DKIM, SPF a DMARC: Nenechte podvodníky odesílat spam vaším jménem

Technologie DKIM, SPF a DMARC chrání firemní doménu před zneužitím, které může poškodit nejen příjemce, ale i dobré jméno organizace, jejímž jménem byla zpráva odeslána. Jaké podvodné taktiky jsou nejčastější a jak vám může DKIM, SPF a DMARC pomoct se jim ubránit?

JAN MŮČKA
  • JAN MŮČKA

  • 14. 04. 2021
  • 7 min čtení
Zkopirovat do schránky

Nevyžádaná digitální pošta neboli spam se stal běžnou součástí internetu. Nejčastěji má podobu e-mailu, komentářů či sms zpráv. Pro jeho zasílání existují různé důvody: od toho původního – šíření obchodní nabídky co největšímu počtu lidí – až po snahu infikovat zařízení příjemce virem, vylákat uživatelská hesla a citlivé údaje nebo snahu zahltit e-mailovou schránku či server požadavky.

FortiMail pro komplexní ochranu

Specializovaný systém FortiMail odfiltruje spam až s 99,98% přesností a navíc chrání před viry a dalšími hrozbami. Může být zapojen různými způsoby, takže pasuje na jakoukoliv IT infrastrukturu.

Kybernetická bezpečnost

E-mail spoofing je zase taktika, kdy se podvodník schovává pod známou adresou.. V praxi se využívá například pro vylákání hesel, osobních údajů nebo peněz. Přijít vám tak může třeba e-mail, který má shodnou doménu jako váš dodavatel elektřiny, s žádostí o okamžité uhrazení nedoplatku. Někteří lidé zpanikaří a ve strachu z večerů potmě částku urychleně zaplatí.

Jiným příkladem může být výzva ke změně hesla s odkazem, na kterém najdete přesnou kopii stránek určité instituce. Oběť na nich pak důvěřivě zadá uživatelské jméno a staré heslo, jež skončí v rukou hackera. Takový typ spamu se řadí mezi ty vůbec nejnebezpečnější a označuje se jako phishing.

DKIM, SPF a DMARC chrání doménu před e-mail spoofingem

Podvodný e-mail, který přišel z důvěryhodné adresy a tváří se oficiálně, bývá často těžké prohlédnout. Uškodit navíc nemusí jen příjemci zprávy, ale také pověsti firmy, za niž se spammer vydává. Naštěstí existují účinné nástroje, které pomáhají zneužití domény předcházet. Mezi ty nejrozšířenější patří validační technologie SPF, DKIM a DMARC. Kromě firem a dalších organizací s vlastní e-mailovou doménou je běžně používají i velké freemailové společnosti jako třeba Seznam, Google nebo Yahoo.

První z jmenovaných – SPF (Sender Policy Framework) – funguje tak, že server příjemce ověří, zda je IP adresa odesílatele povolená pro konkrétní e-mailovou schránku či doménu. Administrátoři na straně odesílatele totiž vytvoří speciální TXT DNS záznam, v němž definují, které servery či počítače mohou z dané domény odesílat e-maily. Ty podvodné pak server příjemce buď vůbec nepřijme, nebo je označí jako spam.

Vlastník schránky (případně firemní domény) tím zajistí, že se za něj nemůže vydávat někdo jiný. Například lze takto zabezpečit, že z adresy pohledavky@mojefirma.cz nebudou chodit podvodné e-maily, které by mohly poškodit jak příjemce, tak částečně i dobré jméno firmy, která bude se spamem mylně spojována.

Problém při použití SPF nastává ve chvíli, kdy si adresát automaticky přeposílá e-maily z jedné schránky do jiné. V takové situaci se totiž zpráva označí za spam i v případě, že byla původně přeposlána z IP adresy uvedené v DNS záznamu. Tato vlastnost je samozřejmě nežádoucí a může způsobovat značné problémy při e-mailové komunikaci, protože automatické přeposílání e-mailů je běžnou praxí.

Právě proto je vhodnější validační technologie DKIM (DomainKeys Identified Mail), která je založena na jiném principu. Detekce pravosti adresy probíhá pomocí digitálního podpisu. Server příjemce tak může přes veřejný klíč v DNS zóně domény odesílatele zjistit, zdali se nejedná o podvrh.

Pokud se adresu podaří ověřit, znamená to navíc, že ani další části e-mailu, včetně příloh, nebyly od připojení podpisu změněny. Klíč je pro uživatele neviditelný a veškeré připojování i ověřování podpisů zajišťuje e-mailová infrastruktura.

Oba validační mechanismy – SPF i DKIM – lze kombinovat díky technologii DMARC (Domain-based Message Authentication, Reporting and Conformance). Ta totiž umožňuje definovat pravidla jak pracovat s informacemi získanými skrze SPF a DKIM, podle kterých se důvěryhodnost odesílatele bude vyhodnocovat.

Výsledkem je určení, zda daný e-mail bude či nebude doručený, případně do jaké složky bude v klientovi zařazen. Technologie DMARC navíc umožňuje zpětně vyhodnocovat, zda definovaná pravidla fungují a nakolik jsou účinná.

Všechny tři zmíněné mechanismy ovšem spojuje jeden zásadní problém. Musí být totiž implementovány jak na serveru odesílatele, tak příjemce. Pokud tedy e-mailový klient adresáta běží na infrastruktuře, která validační technologie nepoužívá, ochrana domény fungovat nebude.

Rozšíření spamu a jeho legálnost 

Rozmach spamu šel ruku v ruce s rozšířením a komercializací internetu. Podle webu Statista tvořil v dubnu 2014 více než 71 % veškeré e-mailové komunikace, v září 2020 to bylo už jen něco málo přes 47 %. I když se jedná o znatelný pokles, spamu je pořád o mnoho více, než by si běžný smrtelník přál.

Také samotný název „spam” se váže k jeho všudypřítomnosti. Označení pro nevyžádanou poštu má totiž pravděpodobně původ ve skeči od komediálního uskupení Monthy Python z roku 1970. V něm si dělali legraci ze suroviny jménem „Spam”, která se vyskytovala ve veškerém jídle v menu.

Odkazovali tak nejspíš na konzervu s vepřovým masem vyráběnou od roku 1937, která neměla příliš dobrou reputaci. Ve skeči má ale Spam své skalní zastánce – Vikingy – kteří ho rádi konzumují a považují ho za půvabný. Současnou digitální podobu spamu by ani skandinávští bojovníci nejspíš neocenili. Jeho masovost a všudypřítomnost ho ale stále pojí s původním významem slova.


Původ slova „spam” se pravděpodobně váže k všudypřítomnému masnému výrobku ze skeče Monthy Pythonů z roku 1972. Zdroj: Youtube.com

Běžné obchodní nabídky jsou sice otravné, ale většinou ne nebezpečné. S trochou selského rozumu se lze snadno dovtípit, že ta pilulka na hubnutí asi moc fungovat nebude a že nový iPhone vám opravdu nepošlou jen za to, že někam napíšete rodné číslo. Problém však nastává, pokud se e-mail tváří, že je od důvěryhodného zdroje a vypadá oficiálně.

Nikoho asi nepřekvapí, že tyto podvodné taktiky stojí mimo zákon. Jak je tomu ale u obchodních sdělení, které žádný vir neobsahují, za nikoho se nevydávají a jsou prostě jen obtěžující? Zákon v tomhle případě mluví jasně. Hranicí legálnosti je, podobně jako u milostného aktu, váš souhlas.

V ČR totiž od roku 2004 platí zákon 480/2004 Sb., jež výslovně říká: „Podrobnosti elektronického kontaktu lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas.” V případě, že jste tedy souhlas neudělili, můžete porušení tohoto zákona nahlásit online na stránkách Úřadu pro ochranu osobních údajů.

6 tipů, jak eliminovat příchozí spam

Ke snížení příchozího spamu můžete přispět i jako řadový, netechnicky založený, uživatel. Stačí dodržovat několik zásad a chovat se na internetu zodpovědně a obezřetně. Tady je několik tipů, co pro to můžete udělat:

1. Dávejte svému e-mailovému klientovi pravidelně vědět, které zprávy ve složce „doručené” považujete za spam a které ze složky „spam” si takové označení naopak nezaslouží. Díky tomu svého klienta obvykle „vycvičíte” tak, aby nevyžádanou poštu lépe rozpoznal.

2. Kromě svého hlavního e-mailu mějte i jeden záložní. Ten používejte na nejrůznější přihlašování k newsletterům nebo registracím do všelijakých nástrojů či služeb. Primární e-mail vám tak zůstane čistě k osobní či pracovní konverzaci a nebude prošpikovaný nejrůznějšími nabídkami a upozorněními.

3. Bděte a buďte ostražití. Jak bylo uvedeno výše, firmy se ve snaze ochránit své dobré jméno snaží aktivně předcházet tomu, aby se za ně někdo mohl vydávat. Spam či phishing tak často přichází z podivných adres. Nemusí to být ale pravidlem. Některé firmy si své e-maily nechrání a hackeři jsou navíc vynalézaví a můžou přijít na způsob, jak zabezpečení obejít. Pozorní buďte zejména tehdy, pokud se vyžaduje, abyste klikli na odkaz, stáhli soubor a zejména zadávali své uživatelské nebo citlivé údaje či posílali kamkoliv peníze.

4. Svůj e-mail zveřejňujte tak málo, jak to jen jde. Snížíte tím riziko, že nějaký bot na něj narazí a zahrne ho do mailing listu spammerů.

5. Spravujete-li osobní nebo firemní web, dejte si pozor také na formuláře. Zahltit e-mail, kam chodí dotazy z nechráněného webového formuláře, je opravdu hračka. Stačí k tomu jednoduchý skript. Pomoci může recaptcha nebo různá pravidla, která dovolují z jedné IP adresy odeslat jen omezený počet e-mailů.

6. Vhodné je samozřejmě sledovat i nejnovější taktiky spammerů a podvodníků. Pokud máte vlastní zaměstnance, pravidelně je informujte a upozorňujte na bezpečnostní rizika.

Komplexní systém na ochranu e-mailu

Jednou z možností, jak udržet firemní e-mail v bezpečí, je implementace specializovaného systému ochrany FortiMail. Kromě sofistikovaného filtrování spamu si totiž poradí i s malwarem a dalšími e-mailovými nástrahami.

FortiMail díky své vícevrstvé ochraně dokáže zachytit hrozby až s 99,98% přesností. Je ho možné navíc nasadit takřka na jakoukoliv IT infrastrukturu. Lze ho totiž zapojit jako transparentní zařízení, bránu nebo server a rozumí si s protokoly POP3 i IMAP. Nic vám tak nebrání snadno zabezpečit citlivá firemní data, která se v e-mailech běžně vyskytují.

Líbil se vám článek? Ano / Ne