SPF a DKIM
SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) jsou metody používané pro ověřování, zda byla zpráva skutečně doručena z dané domény. Tyto metody pomáhají při detekci nevyžádaných a podvodných zpráv. ESET Mail Security používá také DMARC (Domain-based Message Authentication, Reporting and Conformance) mechanismus, který dále vyhodnocuje výstup z kontroly SPF a DKIM záznamů.
SPF
SPF kontrola ověřuje, zda zpráva dorazila od legitimního odesílatele. Funguje tak, že se odešle DNS dotaz na konkrétní doménu pro zjištění IP adres povolených odesílatelů. Pokud IP adresa odesílatele e-mailu odpovídá adrese získané z DNS dotazu, výsledek kontroly je úspěšný a zpráva je považována za legitimní. V případě, že IP adresa odesílatele neodpovídá SPF záznamu, výsledek kontroly je neúspěšný. Mějte na paměti, že SPF záznamy neexistují u všech domén. U takové domény se výsledek kontroly vrátí hodnota Nedostupné. Pokud vyprší limit DNS žádosti, výsledek kontroly bude rovněž Nedostupné.
DKIM
Tuto metodu využívají společnosti pro zabránění podvržení e-mailů, kdy do hlavičky odchozích zpráv přidávají digitální podpis. Poštovní server zašifruje privátním doménovým klíčem část hlavičky zprávy odcházející z vaší domény. Přijímací server (v tomto případě ESET Mail Security) si následně z DNS záznamu domény stáhne veřejný klíč, dešifruje hlavičku zprávy a ověří, zda zpráva skutečně pochází z dané domény a nebyla cestou změněna.
Poznámka Exchange Server 2010 a starší není plně kompatibilní s DKIM mechanismem, protože hlavičky obsažené v digitálně podepsaných příchozích zprávách mohou být v průběhu DKIM ověření modifikovány. |
DMARC
DMARC vyhodnocuje výstup z výše uvedených mechanismů – SPF a DKIM. Můžete tedy vytvořit transportní pravidlo, které bude vyhodnocovat Výsledek DMARC, případně jako akci používat Aplikování DMARC politiky.
Automaticky detekovat DNS servery
Pokud je tato možnost aktivní, DNS servery se načtou ze síťového adaptéru.
IP adresa DNS serveru
Pokud vypnete výše uvedenou možnost, do tohoto pole zadejte IP adresu DNS serveru (IPv4 nebo IPv6), který chcete používat pro ověřování SPF a DKIM záznamů.
Limit na provedení DNS dotazu (v sekundách)
Zadejte přípustný interval DNS žádosti.
Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná
Pokud je tato možnost aktivní, v případě, že ověření SPF záznamu selže, zpráva bude zamítnuta ještě před jejím stažením.
Příklad SPF kontrola je prováděna na SMTP vrstvě. Mějte na paměti, že zpráva může být automaticky zamítnuta již na SMTP vrstvě nebo až v průběhu vyhodnocování pravidel. Pokud došlo k automatickému zamítnutí zprávy již na SMTP vrstvě, není možné tuto informaci zaznamenat do Protokolu. Je to z důvodu, že záznam do protokolu zajišťují pravidla, zatímco k automatickému zamítnutí zprávy dojde na SMTP vrstvě, tedy ještě před tím, než se začnou vyhodnocovat pravidla. Při zamítnutí zpráv před vyhodnocením pravidly neexistuje žádná informace o tom, že bylo na zprávu aplikováno pravidlo. Zaznamenávat zamítnuté zprávy do protokolu můžete pouze v případě, kdy byly zamítnuty pravidlem. Pro zaznamenání zamítnutých zpráv, které nevyhověly SPF kontrole, deaktivujte možnost Automaticky zamítnout zprávu, pokud nebyla SPF kontrola úspěšná a vytvořte transportní pravidlo: Podmínka Typ: Výsledek SPF Akce Typ: Zamítnout zprávu |
Použít From: hlavičku, pokud je MAIL FROM prázdné
Pole MAIL FROM v hlavičce zprávy může být v některých případech prázdné a velmi snadno se podvrhuje. Pokud je tato možnost aktivní a hlavička MAIL FROM prázdná, zpráva se stáhne a použije se informace z hlavičky From:.
Automaticky vynechat greylisting při úspěšné SPF kontrole
Tuto možnost doporučujeme aktivovat, protože pokud dojde k ověření SPF záznamu, není potřeba dále používat greylisting.
Zamítavá SMTP odpověď
Definovat můžete Kód odpovědi, Stavový kód a Odpověď pro dočasně zamítavou odpověď odesílanou SMTP serveru při zamítnutí zprávy. Odpověď můžete zadat v následujícím formátu:
Kód odpovědi |
Stavový kód |
Odpověď |
---|---|---|
550 |
5.7.1 |
SPF check failed |