Zabezpečení elektronické pošty

Hodně zákazníků řeší jak zabezpečit elektronickou poštu, respektive jak zajistit, aby jejich e-maily nekončili ve spamech. Publikujeme zde informace o technickém nastavení, které by mělo zajistit bezpečné doručení e-malu adresátovi. Jedná se o validační systém SPF a technologii DKIM, které přímo s SSL certifikáty nesouvisí. Tyto nastavení je vždy nutné konzultovat s poskytovatelem webhostingu, serveru nebo dodavatelem aplikací na zasílání e-mailů.

SPF záznam

Validační systém Sender Policy Framework (SPF) potvrzuje zdroj (server), který odesílá e-mailovou zprávu domény. Povolené servery jsou definovány SPF záznamem v doménové DNS zóně. SPF záznam je TXT záznam, do kterého se vkládá buď IP adresa nebo doménové jméno.
Přijímací server podle záznamu v DNS zkontroluje zda byl e-mail odeslán z povoleného serveru a podle svých pravidel a definice v záznamu naloží se zprávou. V případě, že záznamy neodpovídají, může zprávu odmítnout, označí ji jako spam nebo zvýší hodnotu spamového čísla před vyhodnocením antispamem.

Nastavení záznamu SPF se provádí v DNS záznamech domény. Zde je potřeba specifikovat veškeré zdroje odesílaných zpráv domény a nastavit chování v případě, že odesílající zdroj nevyhovuje validačním podmínkám.

Zdroje odesílaných zpráv mohou být:

• odesílací SMTP server(y)
• webmail server
• webserver s aplikací/webovými stránkami
• servery pro hromadný mailing (např. MailChimp)

Při nastavování SPF záznamů je potřeba uvést všechny služby a IP adresy, které jsou využívány. Jinak by po nastavení SPF mohly e-maily končit z neuvedených serverů ve spamech.

Nastavení SPF záznamu

Konkrétní SPF záznam by měl poskytnout dodavatel technického řešení. Webhostingové služby informují o správném nastavení v nápovědách, servery pro hromadný e-mailing uvádí konkrétní nastavení SPF ve svém nastavení.

SPF záznam se skládá ze tří částí:

• oznámení, že se jedná o SPF záznam (v=spf1)
• seznam povolených zdrojů odchozích zpráv
• definice chování v případě nevalidovaného zdroje
  • + (pass)
  • - (fail) - pokud zdroj neprošel testem, zpráva bude odmítnuta
  • ~ (softfail) - zdroj neprošel testem, ale výsledek není definitivní
  • ? (neutral) - chování neutrální

Pro definici povolených zdrojů, resp. validačních podmínek, je možné použít celou řadu přepínačů (tzv. mechanismů). Nejpoužívanější jsou a (A nebo AAAA záznam domény), mx (MX záznam domény), ip4 (IPv4 adresa či rozsah adres), ip6 (IPv6 adresa či rozsah adres), ptr (reverzní záznam) a include (načte jiný SPF záznam).

Příklady SPF záznamů:

Povolení jedné IP adresy: v=spf1 ip4:1.2.3.4 ?all
Povolení IP adres, které jsou A, AAAA a MX záznamy dané domény: v=spf1 a mx ~all
Povolení zdroje A záznamu domény: v=spf1 a:example.com ?all

Další informace o SPF záznamech naleznete na Wikipedii.
Nápověda nastavení SPF záznamu pro e-mail na seznam.cz.

Problémy u přesměrovaných e-mailů

SPF má jednu negativní vlastnost, která se projevuje u přesměrovaných e-mailů. Pokud si přeposíláte e-maily na jinou doménu z vlastního serveru nebo takto má nastavenu poštu příjemce, tyto e-maily nemohou splňovat požadavky na SPF ověření. Jsou totiž odesílány (přeposílány) z jiných serverů. Takovéto e-maily mohou být přijímacími servery vyhodnoceny okamžitě jako spam nebo rovou zahazovány. Často tato situace nastává při přeposílání na freemaily jako seznam.cz, centrum.cz či gmail.com.

Tento problém nenastává u DKIM, který používá elektronický podpis vytvořený na serveru odesílatele. Nastavení DKIM není pevně svázáno s konkrétní IP adresou a přeposílání podepsané pošty nenarušuje systém ověření.

DKIM záznam

DomainKeys Identified Mail (DKIM) je technologie pro zvýšení důvěryhodnosti e-mailů, kdy je odesílaná zpráva na serveru podepsána privátním klíčem a podpis (hash/otisk) je uložen v hlavičce e-mailu. Přijímací server využije veřejný klíč uložený v DNS záznamech domény a ověří vložený podpis. Pokud podpis souhlasí, je potvrzeno, že zpráva pochází z odesílací domény a také že nedošlo ke změně obsahu nebo úpravě zprávy. Nastavení DKIM záznamu musí poskytovat dodavatel služeb, neboť je nutné, aby odesílací server uměl s DKIM pracovat. Při využívání poštovního klienta Thunderbird lze použít plugin DKIM Verifier pro.
Více informací o DKIM je publikováno např. na Root.cz.

DKIM podpis může být u některých příjemců nutnou podmínkou pro přijetí hromadných e-mailových sdělení (newsletterů). Například seznam.cz vyžaduje DKIM u hromadných e-mailů podle blogu seznam.cz.

Záznam DMARC

Domain-based Message Authentication, Reporting & Conformance (DMARC) technologie spojuje a doplňuje SPF a DKIM. DMARC přebírá informace z ověření SPF a DKIM a vyhodnocuje zda doména v hlavičce From je opravdu odesílací doménou. Pokud alespoň jedna metoda uspěje, dá se podle DMARC věřit tomu, že e-mail byl skutečně odeslán z uvedené domény.
Více informací o DMARC je publikováno např. na Root.cz.

Zabezpečení e-mailu elektronickým podpisem

Nastavení záznamů SPF, DKIM a DMARC u domén je technického rázu a řeší bezpečnost na úrovni internetové sítě. Oproti tomu Elektronický podpis lze použít pro podepisování e-mailu a také  k šifrování obsahu. Podepsaný e-mail zajistí autenticitu, to znamená, že lze ověřit osobu, které patří elektronický podpis a která e-mail odeslala. Příjemce tak může odeslaný e-mail považovat za důvěryhodný. Spoučasně podepsaný email zajišťuje integritu, která potvrzuje že e-mail nebyl po cestě upraven/změněn či poškozen. Jakákoliv změna v obsahu zprávy má za následek neplatnost elektronického podpisu. Pro elektronické podepisování e-mailů je potřeba mít vlastní Osobní certifikát - Elektronický podpis.

---

Kam dál?

• Jak exportovat a zálohovat certifikát
• Export certifikátu do PFX v OpenSSL
• Jak probíhá ověření domény (DV certifikáty)
• Reissue (obnovení) SSL certifikátu zdarma
• Formáty certifikátů (PEM, KEY, CSR, PFX, ...)