Nastavení SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) je klíčové pro ochranu proti podvodnému odesílání emailů a zajištění správného doručování emailů. Oba záznamy musí být správně nastaveny na úrovni DNS domény, ze které emaily odesíláte.
Pokud máte více domén a IP adres, budete potřebovat nastavit SPF a DKIM pro každou doménu samostatně. Následující kroky vám ukážou, jak to udělat.
1. Nastavení SPF
SPF záznam je TXT záznam, který se přidává do DNS záznamů domény a specifikuje, které servery (IP adresy nebo domény) mají oprávnění odesílat emaily jménem této domény.
Kroky pro nastavení SPF:
-
Získejte seznam IP adres nebo serverů, které budou odesílat emaily z vaší domény.
Například: Pokud máte server s IP adresou
192.168.1.1a používáte třetí strany (např. Google, SendGrid), budete potřebovat jejich IP adresy nebo domény. -
Vytvořte SPF záznam pro doménu:
-
Pro jednu doménu by SPF záznam mohl vypadat takto:
Tento záznam říká:
-
v=spf1– používá se SPF verze 1. -
ip4:192.168.1.1– povoluje tuto IP adresu k odesílání emailů. -
include:_spf.google.com– povoluje servery Googlu (např. Gmail) odesílat emaily z vaší domény. -
~all– znamená, že jakýkoliv jiný server nebude povolen, ale emaily od jiných serverů budou označeny jako "soft fail", což znamená, že jsou spíše považovány za podezřelé než zamítnuté.
-
-
-
Přidejte záznam do DNS:
Tento záznam přidejte jako TXT záznam do DNS vaší domény. To obvykle provedete v administrátorském rozhraní vašeho poskytovatele DNS. -
Pokud máte více domén:
Každá doména, ze které odesíláte emaily, bude potřebovat svůj vlastní SPF záznam, přičemž pro každou doménu přidáte její specifikace.Například pro druhou doménu
example2.com:
2. Nastavení DKIM
DKIM přidává digitální podpis k emailům, který slouží k ověření, že email skutečně pochází z domény, která jej odeslala, a že nebyl během cesty pozměněn.
Kroky pro nastavení DKIM:
-
Vytvořte DKIM klíč:
-
Vytvoříte pár klíčů: soukromý (private) a veřejný (public).
-
Soukromý klíč používá server pro podepisování emailů.
-
Veřejný klíč je přidán do DNS záznamu.
-
-
Generování DKIM klíčů:
Většina poskytovatelů emailových služeb (např. Google, Microsoft, SendGrid) vám umožní generovat DKIM klíč ve svém administrátorském rozhraní. Pokud používáte vlastní server (např. Postfix nebo Exim), budete muset použít nástroje pro generování klíčů, jako jeopendkim-genkey. -
Přidejte veřejný klíč do DNS:
DKIM veřejný klíč přidáte do DNS jako TXT záznam. Tento záznam bude mít tvar:Tento záznam bude uložen v DNS pod specifickým selektorem, například:
-
Nastavení podpisování emailů:
Na serveru (např. Postfix, Exim) nastavte, aby všechny emaily odesílané z domény byly podepisovány soukromým klíčem.Pokud používáte nástroj jako
opendkim, konfigurace bude záviset na konkrétním nastavení serveru. U většiny moderních služeb ale vše probíhá automaticky.
3. Zvažte Důležitost Obou Mechanismů
-
SPF vám pomůže definovat, které servery mohou odesílat emaily jménem vaší domény, ale neověřuje skutečný obsah emailu.
-
DKIM na druhou stranu potvrzuje autenticitu samotného obsahu emailu, což může předejít změnám v jeho těle během přenosu.
4. Pokud máte více domén a IP adres:
Pokud máte několik domén a různé servery pro každou z nich, budete potřebovat pro každou doménu:
-
Samostatný SPF záznam.
-
Samostatný DKIM klíč.
Pokud používáte jednu IP adresu nebo jednu službu pro více domén, můžete mít v SPF záznamu více "include" nebo IP adres. U DKIM budete mít pro každou doménu vlastní DKIM klíč.
5. Přehled kroků pro více domén:
-
Pro každou doménu vytvořte SPF a DKIM záznam.
-
Záznamy pro SPF přidejte do DNS jako TXT.
-
Veřejný klíč pro DKIM přidejte do DNS pro každou doménu pod příslušným selektorem.
-
Konfigurujte server pro podepisování emailů (DKIM) a správně přidělujte SPF pro všechny IP adresy, které budou odesílat emaily.
Pokud budete potřebovat podrobnosti o konkrétní službě nebo serveru, dejte vědět!