SPF, DKIM i DMARC – co to jest, po co to jest i jak to działa

Co oznaczają skróty SPF, DKIM i DMARC

Jeżeli korzystasz z własnej domeny do wysyłki maili, prędzej czy później trafisz na trzy skróty: SPF, DKIM i DMARC. Dla wielu osób brzmi to technicznie i skomplikowanie. W praktyce chodzi jednak o prostą rzecz: o to, żeby serwery pocztowe wiedziały, że wiadomość naprawdę została wysłana przez Ciebie, a nie przez osobę, która tylko podszywa się pod Twoją domenę.

To właśnie te trzy mechanizmy pomagają chronić firmową pocztę. Dzięki nim łatwiej ograniczyć podszywanie się pod adres e-mail, oszustwa phishingowe i problemy z dostarczalnością wiadomości.

Dlaczego te zabezpieczenia są dziś tak ważne

Sama domena i sama skrzynka mailowa już nie wystarczą. Dzisiaj liczy się nie tylko to, czy wyślesz wiadomość, ale też czy serwer odbiorcy uzna ją za wiarygodną. Jeżeli nie masz poprawnie ustawionych zabezpieczeń, Twoje maile mogą trafiać do spamu albo w ogóle nie zostać dostarczone.

To ważne szczególnie wtedy, gdy wysyłasz oferty, faktury, wiadomości z formularza kontaktowego, mailing sprzedażowy, newsletter albo maile z systemów typu CRM, sklep internetowy czy program do fakturowania.

W takiej sytuacji SPF, DKIM i DMARC nie są dodatkiem, tylko podstawą dobrze działającej poczty firmowej.

SPF – co to jest i jak działa

SPF można porównać do listy gości przy wejściu. Właściciel domeny mówi w ten sposób: te konkretne serwery mają prawo wysyłać maile w moim imieniu.

Technicznie odbywa się to przez dodanie odpowiedniego rekordu w DNS domeny. W tym rekordzie wskazujesz, które serwery lub adresy IP są uprawnione do wysyłki wiadomości z Twojej domeny.

SPF jako „lista gości”

Wyobraź sobie, że organizujesz imprezę i na wejściu stoi ochrona. Ochroniarz dostaje listę osób, które mogą wejść. Jeżeli ktoś jest na liście, wszystko jest w porządku. Jeżeli go nie ma, pojawia się problem.

SPF działa bardzo podobnie. Kiedy serwer odbiorcy dostaje mail z adresu w Twojej domenie, sprawdza, czy został on wysłany z serwera, który jest wpisany w rekordzie SPF. Jeżeli tak, wiadomość ma większą szansę zostać uznana za poprawną.

Co sprawdza serwer odbiorcy

Serwer odbiorcy nie patrzy tylko na adres widoczny w polu „Od”. Sprawdza również, skąd technicznie przyszła wiadomość. Jeżeli źródło wysyłki nie zgadza się z rekordem SPF, wiadomość może zostać oznaczona jako podejrzana.

W praktyce SPF pomaga odpowiedzieć na pytanie: czy ten serwer naprawdę miał prawo wysłać ten mail?

Co się dzieje, gdy nadawca nie jest na liście

Jeżeli wiadomość została wysłana spoza dozwolonej listy, serwer odbiorcy widzi, że coś się nie zgadza. To jeszcze nie zawsze oznacza automatyczne odrzucenie maila, ale jest sygnałem ostrzegawczym.

Właśnie dlatego sam SPF nie rozwiązuje wszystkiego. Jest bardzo ważny, ale najlepiej działa wtedy, gdy współpracuje z DKIM i DMARC.

DKIM – co to jest i jak działa

DKIM można porównać do cyfrowej pieczęci. Dawniej ważne listy były zamykane lakiem z herbem. Odbiorca widział, że list jest autentyczny i że nikt nie zmienił jego treści po drodze.

W poczcie elektronicznej DKIM działa podobnie. Serwer wysyłający podpisuje wiadomość specjalnym kluczem prywatnym. Z kolei w DNS domeny publikowany jest klucz publiczny, dzięki któremu serwer odbiorcy może sprawdzić, czy podpis jest prawidłowy.

DKIM jako cyfrowa pieczęć

To rozwiązanie pokazuje, że wiadomość rzeczywiście została podpisana przez uprawniony serwer. Dodatkowo potwierdza, że treść maila nie została zmieniona po wysłaniu.

To bardzo ważne, bo weryfikacja dotyczy nie tylko samego nadawcy, ale też integralności wiadomości.

Jak działa podpis wiadomości

Cały proces nie jest widoczny dla zwykłego użytkownika. Ty wysyłasz mail jak zawsze, a serwer pocztowy automatycznie dodaje do niego podpis DKIM. Następnie serwer odbiorcy pobiera z DNS odpowiedni klucz publiczny i sprawdza, czy podpis się zgadza.

Jeżeli wszystko pasuje, wiadomość zyskuje kolejne potwierdzenie wiarygodności.

Co wykrywa DKIM i przed czym chroni

DKIM pomaga wykryć sytuację, w której ktoś przechwycił wiadomość i zmienił jej treść po drodze. Jeżeli tak się stanie, podpis przestanie się zgadzać.

To oznacza, że DKIM chroni nie tylko to, kto wysłał wiadomość, ale też czy wiadomość dotarła w niezmienionej formie.

DMARC – co to jest i po co się go wdraża

DMARC jest kolejnym krokiem. SPF i DKIM mówią, czy wiadomość wygląda poprawnie. DMARC mówi natomiast, co zrobić, jeśli coś się nie zgadza.

Można powiedzieć, że SPF i DKIM sprawdzają dokumenty przy wejściu, a DMARC daje ochronie instrukcję działania. Dzięki temu serwer odbiorcy nie musi zgadywać, jak potraktować podejrzaną wiadomość.

DMARC jako instrukcja dla serwera odbiorcy

W rekordzie DMARC ustawiasz politykę postępowania. Informujesz inne serwery, czy mają tylko raportować problem, przenieść mail do spamu, czy całkowicie go odrzucić.

To właśnie DMARC porządkuje cały proces i spina SPF oraz DKIM w jedną logiczną całość.

Jak DMARC współpracuje ze SPF i DKIM

DMARC nie działa samodzielnie. Opiera się na wynikach SPF i DKIM. Sprawdza, czy wiadomość przeszła odpowiednie testy oraz czy dane nadawcy są ze sobą zgodne.

Dzięki temu nie wystarczy już tylko częściowa zgodność techniczna. Liczy się to, czy wiadomość rzeczywiście wygląda na autoryzowaną przez właściciela domeny.

Dlaczego sam SPF albo sam DKIM to za mało

Możesz mieć poprawnie ustawiony SPF albo DKIM, a mimo to nie wykorzystywać pełnej ochrony. Bez DMARC serwer odbiorcy często nie dostaje jasnej instrukcji, jak ma postąpić z podejrzaną wiadomością.

Właśnie dlatego najlepiej traktować te trzy elementy jako jeden zestaw. Dopiero razem dają realną kontrolę nad bezpieczeństwem i dostarczalnością poczty.

Polityki DMARC: p=none, p=quarantine, p=reject

W rekordzie DMARC jednym z najważniejszych elementów jest parametr p=. To on określa politykę działania dla wiadomości, które nie przechodzą weryfikacji.

Najczęściej spotkasz trzy opcje:

• p=none – nic nie rób, tylko raportuj,
• p=quarantine – potraktuj wiadomość jako podejrzaną i kieruj ją do spamu,
• p=reject – odrzuć wiadomość całkowicie.

p=none – tryb obserwacji

To najbezpieczniejszy punkt startowy. W tym trybie nie blokujesz jeszcze wiadomości, tylko obserwujesz raporty i sprawdzasz, czy SPF oraz DKIM są poprawnie skonfigurowane.

To dobre rozwiązanie na początek, bo pozwala wychwycić błędy bez ryzyka, że zablokujesz własną legalną pocztę.

p=quarantine – ostrożne zaostrzenie zasad

Ten wariant oznacza, że wiadomości niespełniające wymagań powinny trafiać do spamu albo kwarantanny. To już wyraźniejszy sygnał dla serwerów odbiorczych.

Ten etap ma sens wtedy, gdy wiesz już, że konfiguracja jest stabilna i chcesz mocniej ograniczyć podszywanie się pod Twoją domenę.

p=reject – pełne odrzucenie

To najbardziej restrykcyjna polityka. Wiadomości, które nie przechodzą kontroli, są po prostu odrzucane i nie trafiają do odbiorcy.

Brzmi najlepiej, ale trzeba tu uważać. Jeżeli SPF albo DKIM są ustawione błędnie, możesz zablokować także własne, prawidłowe wiadomości. Dlatego DMARC powinno się wdrażać stopniowo, a nie od razu na najwyższym poziomie.

Jak wygląda bezpieczne wdrażanie DMARC krok po kroku

Najrozsądniejsze podejście wygląda tak: najpierw porządkujesz SPF i DKIM, a dopiero potem przechodzisz do DMARC. Na końcu analizujesz raporty i dopiero wtedy zaostrzasz politykę.

W praktyce często wygląda to tak, że firma zaczyna od trybu obserwacji, później przechodzi do kwarantanny, a dopiero na końcu do pełnego odrzucania.

Taka kolejność ma sens, ponieważ pozwala wychwycić różne źródła wysyłki. Często okazuje się, że maile wychodzą nie tylko z głównego serwera pocztowego, ale też z formularza na stronie, sklepu internetowego, systemu mailingowego albo zewnętrznego narzędzia do automatyzacji.

Jeżeli nie uwzględnisz tych źródeł wcześniej, możesz niechcący utrudnić działanie własnej komunikacji.

Najczęstsze błędy przy konfiguracji SPF, DKIM i DMARC

Najwięcej problemów nie wynika z samej technologii, ale z niepełnej konfiguracji. Ktoś ustawi rekord dla jednego serwera, ale zapomni o drugim. Ktoś inny uruchomi DMARC zbyt agresywnie, zanim sprawdzi raporty.

Błędy pojawiają się też wtedy, gdy w firmie z poczty korzysta kilka systemów jednocześnie, a nikt nie ma pełnego obrazu, skąd naprawdę wychodzą wiadomości.

Częstym problemem są między innymi:

• brak wszystkich źródeł wysyłki w SPF,
• źle opublikowany klucz DKIM,
• włączenie p=reject zbyt wcześnie,
• brak monitorowania raportów DMARC,
• niespójność między domeną nadawcy a konfiguracją techniczną.

Właśnie dlatego wdrożenie powinno być przemyślane, a nie robione na szybko.

Co może się stać, gdy rekordy są źle ustawione

Jeżeli konfiguracja jest niepoprawna, skutki bywają bardzo konkretne. Twoje wiadomości mogą trafiać do spamu, formularze kontaktowe mogą przestać działać prawidłowo, a klienci mogą nie dostawać ofert lub odpowiedzi.

Jeszcze gorsza sytuacja pojawia się wtedy, gdy ktoś zaczyna podszywać się pod Twoją domenę. Bez odpowiednich zabezpieczeń serwery odbiorcze mają mniej narzędzi do rozpoznania takiego oszustwa.

Dlatego dobrze ustawione rekordy to nie tylko kwestia techniczna. To także kwestia wiarygodności firmy, bezpieczeństwa i skutecznej komunikacji z klientem.

Jak sprawdzić, czy Twoja domena ma poprawnie skonfigurowane rekordy

Pierwszy krok to sprawdzenie, czy w DNS Twojej domeny w ogóle istnieją rekordy SPF, DKIM i DMARC. Samo ich istnienie nie oznacza jeszcze, że wszystko działa idealnie, ale jest to dobry punkt wyjścia.

Drugi krok to analiza tego, czy wszystkie źródła wysyłki są uwzględnione. Trzeci krok to obserwacja raportów DMARC i sprawdzenie, czy legalne wiadomości przechodzą weryfikację bez błędów.

Jeżeli nie masz pewności, jak to ocenić, warto zlecić audyt konfiguracji. W przypadku poczty firmowej lepiej poprawić ustawienia wcześniej niż później rozwiązywać problemy z niedostarczonymi mailami.

Podsumowanie: po co firmie SPF, DKIM i DMARC

SPF, DKIM i DMARC to trzy filary bezpieczeństwa poczty w domenie. SPF wskazuje, kto może wysyłać wiadomości. DKIM potwierdza, że wiadomość jest autentyczna i nie została zmieniona. DMARC określa, co zrobić, gdy coś się nie zgadza.

Razem te mechanizmy pomagają Ci:

• ograniczyć podszywanie się pod Twoją domenę,
• poprawić dostarczalność wiadomości,
• zwiększyć wiarygodność firmowej komunikacji,
• lepiej kontrolować to, co dzieje się z Twoją pocztą.

W praktyce to nie jest temat tylko dla informatyków. To temat dla każdej firmy, która chce, żeby jej maile dochodziły tam, gdzie powinny, i żeby nikt nie wykorzystywał jej domeny do oszustw.