SPF a DKIM

SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) jsou metody používané pro ověřování, zda byla zpráva skutečně doručena z dané domény. Tyto metody pomáhají při detekci nevyžádaných a podvodných zpráv. ESET Mail Security používá také DMARC (Domain-based Message Authentication, Reporting and Conformance) mechanismus, který dále vyhodnocuje výstup z kontroly SPF a DKIM záznamů.

SPF

SPF kontrola ověřuje, zda zpráva dorazila od legitimního odesílatele. Funguje tak, že se odešle DNS dotaz na konkrétní doménu pro zjištění IP adres povolených odesílatelů. Pokud IP adresa odesílatele e-mailu odpovídá adrese získané z DNS dotazu, výsledek kontroly je úspěšný a zpráva je považována za legitimní. V případě, že IP adresa odesílatele neodpovídá SPF záznamu, výsledek kontroly je neúspěšný. Mějte na paměti, že SPF záznamy neexistují u všech domén. U takové domény se výsledek kontroly vrátí hodnota Nedostupné. Pokud vyprší limit DNS žádosti, výsledek kontroly bude rovněž Nedostupné.

DKIM

Při použití metody DKIM se do hlavičky zprávy přidává digitální podpis. Poštovní server zašifruje privátním doménovým klíčem část hlavičky zprávy. Přijímací server si následně z DNS záznamu domény stáhne veřejný klíč, dešifruje hlavičku zprávy a ověří, zda zpráva skutečně pochází z dané domény a nebyla cestou změněna.


Poznámka

Exchange Server 2010 a starší není plně kompatibilní s DKIM mechanismem, protože hlavičky obsažené v digitálně podepsaných příchozích zprávách mohou být v průběhu DKIM ověření modifikovány.

DMARC

DMARC vyhodnocuje výstup z výše uvedených mechanismů – SPF a DKIM. Můžete tedy vytvořit transportní pravidlo, které bude vyhodnocovat Výsledek DMARC, případně jako akci používat Aplikování DMARC politiky.

spf_and_dkim

Automaticky detekovat DNS servery

Pokud je tato možnost aktivní, DNS servery se načtou ze síťového adaptéru.

IP adresa DNS serveru

Pokud vypnete výše uvedenou možnost, do tohoto pole zadejte IP adresu DNS serveru (IPv4 nebo IPv6), který chcete používat pro ověřování SPF a DKIM záznamů.

Limit na provedení DNS dotazu (v sekundách)

Zadejte přípustný interval DNS žádosti.

Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná

Pokud je tato možnost aktivní, v případě, že ověření SPF záznamu selže, zpráva bude zamítnuta ještě před jejím stažením.


Příklad

SPF kontrola je prováděna na SMTP vrstvě. Mějte na paměti, že zpráva může být automaticky zamítnuta již na SMTP vrstvě nebo až v průběhu vyhodnocování pravidel.

Pokud došlo k automatickému zamítnutí zprávy již na SMTP vrstvě, není možné tuto informaci zaznamenat do Protokolu. Je to z důvodu, že záznam do protokolu zajišťují pravidla, zatímco k automatickému zamítnutí zprávy dojde na SMTP vrstvě, tedy ještě před tím, než se začnou vyhodnocovat pravidla. Při zamítnutí zpráv před vyhodnocením pravidly neexistuje žádná informace o tom, že bylo na zprávu aplikováno pravidlo.

Zaznamenávat zamítnuté zprávy do protokolu můžete pouze v případě, kdy byly zamítnuty pravidlem. Pro zaznamenání zamítnutých zpráv, které nevyhověly SPF kontrole, deaktivujte možnost Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná a vytvořte transportní pravidlo:

Podmínka

Typ: Výsledek SPF
Operace: je
Parametr: Fail

Akce

Typ: Zamítnout zprávu
Typ: Zapsat do protokolu

Použít From: hlavičku, pokud je MAIL FROM prázdné

Pole MAIL FROM v hlavičce zprávy může být v některých případech prázdné a velmi snadno se podvrhuje. Pokud je tato možnost aktivní a hlavička MAIL FROM prázdná, zpráva se stáhne a použije se informace z hlavičky From:.

Automaticky vynechat greylisting při úspěšné SPF kontrole

Tuto možnost doporučujeme aktivovat, protože pokud dojde k ověření SPF záznamu, není potřeba dále používat greylisting.

Zamítavá SMTP odpověď

Definovat můžete Kód odpovědi, Stavový kód a Odpověď pro dočasně zamítavou SMTP odpověď odesílanou SMTP serveru při zamítnutí zprávy. Odpověď můžete zadat v následujícím formátu:

Kód odpovědi

Stavový kód

Odpověď

550

5.7.1

SPF check failed