SPF, DKIM in DMARC: popoln vodnik po e-poštni avtentikaciji

Avtentikacija e-pošte je temelj zanesljive dostave e-pošte. Brez pravilne konfiguracije SPF, DKIM in DMARC vaša skrbno oblikovana e-poštna sporočila morda nikoli ne bodo dosegla nabiralnikov vaših strank. Namesto tega pristanejo v mapah z neželeno pošto ali so v celoti zavrnjeni.

Ta obsežni vodnik pojasnjuje, kaj počne vsak protokol za avtentikacijo e-pošte, zagotavlja navodila za nastavitev DNS korak za korakom, pokriva odpravljanje pogostih težav in prikazuje, kako preveriti, ali vaša konfiguracija deluje pravilno.

Zakaj je avtentikacija e-pošte pomembna

E-pošta je bila zasnovana v dobi, ko varnost ni bila primarna skrb. Izvirni protokol SMTP nima vgrajenega mehanizma za preverjanje, da e-pošta dejansko prihaja od tistega, za katerega trdi, da je. Ta osnovna slabost omogoča lažno predstavljanje e-pošte, napade ribarjenja in neželeno pošto.

Protokoli za avtentikacijo e-pošte rešijo ta problem tako, da lastnikom domen omogočijo navedbo:

• Kateri strežniki lahko pošiljajo e-pošto v njihovem imenu (SPF)
• Kriptografski dokaz, da so sporočila pristna in nespremenjena (DKIM)
• Kaj storiti s sporočili, ki ne prestanejo avtentikacije (DMARC)

Poslovni vpliv slabe avtentikacije

Brez pravilne avtentikacije e-pošte:

• Nižja dostavljivost: Glavni ponudniki, kot so Gmail, Microsoft in Yahoo, bolj agresivno filtrirajo neautenticirano e-pošto
• Višje stopnje neželene pošte: Vaša legitimna e-poštna sporočila tekmujejo z lažnimi sporočili, ki uporabljajo vašo domeno
• Škoda blagovni znamki: Napadi ribarjenja, ki se lažno predstavljajo kot vaša blagovna znamka, zmanjšujejo zaupanje strank
• Izguba prihodkov: Marketinške kampanje ne dosegajo naročnikov, ki so se prijavili za njihovo prejemanje
• Tveganja za skladnost: Mnoge predpise zdaj zahtevajo pravilno avtentikacijo e-pošte

Troica avtentikacije

SPF, DKIM in DMARC delujejo skupaj kot celovit sistem avtentikacije:

Vsak protokol obravnava različne vektorje napadov. SPF preprečuje nepooblaščenim strežnikom pošiljanje v vašem imenu. DKIM preprečuje poseganje v sporočilo po pošiljanju. DMARC ju poveže skupaj in zagotavlja pregled rezultatov avtentikacije.

Razumevanje SPF (Sender Policy Framework)

SPF (Sender Policy Framework) je metoda avtentikacije e-pošte na osnovi DNS, ki določa, kateri poštni strežniki so pooblaščeni za pošiljanje e-pošte v imenu vaše domene.

Kako deluje SPF

Ko e-pošta prispe na sprejemni strežnik, ta poišče zapis SPF domene pošiljatelja. Nato preveri, ali je IP naslov, ki je poslal e-pošto, naveden kot pooblaščen. Če se IP ujema, SPF opravi preveritev. Če ne, SPF ne uspe.

Postopek preverjanja SPF:

1. Pošljete e-pošto s svojo marketinško platformo
2. Sprejemni strežnik izvleče vašo domeno iz Return-Path (pošiljatelj ovojnice)
3. Strežnik poizveduje DNS za zapis SPF vaše domene
4. Primerja pošiljajoči IP z vašim pooblaščenim seznamom v zapisu SPF
5. Strežnik zabeleži rezultat: pass, fail, softfail ali neutral

Sintaksa zapisa SPF

Zapisi SPF se objavljajo kot zapisi TXT v DNS vaše domene. Tu je osnovna struktura:

v=spf1 [mechanisms] [qualifier]all

Oznaka različice: Vedno se začne z v=spf1

Mehanizmi: Opredeljujejo, kdo lahko pošilja

Kvalifikatorji: Opredeljujejo ravnanje z ujemanji

Mehanizem all: Velja za vse, kar se ne ujema s prejšnjimi mehanizmi

Primeri zapisa SPF

Osnovna nastavitev z enim ponudnikom e-pošte:

v=spf1 include:spf.brevo.com -all

To pooblašča Brevo za pošiljanje e-pošte za vašo domeno in zavrača vse druge pošiljatelje.

Več e-poštnih storitev:

v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -all

To pooblašča Brevo, Google Workspace in Microsoft 365.

Vključitev lastnega poštnega strežnika:

v=spf1 ip4:203.0.113.10 include:spf.brevo.com -all

To pooblašča določen IP naslov (vaš strežnik) in Brevo.

Začetek z mehko zavrnitvijo med testiranjem:

v=spf1 include:spf.brevo.com ~all

Uporaba ~all namesto -all označi napake, a jih ne zavrne. Koristno med začetno nastavitvijo.

Nastavitev zapisov SPF

1. korak: Identificirajte vire pošiljanja

Navedite vsako storitev, ki pošilja e-pošto iz vaše domene:

• Platforme za e-poštni marketing (Brevo, Mailchimp itd.)
• Storitve transakcijske e-pošte
• CRM sistemi
• Programska oprema za pomoč strankam
• E-pošta podjetja (Google Workspace, Microsoft 365)
• Lastni poštni strežniki

2. korak: Zberite stavke include za SPF

Vsak ponudnik storitev e-pošte dokumentira zahtevani vključek SPF. Pogosti primeri:

3. korak: Ustvarite zapis SPF

Združite vse vključke v en zapis:

v=spf1 include:spf.brevo.com include:_spf.google.com -all

4. korak: Dodajte zapis DNS

V vmesniku za upravljanje DNS:

• Vrsta: TXT
• Gostitelj/ime: @ (ali pustite prazno za korensko domeno)
• Vrednost: Vaš popolni zapis SPF
• TTL: 3600 (ali privzeto)

5. korak: Preverite zapis

Za potrditev uporabite orodja za iskanje DNS:

dig TXT yourdomain.com

Ali uporabite spletna orodja, kot je MXToolbox SPF Lookup.

Omejitve in najboljše prakse SPF

Omejitev 10 poizvedb DNS:

SPF ima največ 10 poizvedb DNS. Vsak include: šteje kot ena poizvedba, vključeni zapisi pa morda vsebujejo lastne vključke, ki štejejo k vaši omejitvi. Preseganje tega povzroči napako SPF permerror (trajna napaka) in vse preveritve ne uspejo.

Strategije za ostajanje pod omejitvijo:

• Kadar je mogoče, neposredno uporabite IP naslove (ip4: ne šteje kot poizvedba)
• Konsolidirajte storitve z istim ponudnikom
• Uporabite storitve za izravnanje SPF, ki pretvorijo vključke v IP naslove
• Odstranite neuporabljene vključke starih storitev

Druge najboljše prakse SPF:

• Samo en zapis SPF na domeno (več zapisov povzroča napake)
• Med nastavitvijo začnite z ~all (mehka zavrnitev), ko je potrjeno, preidite na -all
• Posodobite SPF pri menjavi ponudnikov e-pošte
• Ne uporabljajte opuščenega mehanizma ptr
• Zapise ohranite čim preprostejše

Pogoste napake SPF

Več zapisov SPF:

Napačno:
v=spf1 include:spf.brevo.com -all
v=spf1 include:_spf.google.com -all

Pravilno:
v=spf1 include:spf.brevo.com include:_spf.google.com -all

Preseganje omejitve poizvedb DNS:

Če imate veliko vključkov, preverite skupno število poizvedb. Uporabite analizatorje SPF za preverjanje, da ste pod 10.

Pozabljanje posodobitve po menjavi ponudnikov:

Pri prehodu z ene e-poštne storitve na drugo odstranite stari vključek in dodajte novega.

Uporaba +all:

Nikoli ne uporabite +all, saj to pooblašča vsakogar za pošiljanje v imenu vaše domene.

Razumevanje DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) dodaja kriptografski podpis vašim e-poštnim sporočilom in dokazuje, da je sporočilo izviralo iz vaše domene in ni bilo med prenosom spremenjeno.

Kako deluje DKIM

DKIM uporablja kriptografijo z javnim ključem:

1. Vaš ponudnik e-pošte ustvari par javni/zasebni ključ
2. Javni ključ objavite v DNS
3. Ponudnik podpisuje odhodna e-poštna sporočila z zasebnim ključem
4. Sprejemni strežniki pridobijo vaš javni ključ iz DNS
5. Uporabijo javni ključ za preverjanje podpisa
6. Veljaven podpis dokazuje pristnost in integriteto

Kaj podpisuje DKIM:

Podpisi DKIM navadno pokrivajo določene glave in telo sporočila:

• Glava From (obvezno)
• Glava Subject
• Glava Date
• Telo sporočila
• Druge glave, kot je konfigurirano

To napadalcem preprečuje spreminjanje teh elementov po pošiljanju.

Struktura zapisa DKIM

Zapisi DKIM se objavljajo kot zapisi TXT z določenim formatom poimenovanja:

selector._domainkey.yourdomain.com

Selektor je edinstveni identifikator, ki vam omogoča, da imate več ključev DKIM. Različne e-poštne storitve uporabljajo različne selektorje (npr. brevo, google, s1, s2).

Vsebina zapisa DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Nastavitev DKIM

1. korak: Ustvarite ključe DKIM

Vaš ponudnik e-poštnih storitev navadno ustvari ključe za vas. V Brevo:

1. Pojdite na Nastavitve > Pošiljatelji, domene in namenski IP naslovi
2. Izberite svojo domeno
3. Pomaknite se na razdelek DKIM
4. Kopirajte zagotovljeni zapis DNS

Za lastne poštne strežnike ustvarite ključe z OpenSSL:

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

2. korak: Dodajte zapis DNS za DKIM

V upravljanju DNS:

• Vrsta: TXT
• Gostitelj/ime: selector._domainkey (npr. brevo._domainkey)
• Vrednost: Zapis DKIM od vašega ponudnika
• TTL: 3600

3. korak: Omogočite podpisovanje DKIM

V nastavitvah vašega ponudnika e-pošte omogočite podpisovanje DKIM za vašo domeno. To pove ponudniku, naj podpisuje odhodna sporočila.

4. korak: Preverite nastavitev

Pošljite preizkusno e-pošto in v glavi preverite DKIM-Signature. Uporabite orodja, kot so:

• mail-tester.com
• DKIM Validator
• MXToolbox DKIM Lookup

Najboljše prakse DKIM

Uporabite 2048-bitne ključe:

Starejši 1024-bitni ključi veljajo za šibke. Sodobni varnostni standardi priporočajo najmanj 2048-bitne RSA ključe.

Redno zamenjujte ključe:

Čeprav ni strogo zahtevano, je letna zamenjava ključev DKIM dobra varnostna praksa. Dodajte novi ključ, preden odstranite starega, da se izognete vrzeli.

Nadzorujte kompromitiranje ključev:

Če je vaš zasebni ključ kompromitiran, ga napadalci lahko uporabijo za podpisovanje sporočil v vašem imenu. Nadzorujte nenavadne vzorce avtentikacije.

Za različne storitve uporabite različne selektorje:

Vsak ponudnik e-pošte mora uporabiti edinstven selektor. To omogoča neodvisno upravljanje ključev in ne pride v nasprotje z drugimi storitvami.

Preverite razširitev DNS:

Ključi DKIM so lahko dolgi. Zagotovite, da vaš ponudnik DNS podpira zapise TXT zadostne dolžine. Nekateri ponudniki zahtevajo razdelitev ključa v več nizov.

Branje glav DKIM

Ko prejmete e-pošto, glava DKIM-Signature prikaže:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=brevo;
  h=from:to:subject:date:message-id;
  bh=base64hashofbody;
  b=base64signature;

Razumevanje DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC nadgrajuje SPF in DKIM ter zagotavlja uveljavljanje pravilnikov in poročanje. Sprejemnim strežnikom pove, kaj storiti, ko avtentikacija ne uspe, in vam pošilja poročila o rezultatih avtentikacije.

Kako deluje DMARC

DMARC dodaja dve kritični zmogljivosti:

1. Uveljavljanje pravilnikov: Opredelite, kako morajo prejemniki ravnati z napakami pri avtentikaciji
2. Poročanje: Prejmite podatke o tem, kdo pošilja e-pošto z vašo domeno

Postopek preverjanja DMARC:

1. Sprejemni strežnik dobi e-pošto, ki trdi, da je iz vaše domene
2. Preveri SPF (ali se pošiljajoči IP ujema?)
3. Preveri DKIM (ali je podpis veljaven?)
4. Preveri poravnavo DMARC (ali se avtenticirane domene ujemajo z glavo From?)
5. Če poravnava ne uspe, uporabi vaš pravilnik DMARC
6. Pošlje vam agregatna in/ali forenzična poročila

Poravnava DMARC

DMARC zahteva poravnavo med domeno v glavi From in domenami, ki opravijo SPF ali DKIM:

Poravnava SPF: Domena v Return-Path (pošiljatelj ovojnice) mora ustrezati domeni glave From ali biti njena poddomena.

Poravnava DKIM: Domena v podpisu DKIM (oznaka d=) mora ustrezati domeni glave From ali biti njena poddomena.

Načini poravnave:

S sproščeno poravnavo, če vaša glava From prikazuje [email protected] in DKIM podpisuje z brevo.example.com, poravnava uspe, ker obe delita organizacijsko domeno example.com.

Sintaksa zapisa DMARC

Zapisi DMARC se objavljajo kot zapisi TXT na _dmarc.yourdomain.com:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Obvezne oznake:

Neobvezne oznake:

Razlaga pravilnikov DMARC

p=none (samo nadzor):

Pri neuspehih se ne ukrepa. E-poštna sporočila se dostavljajo normalno. Uporabite, ko analizirate poročila in odpravljate težave z avtentikacijo.

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine (mapa z neželeno pošto):

Neuspešna e-poštna sporočila se pošljejo v mapo z neželeno/smeti. Dober vmesni korak pred popolno zavrnitvijo.

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=reject (blokiraj):

Neuspešna e-poštna sporočila so v celoti zavrnjena. Največja zaščita, a najprej zagotovite, da vse legitimne vire opravijo preveritev.

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Nastavitev DMARC

1. korak: Zagotovite delovanje SPF in DKIM

DMARC je odvisen od SPF in DKIM. Preden dodate DMARC, preverite, ali sta oba pravilno konfigurirana.

2. korak: Začnite z nadzorom (p=none)

Začnite z najpopustljivejšim pravilnikom za zbiranje podatkov brez vpliva na dostavo:

v=DMARC1; p=none; rua=mailto:[email protected]

3. korak: Dodajte zapis DNS

V upravljanju DNS:

• Vrsta: TXT
• Gostitelj/ime: _dmarc
• Vrednost: Vaš zapis DMARC
• TTL: 3600

4. korak: Analizirajte poročila 2—4 tedne

Agregatna poročila DMARC prihajajo dnevno kot datoteke XML. Prikazujejo:

• Kateri IP naslovi so pošiljali e-pošto z vašo domeno
• Stopnje uspešnosti/neuspešnosti SPF in DKIM
• Rezultate poravnave DMARC
• Dejanja sprejemnih strežnikov

Za vizualizacijo teh podatkov uporabite analizatorje poročil DMARC:

• DMARC Analyzer
• Postmark DMARC
• Valimail
• dmarcian

5. korak: Odpravite težave z avtentikacijo

Pogoste težave, ki jih razkrijejo poročila:

• Legitimne storitve, ki manjkajo v SPF
• DKIM ni omogočen za storitev pošiljanja
• Storitve tretjih oseb, ki pošiljajo brez pravilne avtentikacije
• Posredovanje, ki prekineta poravnavo SPF

6. korak: Postopoma uveljavljajte

Ko legitimni viri dosledno opravijo preveritev:

1. Preidite na p=quarantine; pct=10 (karantena 10 % neuspehov)
2. Povečajte pct na 25, 50, 75, 100
3. Preidite na p=reject; pct=10
4. Povečajte na popolno zavrnitev

7. korak: Vzdržujte in nadzorujte

Nadaljujte s pregledom poročil. Novi viri pošiljanja, spremembe ponudnikov ali odmik konfiguracije lahko povzročijo napake pri avtentikaciji.

Razumevanje poročil DMARC

Agregatna poročila (rua):

Dnevni povzetki XML, ki prikazujejo:

• Organizacijo poročanja
• Časovno obdobje
• Vaš objavljeni pravilnik
• Rezultate avtentikacije po izvornem IP naslovu
• Obseg e-poštnih sporočil

Primer odlomka:

<record>
  <source_ip>203.0.113.10</source_ip>
  <count>1250</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</record>

Forenzična poročila (ruf):

Podrobnosti posameznih sporočil za napake. Bolj podrobna, a zasebnostno občutljiva. Mnogi prejemniki ne pošiljajo forenzičnih poročil.

Najboljše prakse DMARC

Vedno začnite z p=none:

Neposreden skok na reject lahko blokira legitimno e-pošto. Najprej nadzorujte.

Uporabite namenski e-poštni naslov za poročila:

Poročila DMARC so lahko obsežna. Uporabite namenski naslov ali storitev tretje osebe.

Nastavite pravilnik za poddomene (sp=):

Če ne pošiljate e-pošte s poddomen, nastavite sp=reject za zaščito pred lažnim predstavljanjem.

Za postopno uvajanje uporabite odstotek (pct=):

Oznaka pct vam omogoča uveljavljanje pravilnika za odstotek neuspehov, medtem ko nadzorujete preostanek.

Razmislite o namenskih storitvah DMARC:

Za velike organizacije storitve, kot so Valimail, dmarcian ali Postmark DMARC, zagotavljajo boljšo analizo poročil kot surove datoteke XML.

Nastavitev zapisov DNS: celoten pregled

Nastavitev avtentikacije e-pošte zahteva dodajanje določenih zapisov DNS. Ta razdelek zagotavlja celoten pregled za glavne ponudnike DNS.

Zbiranje zahtevanih vrednosti

Pred začetkom zberite te vrednosti od vaših ponudnikov e-pošte:

Za SPF:

• Vsi stavki include (npr. include:spf.brevo.com)
• Vsi določeni IP naslovi, ki jih morate pooblastiti

Za DKIM:

• Ime selektorja (npr. brevo, google, s1)
• Polna vrednost ključa DKIM

Za DMARC:

• Vaš e-poštni naslov za poročanje

Dodajanje zapisov pri pogostih ponudnikih DNS

Cloudflare:

1. Prijavite se na nadzorno ploščo Cloudflare
2. Izberite svojo domeno
3. Pojdite na DNS > Zapisi
4. Kliknite Dodaj zapis
5. Za SPF: Vrsta=TXT, Ime=@, Vsebina=vaš zapis SPF
6. Za DKIM: Vrsta=TXT, Ime=selector._domainkey, Vsebina=ključ DKIM
7. Za DMARC: Vrsta=TXT, Ime=_dmarc, Vsebina=zapis DMARC
8. Kliknite Shrani

Google Domains/Squarespace:

1. Pojdite na nastavitve DNS za vašo domeno
2. Pomaknite se na Prilagojeni zapisi
3. Kliknite Upravljaj prilagojene zapise
4. Za vsak zapis z ustrezno vrsto, gostiteljem in podatki dodajte zapis
5. Za SPF: Gostitelj=@, Vrsta=TXT, Podatki=zapis SPF
6. Za DKIM: Gostitelj=selector._domainkey, Vrsta=TXT, Podatki=ključ DKIM
7. Za DMARC: Gostitelj=_dmarc, Vrsta=TXT, Podatki=zapis DMARC

GoDaddy:

1. Pojdite na Moji izdelki > Domene
2. Kliknite DNS poleg vaše domene
3. Pomaknite se na razdelek Zapisi
4. Kliknite Dodaj za vsak novi zapis
5. Za Vrsto izberite TXT
6. Vnesite Ime (@ za SPF, selector._domainkey za DKIM, _dmarc za DMARC)
7. Vnesite Vrednost
8. Shranite

Namecheap:

1. Pojdite na Seznam domen > Upravljaj
2. Kliknite Napredni DNS
3. Za vsak zapis dodajte novi zapis
4. Izberite Zapis TXT
5. Gostitelj: @ za SPF, selector._domainkey za DKIM, _dmarc za DMARC
6. Vrednost: Vsebina vašega zapisa
7. Shranite vse spremembe

Razširitev DNS

Po dodajanju zapisov potrebujejo spremembe čas, da se razširijo globalno. Navadno to traja:

• 5—30 minut za začetno vidnost
• Do 48 ur za popolno globalno razširitev

Za preverjanje uporabite dig ali nslookup:

dig TXT yourdomain.com
dig TXT selector._domainkey.yourdomain.com
dig TXT _dmarc.yourdomain.com

Ali za preverjanje razširitve po vsem svetu uporabite spletna orodja, kot je whatsmydns.net.

Primer popolne nastavitve

Za domeno, ki uporablja Brevo in Google Workspace:

Zapis SPF (TXT na @):

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Zapis DKIM za Brevo (TXT na brevo._domainkey):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [key from Brevo dashboard]

Zapis DKIM za Google (TXT na google._domainkey):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [key from Google Admin]

Zapis DMARC (TXT na _dmarc):

v=DMARC1; p=none; rua=mailto:[email protected]

Odpravljanje pogostih težav

Tudi pri skrbni nastavitvi lahko avtentikacija e-pošte odpove. Tu so pogoste težave in kako jih rešiti.

Odpravljanje težav s SPF

Zapis SPF ni najden:

Simptomi: Preveritve SPF prikazujejo „none” ali „ni zapisa”

Vzroki:

• Zapis ni bil dodan v DNS
• Zapis dodan na napačno mesto (poddomena namesto korena)
• Razširitev DNS ni dokončana

Rešitve:

• Preverite obstoj zapisa z dig TXT yourdomain.com
• Preverite polje Ime/Gostitelj (mora biti @ ali prazno za korensko domeno)
• Počakajte na razširitev DNS (do 48 ur)

SPF PermError (preveč poizvedb):

Simptomi: Rezultati SPF prikazujejo „permerror”

Vzroki:

• Več kot 10 poizvedb DNS v vašem zapisu SPF
• Vključki z preveč ugnezdenimi vključki

Rešitve:

• Preglejte vključke in odstranite neuporabljene
• Kjer je mogoče, zamenjajte vključke z vnosi ip4:
• Uporabite storitve za izravnanje SPF
• Konsolidirajte storitve pri manj ponudnikih

Mehka zavrnitev ali zavrnitev SPF za legitimno pošto:

Simptomi: Legitimna e-poštna sporočila ne opravijo SPF

Vzroki:

• Storitev pošiljanja ni vključena v SPF
• Pošiljanje z IP naslova, ki ni pooblaščen
• Uporaba posrednika, ki spremeni pošiljatelja ovojnice

Rešitve:

• Dodajte manjkajoči vključek za vašo storitev pošiljanja
• Preverite, kateri IP je dejansko poslal e-pošto (iz glav)
• Stopite v stik s ponudnikom e-pošte za pravilne nastavitve SPF

Več zapisov SPF:

Simptomi: SPF prikazuje permerror ali naključne napake

Vzroki:

• Dva ali več zapisov TXT z v=spf1

Rešitve:

• Združite vse mehanizme v en zapis SPF
• Izbrišite podvojene zapise SPF

Odpravljanje težav z DKIM

Manjkajoč podpis DKIM:

Simptomi: V e-poštnih sporočilih ni glave DKIM-Signature

Vzroki:

• Podpisovanje DKIM ni omogočeno pri ponudniku e-pošte
• Preverjanje domene ni dokončano
• Pošiljanje prek poti brez DKIM

Rešitve:

• Omogočite DKIM v nastavitvah vašega ponudnika
• Dokončajte korake preverjanja domene
• Preverite dokumentacijo ponudnika za nastavitev DKIM

Preverjanje DKIM ni uspelo:

Simptomi: DKIM prikazuje „fail” v rezultatih avtentikacije

Vzroki:

• Zapis DNS ni objavljen ali je napačen
• Uporabljen je napačen selektor
• Neujemanje ključa med DNS in podpisovanjem
• Sporočilo je med prenosom spremenjeno

Rešitve:

• Preverite obstoj zapisa DNS na selector._domainkey.domain
• Primerjajte selektor v glavi DKIM-Signature z DNS
• Regenerirajte ključe, če je sumljivo neujemanje
• Preverite poštne filtre ali posrednike, ki morda spreminjajo sporočila

Ključ DKIM je predolg za DNS:

Simptomi: Zapisa DKIM ni mogoče shraniti, napake pri krajšanju

Vzroki:

• 2048-bitni ključi presegajo dolžino enega zapisa TXT
• Ponudnik DNS ima omejitve znakov

Rešitve:

• Razdelite ključ v več citiranih nizov (večina ponudnikov to samodejno obravnava)
• Preverite, ali vaš ponudnik DNS podpira dolge zapise TXT
• Začasno uporabite 1024-bitne ključe (manj varno)

Primer razdeljenega zapisa DKIM:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
"...continuation of key..."

Odpravljanje težav z DMARC

Napake poravnave DMARC:

Simptomi: SPF in DKIM opravita preveritev, a DMARC ne uspe

Vzroki:

• Avtenticirana domena se ne ujema z domeno glave From
• Storitev pošiljanja tretje osebe uporablja lastno domeno
• Napačno konfiguriran pošiljatelj ovojnice

Rešitve:

• Zagotovite, da vaš ponudnik e-pošte podpisuje z vašo domeno (prilagojen DKIM)
• Konfigurirajte prilagojen Return-Path/pošiljatelj ovojnice
• Uporabite sproščen način poravnave (adkim=r; aspf=r)

Poročil DMARC ne prejmete:

Simptomi: Agregatna poročila ne prihajajo

Vzroki:

• Naslov rua je napačen
• E-poštni naslov ne more prejeti zunanje e-pošte
• Poročila gredo v neželeno pošto
• Sprejemni strežniki ne pošiljajo poročil

Rešitve:

• Preverite sintakso rua: rua=mailto:[email protected]
• Preizkusite, ali naslov za poročanje lahko prejme zunanjo pošto
• Preverite mapo z neželeno pošto za poročila
• Opomba: Vsi prejemniki ne pošiljajo poročil DMARC

Zapis DMARC ni najden:

Simptomi: Preveritve DMARC prikazujejo „ni zapisa”

Vzroki:

• Zapis objavljen na napačnem mestu
• Napačen format (mora biti TXT na poddomeni _dmarc)

Rešitve:

• Zapis mora biti na _dmarc.yourdomain.com
• Preverite z dig TXT _dmarc.yourdomain.com

Splošna orodja za odpravljanje težav

Spletni validatorji:

• MXToolbox (mxtoolbox.com) — iskanja SPF, DKIM, DMARC
• Mail Tester (mail-tester.com) — Pošljite preizkusno e-pošto za popolno analizo
• DMARC Analyzer — vizualizacija poročil
• Google Admin Toolbox — Preverite MX, SPF, DKIM

Orodja ukazne vrstice:

# Check SPF
dig TXT yourdomain.com

# Check DKIM
dig TXT selector._domainkey.yourdomain.com

# Check DMARC
dig TXT _dmarc.yourdomain.com

# Check from specific DNS server
dig @8.8.8.8 TXT yourdomain.com

Analiza glav e-pošte:

Preverite glavo Authentication-Results v prejetih e-poštnih sporočilih:

Authentication-Results: mx.google.com;
  dkim=pass header.d=example.com header.s=brevo;
  spf=pass smtp.mailfrom=example.com;
  dmarc=pass action=none header.from=example.com

Avtentikacija e-pošte in Brevo

Brevo zagotavlja obsežno podporo za avtentikacijo e-pošte in olajšuje konfiguracijo SPF, DKIM in DMARC za vaše domene pošiljanja.

Nastavitev avtentikacije v Brevo

1. korak: Dodajte svojo domeno

1. Prijavite se v račun Brevo
2. Pojdite na Nastavitve > Pošiljatelji, domene in namenski IP naslovi
3. Kliknite Dodaj domeno
4. Vnesite ime vaše domene

2. korak: Konfigurirajte SPF

Brevo zagotovi vključek SPF za dodajanje v vaš DNS:

include:spf.brevo.com

Dodajte to obstoječemu zapisu SPF ali ustvarite novega:

v=spf1 include:spf.brevo.com -all

3. korak: Konfigurirajte DKIM

Brevo samodejno ustvari ključe DKIM. Kopirajte zagotovljeni zapis:

1. Pojdite na nastavitve domene v Brevo
2. Poiščite razdelek DKIM
3. Kopirajte ime zapisa DNS in vrednost
4. Dodajte zapis TXT v vaš DNS

4. korak: Preverite konfiguracijo

Brevo samodejno preverja vaše zapise DNS. Zelene kljukice označujejo uspešno konfiguracijo.

Prednosti pravilne avtentikacije z Brevo

Ko pravilno konfigurirate avtentikacijo z Brevo:

• Višja umestitev v nabiralnik: Gmail, Microsoft in drugi ponudniki zaupajo avtenticiranim sporočilom
• Zaščita blagovne znamke: DMARC preprečuje lažno predstavljanje z vašo domeno
• Boljša analitika: Natančno sledenje odprtjem in klikom
• Gradnja ugleda: Dosledna avtentikacija gradi ugled pošiljatelja

Prednosti integracije Tajo

Uporaba Tajo za povezavo vaše Shopify trgovine z Brevo zagotavlja dodatne prednosti:

• Samodejna sinhronizacija strank: Podatki o strankah se nemoteno pretakajo za prilagojeno e-pošto
• Sledenje dogodkom: Dogodki nakupa, brskanja in košarice sprožijo avtenticirano transakcijsko e-pošto
• Večkanalna koordinacija: Ohranjajte dosledno avtentikacijo prek e-pošte, SMS in WhatsApp
• Enotna analitika: Sledite uspešnosti e-pošte skupaj z drugimi marketinškimi merili

Kombinacija pravilne avtentikacije e-pošte in sinhronizacije podatkov o strankah v realnem času zagotavlja, da vaša e-poštna sporočila ne le dosežejo nabiralnik, ampak odmevajo pri vsakem prejemniku.

Pogosto zastavljena vprašanja

Kakšna je razlika med SPF, DKIM in DMARC?

SPF določa, kateri strežniki lahko pošiljajo e-pošto za vašo domeno. DKIM dodaja kriptografski podpis, ki dokazuje pristnost sporočila. DMARC določa pravilnik za ravnanje sprejemnikov z napakami avtentikacije in zagotavlja poročanje. Vsi trije skupaj delajo za celovito avtentikacijo e-pošte.

Ali potrebujem vse tri (SPF, DKIM in DMARC)?

Za optimalno dostavljivost in varnost ja. Sam SPF je ranljiv za lažno predstavljanje. Sam DKIM ne določa pravilnika. DMARC za delovanje zahteva SPF ali DKIM. Skupaj zagotavljajo celovito zaščito in najboljše stopnje umestitve v nabiralnik.

Kako dolgo traja, da začne delovati avtentikacija e-pošte?

Spremembe DNS se navadno razširijo v 30 minutah do 48 urah. Ko se razširijo, se avtentikacija takoj uporabi. Gradnja ugleda pošiljatelja na osnovi dosledne avtentikacije pa traja tedne do mesece.

Ali bo nastavitev DMARC z p=reject blokirala moja legitimna e-poštna sporočila?

Lahko, če je konfiguriran napačno. Zato morate vedno začeti z p=none (nadzor), analizirati poročila 2—4 tedne, odpraviti morebitne težave, nato postopoma priti do karantene in zavrnitve. Nikoli ne preskočite faze nadzora.

Kaj je poravnava SPF v primerjavi s poravnavo DKIM?

Poravnava pomeni, da se avtenticirana domena ujema z vidno domeno glave From. Poravnava SPF primerja domeno Return-Path. Poravnava DKIM primerja domeno podpisovanja (oznaka d=). DMARC zahteva poravnavo vsaj ene.

Ali imam lahko več ključev DKIM za eno domeno?

Da. Vsaka e-poštna storitev lahko uporablja drugačen selektor (npr. brevo._domainkey, google._domainkey). To omogoča, da več storitev neodvisno podpisuje z DKIM. Ni omejitve glede števila selektorjev DKIM.

Zakaj moja e-poštna sporočila po nastavitvi avtentikacije še vedno gredo v neželeno pošto?

Avtentikacija je nujna, a ne zadostna za umestitev v nabiralnik. Drugi dejavniki vključujejo ugled pošiljatelja, kakovost vsebine, stopnje angažiranosti in higieno seznama. Avtentikacija vas pripelje mimo prvega filtra; dobre prakse določajo končno umestitev.

Kako berem agregatna poročila DMARC?

Agregatna poročila DMARC so datoteke XML. Za njihovo razčlenjevanje in vizualizacijo uporabite orodja, kot so dmarcian, Postmark DMARC ali DMARC Analyzer. Ta orodja prikazujejo, kateri IP naslovi pošiljajo e-pošto kot vaša domena in njihove stopnje uspešnosti/neuspešnosti avtentikacije.

Kaj se zgodi, če prekoračim omejitev 10 poizvedb za SPF?

SPF vrne trajno napako (permerror) in vse preveritve SPF ne uspejo. Za odpravo tega odstranite neuporabljene vključke, kjer je mogoče zamenjajte vključke z IP naslovi ali uporabite storitve za izravnanje SPF.

Ali naj v svojem zapisu SPF uporabim -all ali ~all?

Uporabite ~all (mehka zavrnitev) med testiranjem in gradnjo zaupanja. Ko potrdite, da vse legitimne vire opravijo preveritev, preklopite na -all (trda zavrnitev) za močnejšo zaščito. Mehka zavrnitev označi napake, a jih ne zavrne; trda zavrnitev pooblašča zavrnitev.

Kako pogosto naj zamenjam ključe DKIM?

Ni stroge zahteve, a letna zamenjava je dobra varnostna praksa. Pri zamenjavi najprej dodajte novi ključ, počakajte na razširitev DNS, omogočite podpisovanje z novim ključem, nato po prehodnem obdobju odstranite stari ključ.

Ali poddomene potrebujejo ločeno avtentikacijo?

SPF: Da, vsaka poddomena potrebuje lastni zapis SPF, če iz nje pošiljate e-pošto. DKIM: Ključe je mogoče deliti ali ločiti po poddomeni. DMARC: Poddomene podedujejo nadrejen pravilnik, razen če je nastavljen sp= ali ima poddomena lasten zapis DMARC.

Zaključek

Avtentikacija e-pošte prek SPF, DKIM in DMARC za podjetja, ki se zanašajo na e-poštno komunikacijo, ni več neobvezna. Ti protokoli ščitijo vašo blagovno znamko pred lažnim predstavljanjem, izboljšujejo dostavljivost in gradijo zaupanje, potrebno za učinkovit e-poštni marketing.

Ključne ugotovitve:

• SPF pooblašča strežnike za pošiljanje prek DNS
• DKIM dokazuje pristnost sporočila s kriptografskimi podpisi
• DMARC uveljavlja pravilnik in zagotavlja pregled prek poročil
• Začnite z nadzorom (p=none) pred uveljavljanjem zavrnitve
• Vse legitimne vire pošiljanja je treba pravilno konfigurirati
• Reden nadzor preprečuje odmik konfiguracije

Za podjetja e-Commerce, ki uporabljajo Shopify, kombiniranje pravilne avtentikacije e-pošte z integracijo podatkov o strankah prek Tajo in Brevo ustvari zmogljivo osnovo. Vaša transakcijska e-poštna sporočila zanesljivo dosežejo stranke, vaše marketinške kampanje dosežejo boljšo umestitev v nabiralnik, vaša blagovna znamka pa ostane zaščitena pred napadi lažnega predstavljanja.

Ste pripravljeni izboljšati svojo dostavljivost e-pošte? Začnite z revizijo vaše trenutne nastavitve avtentikacije z orodji, omenjenimi v tem vodniku, nato sistematično konfigurirajte SPF, DKIM in DMARC po korak za korakom navodilih.

Preberite, kako se Tajo integrira z Brevo za brezhibno avtentikacijo e-pošte skupaj s sinhronizacijo podatkov o strankah v realnem času za vašo Shopify trgovino.

Sorodni članki

• Kampanje e-poštnega marketinga: popoln vodnik za načrtovanje, izvedbo in optimizacijo
• Strategija e-poštnega marketinga: popolni vodnik za načrtovanje in izvedbo [2025]
• E-poštni marketing za mala podjetja: popolni vodnik (2026)
• ROI e-poštnega marketinga: kako izračunati, slediti in izboljšati donos [2025]
• E-poštni marketing za začetnike: popolni vodnik za začetek (2026)