Naštěstí stačí lehce přenastavit Google Workspace a podobným nepříjemnostem se vyhnete. Projděte si naše tři kroky pro běžnou firemní komunikaci. Kdybyste chtěli pojistit i rozesílání hromadných e-mailů, doporučujeme specialisty z Etnetera Activate. Třeba Pavla Polu, autora skvělého kurzu E-mail marketing od A do Z, se kterým jsme konzultovali i tento článek.

Kde se vzal spam

I když vám zrovna nikdo nepíše, vždycky se nějaká ta nová zpráva najde ve spamové složce. Ať už je to podvodná nabídka, seznámení s náhodným člověkem nebo reklama k nákupu služby, kterou nepotřebujete. Za spam by se dala jednoduše považovat jakákoli pošta, kterou jste si nevyžádali. Volně bychom ho tak mohli přirovnat k reklamním a slevovým letákům v poštovní schránce.

Samotný výraz SPAM pochází ze scénky britských satiriků Monty Python. Hostinská v ní nabízí menu, kde tohle slovíčko obsahují názvy všech jídel.

Existují stovky důvodů, proč se e-mail dostane do spamu. Mezi ty hlavní patří:

1. základní nastavení vaší infrastruktury,
2. reputace ověření (SPF, DKIM, DMARC),
3. reputace IP adres serverů odesílajících poštu (např. 212.45.5.60),
4. reputace domény odesílatele (vase-firma.cz),
5. nebo reputace uživatele (jestli neposílá hodně zpráv označovaných jako spam).

Jak funguje e-mail

Pro lepší pochopení celého problému si nejdřív krátce popíšeme, jak funguje e-mail. Vzorem je běžná pošta, kde papír s textem vložíte do obálky, která obsahuje všechny důležité informace o doručení, jako jsou adresa, PSČ nebo priorita dodání.

Obdobně je to u elektronické pošty. E-mail se skládá z hlavičky (tzv. obálky) a samotné zprávy. Hlavičku si můžete zobrazit v Gmailu u každé zprávy, když kliknete na tři tečky a vyberete Zobrazit originál.

Na začátku je vždy odesílatel, který ve svém poštovním programu, např. v Gmailu (MUA, Mail User Agent), napíše text a přidá adresáty. Gmail je zároveň i e-mailový server (MSA, Mail Submission Agent), který zkontroluje chyby a přesune zprávu k rozesílce (MTA, Mail Transfer Agent). E-mail nakonec odesíláte přes protokol SMTP (Simple Mail Transfer Protocol), který byl v době návrhu schopen doručit zprávu přímo na adresátův server. Tehdy, kdy ještě v celosvětové internetové síti nebylo tolik zařízení. MTA podle adresy cílového uživatele zjistí, kam e-mail předat. Orientuje se podle doménové části (za znakem zavináč) a podle MX záznamů v DNS domény příjemce. Postupně se e-mail posílá mezi MTA servery, až dorazí na místo doručení. Na cílovém počítači je pak předán od MTA k MDA (Mail Delivery Agent) a ten zapíše e-mail do příchozí složky elektronické pošty příslušného uživatele (třeba zase Gmailu).

V základu nemá protokol SMTP autentifikaci a e-mail je zasílán v čitelné ASCII podobě (přílohy se pak pro přenos kódují pomocí base64). Zjednodušeně řečeno, kdokoli takto může poslat e-mail z jakékoli adresy a předstírat, že je někdo jiný. Spammerům stačí připojit svůj SMTP server k internetu nebo najít nějaký volný server (tzv. Open Mail Relay), vzdáleně se k němu připojit, poslat příkazy, aby e-mail vypadal, že odchází z vaší domény, a odeslat ho.

Správné nastavení Google Workspace

Odesílat e-maily pod cizí doménou není tak složité. Pokud se to ale stane, může být vaše doména identifikována jako spamová a vaše zprávy z Gmailu tak nebudou doručeny do příchozí pošty. Jak zařídit, aby vaše e-maily nepadaly do spamu, resp. aby bylo jasné, že jsou skutečně od vás? Pomůžou vám tři kroky v nastavení.

Krok 1: SPF

Jedním z prvních nastavení je tzv. SPF záznam (Sender Policy Framework). Ten popisuje, jaké e-mailové servery můžou posílat e-maily z vaší domény. Nastavuje se jako TXT v DNS. Do záznamu uvedete IP adresu nebo internetovou adresu serveru. Záznam SPF by měl být vždy jen jeden. Pokud už nějaký v DNS máte, místo přidání jednoduše upravte ten stávající. Aktivace a zpropagování může trvat až 24 hodin (záleží na nastavení tzv. TTL parametru).

Záznam se interpretuje zleva doprava. Pro Gmail doporučujeme toto nastavení:

Pozor! SPF záznam je potřeba udržovat platný. Vyhněte se nejčastějším chybám:

1. Víc než 1 SPF záznam
2. Příliš mnoho vnořených volání (max. povolených je 10)
3. Není uveden správný nástroj
4. Nesprávný SPF záznam u subdomény některé z vašich služeb
5. Chybějící zdroje u služeb na posílání e-mailů (např. Mailchimp, CRM, další e-mail server, chytrá tiskárna, skener)

Správnost nastavení si můžete otestovat pomocí dostupných online nástrojů (např. DMARCIAN SPF Record Check) nebo přímo u Google.

SPF záznam má ještě jednu záludnost. Podle standardu se ověřuje na tzv. Return-path adrese. To může být jiná adresa, než ta uvedená ve From:, takže bohužel nestačí spoléhat se jen na SPF ochranu. Útočníkům by stačilo založit si SPF na jakékoli doméně a tu použít v Return-path adrese, aby tuto kontrolu obešli.

Krok 2: DKIM

Pomůže vám další úroveň zabezpečení DKIM (DomainKeys Identified Mail). Každý odeslaný e-mail je díky němu digitálně podepsán vaším soukromým šifrovacím klíčem. Při odesílání se vezmou vybrané části zprávy, z nich se vypočítá kontrolní součet (tzv. hash) a ten se podepíše (zašifruje) vaším soukromým klíčem. Takto šifrovaný kód se přidá do hlavičky každého odeslaného e-mailu.

Příchozí server si z DNS záznamu určeného doménou DKIM podpisu stáhne veřejný klíč, pomocí kterého rozšifruje váš podpis, a tím získá původní hash. Z obsahu zprávy vypočítá stejným způsobem kontrolní součet a porovná ho s tím, který přišel v DKIM hlavičce. Když se shodují, je jasné, že se části zprávy použité pro výpočet hash kódu cestou nezměnily.

DKIM podpis je extrémně důležitým faktorem ve vyhodnocování reputace, protože je přímo spojený s vaší doménou a mnohem hůře zneužitelný. Jeho nastavení zařídíte z Google Admin konzole. Google vám připraví veřejný klíč, který jednoduše vložíte do DNS záznamu jako TXT. Podrobný návod najdete v Nápovědě Google Admin nástroje nebo se můžete ozvat nám.

Drobnou záludností DKIM je, že v doméně klíče (parametr d=) může být uvedena libovolná doména. Potenciální útočník tak může poslat e-mail z vaší domény, ale podepsat ho svým klíčem. Z hlediska DKIM standardu bude taková zpráva považována za autentickou. Krok 3: DMARC Naštěstí je tady ještě třetí způsob, jak pojistit, že vaše e-maily v bezpečí dorazí tam, kam mají. Technická specifikace pro snížení zneužívání e-mailových serverů, zkráceně DMARC (Domain-based Message Authentication, Reporting & Conformance). Pomáhá odesílatelům pošty určit, jak se mají přijímací servery zachovat k e-mailům, které nesplňují SPF či DKIM ochranu vaší domény.

Pro osvěžení: SPF říká, jaké IP adresy serverů mohou odesílat zprávu za danou doménu (v našem případě Google, ale i jiné externí služby). DKIM potvrzuje, že obsah e-mailu je důvěryhodný a nebyl během doručení dodatečně upraven. DMARC pak využívá získaná data, aby shrnul, co se má stát se zprávou, která vypadá podezřele. Aby e-mail vyhověl pravidlům DMARC, musí být buď shoda domény v SPF záznamu nebo v DKIM (stačí jedna z nich).

V praxi je toto jeden z nejcennějších nástrojů, protože vám umožní kontrolovat, co se má stát s e-maily, které jste neposlali. Navíc dostanete reporty, co si příjemci o vaší doméně myslí (tj. kolik e-mailů doručujete a jak vyhovují DMARC standardům). A konečně, DMARC je jediným standardem vázaným přímo na doménu From:, takže je technicky jediným nástrojem, který dokáže opravdu zajistit ochranu vaší domény.

DMARC záznam se opět nastavuje jako TXT v DNS. Mezi povinná nastavení patří druh záznamu (v) a politika (p):

• p=none – jen reporting, žádné omezení doručitelnosti
• p=quarantine – pokud zpráva nevyhovuje, bude doručena do SPAMu
• p=reject – pokud zpráva nevyhovuje, bude odmítnuta

Nakonec doporučujeme nastavit si e-mail, kam vám budou přicházet denní reporty (rua). Můžete použít i Google Skupinu s povoleným zasíláním zpráv od příjemců mimo doménu. Pomocí několika chytrých služeb (například Dmarc Report Analyzer, XML-to-Human Converter) pak můžete reporty přehledně vizualizovat.

U DMARC doporučujeme začít s p=none a chvíli sledovat, jestli všechno běží, jak má. Pokud byste totiž začali na vyšší úrovni ochrany a neměli správně nastavené SPF a DKIM záznamy pro všechny své e-mailové kanály, mohli byste si paradoxně uškodit. Část vaší e-mailové komunikace by tak nebyla doručena.

Pomocí SPF, DKIM a DMARC účinně ochráníte svou doménu v řádu pár týdnů. Pokud byste nechtěli riskovat chyby, které mohou mít vliv na doručitelnost e-mailů, napište na ahoj@appsatori.eu. Jako certifikovaný Google Cloud partner vám rádi pomůžeme.