Kuidas kontrollida väljuva e-posti SPF+DKIM+DMARC toimimist?

E-posti saatja tuvastamine muutub spämmiga võitlemise tõttu üha olulisemaks ning tehniline lahendus on “paneme domeenile ranged SPF+DKIM+DMARC reeglid peale, välistame võõrastel meie nimel kirjade saatmise ja kõik on jälle hästi”.

Kuidas aga kontrollida, et lisatu tõesti toimib ning kõik saadetud kirjad kohale jõuavad?

Hästi lühidalt: kõik kolm on DNSi ehk domeeni nimeserverisse lisatavad kirjed. SPF on nimekiri serveritest, mis tohivad sinu domeeninimega e-posti saata. DKIM lisab väljuvale e-postile digitempli, mis võimaldab vastuvõtjal kontrollida saatja õigust domeeni nimel posti saata. DMARC kinnitab, et SPF ja/või DKIM on kasutusel ning võimaldab tellida raporteid väärkasutuse või reeglitele mitte vastavate kirjade kohta.

Üsna lihtne on mõni e-posti saatmise kanal ära unustada ja tekitada olukord, kus osa varem saadetud kirjadest spämmiks loetakse. Sageli on korraga kasutusel veebimeil, e-postiprogrammid arvutis ja mobiilseadmes – aga kirju võivad meie nimel saata veel ka:

• automaatvastajad, kirjade edastajad, myyk@ või info@ postigrupid
• e-posti-turunduse lahendus (nt Mailchimp, Mailbow, Sendsmaily)
• majandustarkvara pilves (nt Erply, Directo) või kasutaja arvutis
• kliendisuhtlusega seotud tarkvara (nt Pipedrive, Kayako, Zendesk, Intercom)
• veebiserver (nt kontaktivorm või e-poe ostukinnitused)
• tootmislahendused, kliimaseadme monitooring jne

Väga mugav lahendus testimiseks on mail-tester.com – lehe külastamisel kuvatakse sulle unikaalne aadress, saates sinna test-kirja saad tulemuseks hinde ja selgitused:

Kui midagi 10/10 tulemusest puudu jääb, kuvatakse selgitust ja soovitusi.

Nii näeb näiteks välja tulemus, kui saatja tuvastamist võimaldavad kirjed on seadistamata ning skoor 7/10:

Aga proovime teistpidi, lisame domeenile soovitatud SPFi ja saadame kirja välja ühest mujal asuvast arvutist – näiteks on raamatupidaja “palgaprogramm” või Outlook seadistatud kasutama internetiühenduse pakkuja postiserverit, müügimehed saadavad pakkumisi välja läbi teenusepakkuja serveris töötava veebipõhise CRM-tarkvara vms:

Nagu näha, on olukord muutunud raamatupidaja või müügimehe jaoks hullemaks ja see on ka põhjus, miks me ei saa, taha ega tohi “jõuga” kõigile klientidele SPF’i lisada – küll aga tegime selle ise lisamise võimalikult lihtsaks ning aitasime mail-tester.com eestindada.

Tegevusplaan võiks olla selline:

1. tee nimekiri kõigist lahendustest, mis võivad sinu domeeni nimel posti saata – milline SMTP-server on kasutajate arvutites-telefonides seadistatud, millist tarkvara nad veel kasutavad (küsi kõigil, ka laomehelt), kontaktivormid veebis, uudiskiri, e-pood jne
2. kui tundub, et kõik kasutavad Zone servereid – siis võid SPF+DKIM+DMARC toed sisse lülitada ja asuda umbes veerand tunni pärast testima (selle aja peale peaksid kõik Zone nimeserverid andma sama tulemust)
3. kui kasutad ka muid teenuseid, siis uuri nende käest järgi soovituslik SPF kirjele lisatav IP-aadress või “include:” ning kohanda SPF-kirjet vastavalt, DKIM lubamisel arvesta, et see puudutab ainult Zone serverite kaudu saadetavaid kirju
4. TESTI – võta mail-tester.com pealt test-aadress ning saada sinna kiri oma Outlook’ist või Mail’ist. Kontrolli tulemust. Saada mobiilist (võid kasutada sama aadressi või genereerida uue – lehte värksendades näed alati viimati saadetud kirja tulemust). Tee oma e-poest proovitellimus registreerides kliendi test-eposti aadressiga. Lase laomehel saata üks saateleht, test-aadressile mõistagi. Jne.

Kui mõni saatja ei sobi, siis kohenda SPF-kirjet. Selle sisu formaat on väga lihtne, näiteks lisades MailChimpi serverid ja ühe konkreetse IP:

v=spf1 a mx include:_spf.zone.eu include:servers.mcsv.net ip4:xxx.xxx.xxx.xxx ~all

• v=spf1 – SPF-kirje tunnus
• a – saatmine lubatud kõigilt domeenis A-kirjet omavatelt IP-aadressidelt
• mx – saatmine lubatud kõigist domeeni posti-serveritest
• include:_spf.zone.eu – saatmine lubatud kõigist Zone Media serveritest
• include:servers.mcsv.net – saatmine lubatud MailChimpi serveritest
• ip4:xxx.xxx.xxx.xxx – saatmine lubatud IP-aadressilt xxx.xxx.xxx.xxx
• ~all – kõik ülejäänud aadressid ei ole otseselt keelatud

Kui oled täiesti kindel, et kogu väljuv post kasutab ainult SPF-kirjes olevaid aadresse, võid ~all asemele panna ka -all – see ütleb üheselt, et nimekirjas mitte olevatest serveritest tulev post tuleks spämmiks lugeda. Enne SPF (ja DMARC) kirjete rangemaks keeramist tuleks aga ette võtta DMARC pakutav võimalus koguda raporteid domeeni nimel saadetava ja reeglitele mittevastava posti kohta ning siis liikuda edasi samm-haaval.

Zone serverite jaoks on SPF+DKIM+DMARC lisamine ja kohandamine lihtne, sisuliselt kolm klikki:

Olgu lisatud, et seadistused jõustuvad ca 15 minuti jooksul ning DKIM digitempel lisatakse veebimeilist ja Zone SMTP kaudu saadetavatele kirjadele, Pakett II ja III puhul ka veebiserverist saadetavatele. Teiste teenuste DKIM-kirjed saab lisada tavapärasel viisil ehk nimeserverite alt.