Co je to DKIM a SPF? A jak je nastavit?

Tohle je vážné. Jde o doručitelnost vašich e-mailů. Z vlastní zkušenosti vím, že tyto zkratky mohou znít neznámě, děsivě a mohou se zdát naprosto nezajímavé. Nebo vám možná znějí povědomě, ale nikdy jste se nezajímali natolik, abyste si ověřili, co to vlastně je.

Ať tak či onak, je na čase se dozvědět něco o tom, co je SPF & DKIM a jak je nastavit v záznamech DNS pro váš poštovní server, pokud chcete mít lepší kontrolu nad doručitelností e-mailů.

Tento příspěvek byl poprvé publikován 1. 9. 2016 a aktualizován 14. 7. 2020.

Snažím se to vysvětlit jednoduchými slovy, která pochopí nejen programátoři.

Co je to SPF? Jak SPF funguje?

Zjednodušeně řečeno, Sender Policy Framework (SPF) je bezpečnostní mechanismus vytvořený s cílem zabránit zlým lidem odesílat e-maily vaším jménem. Tento mechanismus spočívá v komunikaci mezi servery DNS… a to je bod, kdy to celé začíná znít děsivě! Ale nepropadejte panice. Pokusím se to popsat co nejjednodušeji.

Řekněme, že jste odeslali e-mail Bobovi. Jak ale Bobův server DNS pozná, že jste e-mail skutečně odeslali vy? Problém je, že ve skutečnosti neví. Ledaže byste měli na svém serveru DNS nastavenou funkci SPF.

SPF určuje, které IP adresy mohou být použity k odesílání e-mailů z vaší domény. Představme si tedy dvě možné „konverzace“ serverů. Pro zjednodušení předpokládejme, že se jmenujete Mike.

Scénář 1 – Nemáte nastaven SPF.

Server Mike: Ahoj, Bobův server. Mám novou zprávu od Mikea.
Bobův server: Ahoj, Mikeův server. Jaký je tvůj SPF?
Mikeův server: Koho to zajímá? Já žádný nemám. Věřte mi, je to od Mikea.
Bobův server: Pokud nemáš SPF, nemůžu si být jistý, že to poslal Mike. Dejte mi Mikovy povolené IP adresy, abych je mohl porovnat s vašimi.
Mikův server:
Bobův server: Nemám seznam Mikových povolených IP adres: V tom případě vaši zprávu nechci. Doručení odmítnuto. Promiň, kamaráde…

Scénář 2 – Máš nastavený SPF.

Mikeův server: Mám nastavený SPF: Ahoj, Bobův server. Mám novou zprávu od Mikea.
Bobův server: Ahoj, Mikeův server. Jaký je tvůj SPF?
Mikeův server: Tady máš, tady je můj SPF. Je zde celý seznam IP adres, které Mike sám prohlásil za ty, které mohou být použity jeho jménem.
Bobův server: A zpráva, kterou máte pro mě, je odeslána z IP 64.233.160.19. Dobře, je na seznamu. Všechno vypadá v pořádku. Dej mi tu zprávu, ukážu ji Bobovi. Díky!“

Všem technicky zdatným čtenářům tohoto blogu se omlouvám za toto ignorantské zjednodušení. Prosím, odpusťte nám hlupákům a mějte na paměti, že vám závidíme vaše superanalytické mozky.

Každopádně poučení z těchto dvou krátkých dialogů zní: nastavte si SPF. Pokud to neuděláte, můžete vypadat jako padouch a ne všechny vaše e-maily budou doručeny.

Jaké aplikace byste měli zahrnout do svého SPF?

Obecně jde o to, aby všechny aplikace, které odesílají e-maily vaším jménem (a používají svůj vlastní SMTP, ne váš), byly zahrnuty do vašeho SPF. Pokud například používáte Google Apps k odesílání e-mailů z vaší domény, měli byste do SPF uvést Google. Zde je návod společnosti Google, jak to udělat.

Je však důležité se ujistit, zda je Google jedinou aplikací, kterou byste měli ve svém SPF „povolit“. Například pro správu e-mailů podpory používáme aplikaci HelpScout a pro zasílání newsletterů MailChimp. Obě tyto aplikace zahrnujeme do našeho SPF.

Měli byste do mého SPF zahrnout také Woodpecker?

Ne. Jak jsem již zmínil, neměli byste zapomenout uvést do záznamu SPF aplikace, které odesílají e-maily vaším jménem, ale používají vlastní SMTP. Woodpecker používá k odesílání e-mailů váš protokol SMTP, takže je to spíše online e-mailový klient se superschopnostmi než aplikace pro hromadné odesílání e-mailů.

To znamená, že doručitelnost e-mailů odeslaných z aplikace Woodpecker závisí na pověsti vaší domény. Nastavení SPF a DKIM vám pomůže ochránit dobrou pověst vaší domény, a tím zlepšit doručitelnost vašich e-mailů.

Jak nastavit záznam SPF na vašem serveru krok za krokem?

Prvním krokem je zkontrolovat, jaký je váš aktuální záznam SPF. Můžete to udělat pomocí nástrojů, jako jsou:

• MxToolbox
• Google Apps Toolbox

Když tam zadáte svou doménu (já bych například zadal woodpecker.co), nástroje provedou nějaké testy a zobrazí vám aktuální SPF, případně upozornění, že ještě nebyl nastaven.

V závislosti na hostiteli vaší domény se budou kroky lišit. V podstatě jde o vložení správně strukturovaného řádku textu na správné místo v konzoli.

Pokud například používáte Google Apps pro odesílání všech e-mailů z vaší domény, bude řádek vypadat takto:

„v=spf1 include:_spf.google.com ~all“

Část záznamu „v=spf1“ se nazývá verze a ty, které následují za ní, se nazývají mechanismy.

Nyní se podívejme, co která část přesně znamená.

1. v=spf1 tento prvek identifikuje záznam jako SPF
2. include:_spf.google.com tento mechanismus zahrnuje poštovní servery, které jsou autorizovanými servery
3. ~all tento označuje, že pokud je e-mail přijat z neautorizovaného (v mechanismu „include:“ neuvedeného) serveru, je označen jako soft fail, což znamená, že může být propuštěn, ale může být označen jako spam nebo podezřelý.

Pokud ale používáte více aplikací (například něco na zasílání newsletteru, něco na zasílání zpráv podpory atd.), bude řádek o něco delší, protože do něj budete muset zahrnout všechny ostatní aplikace. Nebo pokud nepoužíváte Google Apps, ale server jiného hostitele, například GoDaddy, bude řádek vypadat jinak.

Tady je návod, jak nastavit SPF pro nejběžnější hostitele domén:

• Google
• Microsoft
• Zoho
• NameCheap
• GoDaddy
• Amazon SES

Nebo se můžete podívat na tento návod krok za krokem, ve kterém naše vedoucí podpory Julia vysvětluje, jak na to:

Pokud právě používáte nebo testujete aplikaci Woodpecker a nejste si jisti, zda je váš SPF správně nastaven, můžete jej zkontrolovat přímo v aplikaci: přejděte do NASTAVENÍ > EMAILOVÉ ÚČTY > DORUČENÍ (na levé straně) nebo nás kontaktujte na adrese a získejte individuální pomoc.

Odesílání výkonných e-mailů & zvýšení odpovědí

Co je to DKIM?

Standard DKIM (DomainKeys Identified Mail) byl vytvořen ze stejného důvodu jako SPF: aby zabránil zlým lidem vydávat se za odesílatele e-mailů. Je to způsob, jak dodatečně podepsat své e-maily způsobem, který umožní serveru příjemce zkontrolovat, zda jste odesílatelem skutečně vy, nebo ne.

Nastavením standardu DKIM na serveru DNS přidáte další způsob, jak příjemcům sdělit „ano, tuto zprávu posílám skutečně já“.

Celá myšlenka je založena na šifrování a dešifrování dodatečného podpisu, který je umístěn v hlavičce zprávy. Aby to bylo možné, musíte mít dva klíče:

• soukromý klíč (který je jedinečný pro vaši doménu a je k dispozici výhradně vám. Umožňuje vám zašifrovat podpis v záhlaví vašich zpráv.
• veřejný klíč (který přidáte do svých záznamů DNS pomocí standardu DKIM, aby jej server příjemce mohl načíst a dešifrovat váš skrytý podpis ze záhlaví zprávy).

Přečtěte si Hru o trůny, abyste získali širší představu o DKIM. Ned Stark posílá havrana se zprávou králi Robertovi. Každý by mohl vzít kus papíru, napsat zprávu a podepsat ji Ned Stark. Existuje však způsob, jak zprávu ověřit – pečeť. Nyní každý ví, že Nedova pečeť je zlovlk (to je veřejný klíč). Ale pouze Ned má originální pečeť a může ji nastavit na své zprávy (to je soukromý klíč).

Nastavení DKIM je pouze vložení informace o veřejném klíči do záznamů vašeho serveru. Jedná se také o txt záznam, který je třeba umístit na správné místo.

Po jeho nastavení se pokaždé, když od vás někdo dostane e-mail, server příjemce pokusí dešifrovat váš skrytý podpis pomocí veřejného klíče. Pokud se mu to podaří, dojde k dodatečnému ověření vaší zprávy a ve výsledku se zvýší doručitelnost všech vašich e-mailů.

Jak nastavit záznam DKIM na serveru krok za krokem?

Nejprve je třeba vygenerovat veřejný klíč. K tomu se musíte přihlásit do konzoly správce poskytovatele e-mailu. Další kroky se mohou lišit v závislosti na poskytovateli e-mailu.

Pokud k odesílání e-mailů používáte Google Apps, zde je návod krok za krokem. Uživatelé e-mailu Google Apps by měli vědět, že ve výchozím nastavení jsou podpisy DKIM vypnuté, takže je musíte zapnout ručně v konzoli správce Google.

Když máte veřejný klíč, vezmete vygenerovaný txt záznam a vložíte ho na správné místo do záznamů DNS.

Nakonec musíte zapnout podepisování e-mailů, abyste mohli začít odesílat e-maily včetně podpisu šifrovaného vaším soukromým klíčem. Zde je návod, jak to udělat, pokud k odesílání e-mailů používáte aplikaci Google Apps.

Tady se dozvíte, jak nastavit DKIM v některých dalších doménových hostitelích:

• Microsoft
• Zoho
• NameCheap

Pro více informací se podívejte na videonávod, který vysvětluje, jak to udělat:

Pokud v současné době používáte program Woodpecker a nemáte k dispozici pracovníka IT, kterého byste mohli požádat o pomoc s nastavením SPF a DKIM, můžete nás kontaktovat na adrese pro individuální pomoc.

Pokud chcete zkontrolovat, zda máte správně nastavené SPF a DKIM, můžete tak učinit v aplikaci: přejděte do NASTAVENÍ > EMAILOVÉ ÚČTY > DORUČENÍ (na levé straně).

Nastavte SPF & DKIM a zlepšete doručitelnost

Pokud posíláte hodně e-mailů, ať už pro marketing, nebo pro příchozí či odchozí prodej, je pověst vaší domény klíčová a měli byste se o ni opravdu dobře starat. Nechcete přece, aby se vaše doména dostala na blacklist a vaše e-maily skončily ve spamu. Správné nastavení záznamů SPF a DKIM na serveru DNS je nezbytným krokem k zabezpečení vaší domény a vysoké doručitelnosti vašich zpráv.

Nastavení se může zdát složité, ale nepochybně stojí za námahu. Na vašem místě bych šel do svého účtu Woodpecker a zkontroloval, zda mám SPF a DKIM správně nastavené právě teď, nebo bych o to požádal své IT pracovníky (pokud nejste uživatelem Woodpeckeru). A pokud by se ukázalo, že odpověď je „ne“, požádal bych je, aby mi pomohli. A nenechal bych se od nich odbýt. Ne s tímto.

Podívejte se také na tyto čtyři příspěvky o doručitelnosti e-mailů:

• Co můžeme udělat pro zvýšení doručitelnosti našich studených e-mailů? >>
• Proč zřizujeme samostatnou schránku pro odchozí kampaně? >>
• Odpovědi na 8 nejčastěji kladených otázek týkajících se doručitelnosti e-mailů >>
• 14 kontrol doručitelnosti, které je třeba provést před odesláním studené e-mailové kampaně >>

Posílejte výkonné e-maily &zvyšte počet odpovědí

Cathy Patalas

Chief Growth Officer ve společnosti Woodpecker.co

Cathy založila tento blog už dávno, i když se zdá, jako by to bylo včera.

.