• Ivan Kutil

Tři základní nastavení v Google Workspace, aby vaše e-maily nekončily ve spamu

Možná se vám už stalo, že váš e-mail skončil ve spamové složce adresáta. Existuje několik nastavení, díky kterým se dá takovýmto situacím předejít. Tato nastavení si dnes podrobně popíšeme.


Pozn.: zaměříme se jen na zabezpečení Google Workspace pro posílání běžné firemní komunikace. V článku nebudeme řešit hromadné rozesílání e-mailů (např. newsletterů), protože jde o trochu rozdílnou problematiku. Pokud ji však potřebujete řešit, doporučujeme vám firmu Etnetera Activate, která se na tuto oblast specializuje. Tento článek byl technicky konzultován právě s jejich e-mailovými specialisty (převážně s Pavlem Polou, který nedávno spustil online kurz E-mail marketing od A do Z, který rozhodně doporučujeme).


Kde se vzal, tu se vzal. Spam.

I když vám nikdo nepíše, tak ve spamové složce vždy najdete nové zprávy. Ať už jde o podvodné nabídky, seznámení se s neznámým člověkem či reklamu k nákupu služby, kterou jistě nepotřebujete. Za spam by se dala považovat jakákoliv pošta, kterou jste si nevyžádali. Volně bychom mohli spam přirovnat k reklamním a slevovým letákům v poštovní schránce.



Samotný výraz SPAM pochází ze scénky britských satiriků Monty Python, kde hostinská nabízí jídla a v každému názvu se nachází právě slovíčko “spam”.



Zařazení do složky SPAM ovlivňují stovky faktorů. Mezi ty základní patří:

  1. Základní nastavení vaší infrastruktury.

  2. Reputace ověření (SPF, DKIM, DMARC).

  3. Reputace IP adres serverů odesílající poštu (např. 212.45.5.60).

  4. Reputace domény odesílatele (např. vase-firma.cz).

  5. Uživatelská reputace (tj., zda uživatel neposílá hodně zpráv, které jsou označovány za spam).

  6. A mnoho dalších.


Jak funguje e-mail

Pro lepší pochopení problematiky si nejdřív stručně popíšeme, jak funguje e-mail.

Vzorem k odeslání e-mailu je běžná pošta, kde papír s textem vložíte do obálky. Obálka obsahuje všechny důležité informace o doručení jako je adresa, PSČ, priorita dodání a další informace.


Obdobně je to u elektronické pošty. E-mail se skládá z hlavičky (tzv. obálky) a samotné zprávy. Hlavičku si můžete zobrazit v Gmailu u každé zprávy, pokud kliknete na tři tečky a zvolíte Zobrazit originál.


Na začátku je vždy odesílatel, který ve svém poštovním programu, např. v Gmailu (MUA, Mail User Agent) napíše text e-mailu a přidá adresáty. Gmail je zároveň i e-mailový server (MSA, Mail Submission Agent), který zkontroluje chyby a přesune ho na stejném serveru k rozeslání (MTA, Mail Transfer Agent). Pro odeslání se používá protokol SMTP (Simple Mail Transfer Protocol), který e-mail doručí adresátovi. Protokol byl v době návrhu schopen doručit zprávu přímo na server adresáta, to ovšem bylo v době, kdy v celosvětové sítí internet nebylo tolik zařízení.


MTA podle adresy cílového uživatele zjistí, kam má e-mail předat. Orientuje se podle doménové části e-mailové adresy (za znakem zavináč) a typicky podle MX záznamů v DNS domény příjemce. Postupně se e-mail posílá mezi MTA servery, až dorazí do místa doručení. Když je e-mail doručen na cílový počítač (s poštovní schránkou uživatele), je předán od MTA k MDA (Mail Delivery Agent), který zapíše e-mail do příchozí složky elektronické pošty příslušného uživatele (např. zase může být Gmail).



V základu nemá protokol SMTP autentifikaci a e-mail je zasílán v čitelné ASCII podobě (přílohy se pak pro přenos kódují pomocí base64). Zjednodušeně řečeno toto umožňuje, aby mohl kdokoliv poslat e-mail z jakékoliv e-mailové adresy (a předstírat tak, že je někým jiným). Pro spammery tak stačí připojit svůj SMTP server k internetu nebo najít nějaký volný server (tzv. Open Mail Relay), připojit se k němu vzdáleně a poslat příkazy, které mají za cíl, aby e-mail vypadal tak, jako že je poslán pod vaší doménou a odeslat ho.


Jak správně nastavit Google Workspace

Jak jsme dokázali, není tak složité odesílat e-maily pod cizí doménou. Pokud se tak stane, může být vaše doména identifikovaná jako doména rozesílající spam. Pak i vaše e-maily z Gmailu mohou být u adresátů označovány jako spam.


Jak se bránit, aby vaše e-maily nepadaly do spamu, resp. aby bylo zajištěno, že jsou skutečně od vás? Existuje tzv. „svatá“ trojice nastavení, která vám s tím pomůže.


Krok 1: SPF

Jedním z prvních nastavení je tzv. SPF záznam (Sender Policy Framework). Ten popisuje, jaké e-mailové servery mají dovoleno posílat e-maily z vaší domény. Nastavuje se jako TXT záznam v DNS. Do záznamu se uvádí IP adresa, nebo internetová adresa serveru. Záznam SPF by měl být vždy pouze jeden. Takže pokud už nějaký v DNS máte, místo přidání upravte ten stávající. Aktivace a zpropagování může trvat až 24 hodin (záleží na nastavení tzv. TTL parametru).

Záznam se interpretuje zleva do prava. Pro Gmail doporučujeme nastavit takto:

Pozor! SPF záznam je nutné udržovat validní! Existuje řada chyb, které můžete udělat. Mezi nejčastější patří:

  1. máte více než 1 SPF záznam

  2. máte příliš mnoho vnořených volání (max. povolených je 10)

  3. nemáte uvedený ten správný nástroj

  4. pokud používáte pro různé služby i subdomény, je potřeba mít SPF záznam správně i pro subdomény

  5. pokud používáte další služby na posílání e-mailů (např. Mailchimp, CRM, další e-mail server, chytrou tiskárnu, skener), tak je nutné zadat všechny další zdroje.


Otestování správnosti nastavení si můžete vyzkoušet pomocí dostupných online nástrojů (např. DMARCIAN SPF Record Check) nebo přímo u Google


U SPF záznamu je nutné zmínit ještě jednu “záludnost”. Podle standardu se ověřuje na tzv. Return-path adrese, což může být jiná adresa, než je uvedená ve From:. Pokud byste se spoléhali jen na SPF ochranu vaší domény, tak to bohužel nestačí, útočníkům by stačilo si založit SPF na jakékoliv doméně a tu použít v tzv. Return-path adrese, aby tuto kontrolu obešli.

Krok 2: DKIM

Další úrovní zabezpečení je DKIM (A Domain Keys Identified Mail).


Každý odeslaný e-mail je digitálně podepsán vaším privátním šifrovacím klíčem. Princip je následující: při odesílání se vezmou vybrané části zprávy, z nich se spočítá kontrolní součet a tento součet (tzv. hash) se podepíše (zašifruje) vaším privátním klíčem. Takto zašifrovaný kód se přidá do hlavičky každého odeslaného e-mailu.

Příchozí server si z DNS záznamu (určený doménou DKIM podpisu) stáhne veřejný klíč, pomocí kterého rozšifruje váš podpis (a tím získá původní hash). Z obsahu zprávy spočítá stejným způsobem svůj kontrolní součet a pak porovná, jestli je shodný s tím, který přišel v DKIM hlavičce. Pokud se shodují, je jistota, že se ty části zprávy, které byly použité pro výpočet hash kódu, během cesty nezměnily.


DKIM podpis je extrémně důležitým faktorem ve vyhodnocování reputace. Protože je přímo spojený s vaší doménou a mnohem hůře zneužitelný.


Nastavení DKIM provedete z Google Admin konzole, kde vám Google připraví tento veřejný klíč, který poté vložíte do DNS záznamu jako TXT. Podrobný návod najdete v Nápovědě Google Admin nástroje, nebo se nám můžete ozvat.


Opět drobnou záludností DKIM je, že v doméně klíče (parametr d=) může být uvedená libovolná doména, takže potenciální útočník může poslat e-mail z vaší domény, ale podepsat ho svým klíčem - z hlediska DKIM standardu bude taková zpráva považována za autentickou.


Krok 3: DMARC

Posledním krokem je nastavení tzv. DMARC (Domain-based Message Authentication, Reporting & Conformance). Jde o technickou specifikaci pro snížení zneužívání e-mailových serverů. Pomáhá totiž odesílatelům pošty (tedy vám!) určit, jak se mají přijímací servery zachovat k e-mailům, které nesplňují SPF či DKIM ochranu vaší domény. Pro připomenutí: SPF říká, jaké IP adresy serverů mohou odesílat zprávu za danou doménu (v našem případě Google, případně jiné externí služby). DKIM stvrzuje, že obsah e-mailu je důvěryhodný a nebyl během doručení dodatečně upraven. DMARC pak využívá získaných dat a shrnuje, co se má stát se zprávou, pokud je nějakým způsobem podezřelá. Aby zpráva vyhověla pravidlům DMARC, musí být buď shoda domény v SPF záznamu nebo v DKIM (stačí jedna z nich).


V praxi je toto jeden z nejcennějších nástrojů, protože vám umožní jednak kontrolovat, co se má stát s e-maily, které jste neposlali a navíc ještě dostanete reporty o tom, co si příjemci o vaší doméně myslí (tj. kolik e-mailů doručujete a jak vyhovují DMARC standardům). Navíc DMARC je jediným standardem, který je vázán přímo na doménu From: - a tím pádem je technicky jediným nástrojem, který dokáže opravdu zajistit ochranu vaší domény.


DMARC záznam se opět nastavuje jako TXT záznam v DNS záznamu. Mezi povinné nastavení patří druh záznamu (v) a pak nastavení politiky (p).

  • p=none – jen reporting, žádné omezení doručitelnosti

  • p=quarantine – pokud zpráva nevyhovuje, bude doručena do SPAMu

  • p=reject – pokud zpráva nevyhovuje, bude odmítnuta


Dále ještě doporučujeme nastavit e-mail, kam se budou odesílat denní reporty (rua). Jako e-mail lze použít i Google Skupinu s povoleným zasíláním zpráv od příjemců mimo doménu. Existuje řada služeb, které je dokáží vizualizovat, abyste z nich měli ten pravý užitek.


Při nastavování DMARC nicméně doporučujeme začít s p=none a nejprve sledovat, jestli máte všechno správně nastavené - pokud byste totiž začali na vyšší úrovni ochrany a neměli správně nastavené SPF a DKIM záznamy pro všechny vaše e-mailové kanály, tak byste si mohli paradoxně uškodit (protože by část vaší e-mailové komunikace nebyla doručována).


Závěr

Tato tři nastavení (SPF, DKIM a DMARC) vám účinně pomohou ochránit vaši doménu a efekt by se měl dostavit do několika týdnů.


Pokud potřebujete s nastavením pomoct a nechcete riskovat chyby, které mohou mít vliv na doručitelnost e-mailů, ozvěte se nám na ahoj@appsatori.eu. Jako certifikovaný Google Cloud partner vám rádi pomůžeme.

Blog