Přišel vašim zákazníkům e-mail „od vás" s falešnou fakturou a jiným číslem účtu? Nebo vám zprávy padají do spamu, i když nic špatného neposíláte? Za obojím stojí to, jak je (ne)zabezpečená vaše e-mailová doména. Naštěstí to spraví tři nastavení se zvláštními zkratkami: SPF, DKIM a DMARC. Zní to složitě, ale princip je jednoduchý — a v tomto článku si ho vysvětlíme lidsky.
E-mail vznikl v době, kdy si na internetu všichni věřili. Odesílatele si proto může kdokoli napsat, jak chce — trochu jako zpáteční adresu na obálce. Útočník tak snadno pošle zprávu, která tváří jako by přišla z vaší domény, přestože s ní nemá nic společného. Tomu se říká spoofing a je základem většiny phishingových a podvodných útoků. Jak poznat podvodný e-mail z druhé strany jsme rozebrali v samostatném článku — tady se podíváme, jak zabránit tomu, aby někdo zneužil vaši doménu.
Tři vrstvy, které chrání vaši doménu
SPF, DKIM a DMARC nejsou konkurenční technologie — doplňují se. Každá řeší jiný kousek problému a teprve dohromady dávají skutečnou ochranu.
SPF: kdo smí posílat e-maily za vaši doménu
SPF (Sender Policy Framework) je veřejný seznam serverů, které mají povoleno odesílat e-maily za vaši doménu. Uložíte ho do DNS záznamů domény. Když pak přijímací server dostane e-mail „od vás", podívá se do tohoto seznamu a ověří, zda ho odeslal někdo oprávněný. Pokud ne, může ho odmítnout nebo označit za podezřelý.
Představte si to jako seznam schválených kurýrů. Když zásilku přinese někdo, kdo na seznamu není, recepce zpozorní.
DKIM: digitální podpis, že e-mail nikdo cestou nezměnil
DKIM (DomainKeys Identified Mail) přidává ke každému odeslanému e-mailu neviditelný digitální podpis. Přijímací server si ověří, že podpis odpovídá vaší doméně a že zprávu nikdo cestou nepozměnil. Zatímco SPF ověřuje odkud e-mail přišel, DKIM potvrzuje, že obsah je pravý a nedotčený.
DMARC: pravidlo, co dělat, když ověření selže
DMARC (Domain-based Message Authentication) je dirigent, který spojuje SPF a DKIM dohromady a říká přijímacím serverům, co dělat, když ověření selže: nechat projít, dát do spamu, nebo rovnou odmítnout. Navíc vám umí posílat přehledy o tom, kdo se za vaši doménu vydává — takže vidíte, jestli vás někdo zneužívá.
Proč to řešit, i když „nic neposíláme hromadně"
Tohle není téma jen pro firmy s newslettery. Bez správného nastavení hrozí dvě věci:
- Někdo se za vás vydává — pošle vašim zákazníkům nebo účetní podvodnou zprávu s vaší hlavičkou. Škoda na důvěře i penězích může být velká.
- Vaše legitimní e-maily končí ve spamu — poskytovatelé jako Google a Microsoft dnes bez SPF/DKIM/DMARC zprávám méně věří a častěji je zahazují. Nabídka nebo faktura, kterou zákazník nedostane, je ztracená příležitost.
Spustit audit zdarma
Prověříme bezpečnost vaší domény — výsledek do e‑mailu.
Jak na to prakticky
Nastavení probíhá v DNS záznamech vaší domény a v e-mailové službě (typicky Microsoft 365 nebo Google Workspace). V kostce:
- Zjistěte všechny systémy, které za vás posílají e-maily — poštovní server, fakturační a rezervační systémy, newsletterový nástroj, e-shop.
- Vytvořte SPF záznam, který je všechny zahrnuje (pozor na limit počtu „lookupů").
- Zapněte DKIM podepisování ve své e-mailové službě a vložte veřejný klíč do DNS.
- Přidejte DMARC záznam, začněte s p=none a sledujte reporty.
- Po vyladění přejděte na quarantine a nakonec reject.
Co si odnést
- Bez zabezpečení se za vaši doménu může vydávat kdokoli — to je základ phishingu a podvodů.
- SPF říká, kdo smí posílat; DKIM podepisuje obsah; DMARC určuje, co dělat při selhání.
- Správné nastavení navíc zlepší doručitelnost — méš e-mailů ve spamu.
- DMARC zavádějte postupně (none → quarantine → reject), ať si nezablokujete vlastní poštu.
Nastavení SPF, DKIM a DMARC je jednorázová práce s velkým přínosem — a rádi ji uděláme za vás, správně a napoprvé. Je součástí naší kybernetické bezpečnosti. Chcete vědět, jak je na tom vaše doména teď? Spusťte si nezávazný online audit, který ověří i e-mailové zabezpečení, nebo nám napište na konzultaci zdarma.