kroku zpracování zprávy.
Internetové obslužné programy pro zpracování pošty s podporou ARC mohou zpracovávat sady kontrolních výrazů ARC a informovat tak o rozhodnutích o dispozici zpráv, identifikovat obslužné programy pro zpracování internetové pošty, které by mohly prolomit stávající mechanismy ověřování, a předávat původní posouzení ověřování přes hranice důvěryhodnosti.
Další informace o ARC a případech použití, najdete v článku Případy použití ARC (zdroj nemusí být dostupný v českém jazyce).
Příjem ARC podpisů
Funkce ARC je ve výchozím nastavení povolena. Antispamová ochrana ESET Mail Security vyhodnocuje ARC hlavičky jako součást definovaných pravidel pro SPF, DKIM, DMARC a pouze v následujících případech:
•Výsledek SPF je FAIL, SOFTFAIL
•Výsledek DKIM je FAIL
•Výsledek DMARC je FAIL
Důvěryhodní ARC pečetitelé
Akceptovány jsou pouze ARC podpisy od důvěryhodných pečetitelů. Výchozí důvěryhodní pečetitelé jsou: google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com, fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com, me.com, amazon.com, and aws.amazon.com.
Automaticky detekovat DNS servery
Automatická detekce používá vaše nastavení síťového adaptéru.
IP adresa DNS serveru
Pokud hodláte pro SPF a DKIM použít specifický DNS server, zadejte IP adresu DNS serveru (ve formátu IPv4 nebo IPv6).
Limit na provedení DNS dotazu (v sekundách)
Zadejte časový limit pro odpověď DNS.
Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná
Pokud je tato možnost aktivní, v případě, že ověření SPF záznamu selže, zpráva bude zamítnuta ještě před jejím stažením.
|
SPF kontrola je prováděna na SMTP vrstvě. Mějte na paměti, že zpráva může být automaticky zamítnuta již na SMTP vrstvě nebo v průběhu vyhodnocování pravidel. Při použití automatického odmítnutí na SMTP vrstvě nelze odmítnuté zprávy zaznamenat do protokolu událostí. Je to z důvodu, že záznam do protokolu zajišťují pravidla, zatímco k automatickému zamítnutí zprávy dojde na SMTP vrstvě, tedy ještě před tím, než se pravidla začnou vyhodnocovat. Pokud došlo k zamítnutí zpráv ještě před vyhodnocením za pomoci pravidel, nebude existovat žádná informace o aplikaci pravidla. Zaznamenávat zamítnuté zprávy do protokolu můžete pouze v případě, kdy byly zamítnuty pravidlem. Pro zamítnutí zpráv, které nevyhověly SPF kontrole, deaktivujte možnost Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná a vytvořte transportní pravidlo: Podmínka •Typ: Výsledek SPF •Operace: je •Parametr: Fail Akce •Typ: Zamítnout zprávu •Typ: Zapsat do protokolu |
Při vyhodnocování SPF použít HELO doménu
Tato funkce pro vyhodnocení SPF používá doménu HELO. Pokud není HELO definována, použije se název serveru.
Použít From: hlavičku, pokud je MAIL FROM prázdné
Pole MAIL FROM v hlavičce zprávy může být v některých případech prázdné a velmi snadno se podvrhuje. Pokud je tato možnost zapnutá a hlavička MAIL FROM prázdná, zpráva se stáhne a použije se informace z hlavičky From:.
Automaticky vynechat greylisting při úspěšné SPF kontrole
Tuto možnost doporučujeme aktivovat, protože pokud dojde k ověření SPF záznamu, není potřeba dále používat greylisting.
Zamítavá SMTP odpověď
Definovat můžete Kód odpovědi, Stavový kód a Odpověď pro dočasně zamítavou odpověď odesílanou SMTP serveru při zamítnutí zprávy. Odpověď můžete zadat v následujícím formátu:
Kód odpovědi |
Stavový kód |
Odpověď |
|---|---|---|
550 |
5.7.1 |
SPF check failed |