Amikor először bekerültek a köztudatba az SPF és a DKIM fogalmak már írtunk arról a blogban, hogy hogyan érnek célba az emailek. Ha abszolút nem tudod, mit jelentenek ezek a fogalmak, érdemes előbb azt a cikket elolvasnod.
Az elmúlt időszakban sokat szigorodtak az email küldési szabályok a legtöbb szolgáltatónál, leginkább a Gmailnél, ezért újra elővettük ezt a témát. Részletesen összefoglaljuk, hogyan kell beállítani az SPF-et és a DKIM-et, hogy minél több emailed célba érjen, ne spam mappában landoljanak és ne kerüljenek kiszűrésre.
Nem állítjuk, hogy ez a téma mindenkinek elsőre egyértelmű lesz, de igyekszünk lépésről lépésre segíteni. Kutyafuttában ne állj neki a beállításoknak, mivel ha valamit rosszul állítasz be, könnyen lehet, hogy egyáltalán nem fognak megérkezni a leveleid a címzettekhez.
SPF rekord beállítása
Az SPF rekord (Sender Policy Framework) egy mondatban összefoglalva arra való, hogy megmondja, hogy milyen IP címmel rendelkező szerverek küldhetnek egy adott domainhez kapcsolódó email címekről emaileket. Az SPF rekord egy TXT típusú rekord, amit a domain DNS zónája tartalmaz. A TXT rekord attribútumait úgy kell felépíteni, hogy a protokoll követelményeinek megfeleljenek.
Hol kezelik a domained zónáját?
Ebben a cikkben minden beállítás az Unas rendszerben kezelt domainekre vonatkozik. Ha nálunk regisztráltad a domainedet vagy átregisztráltad hozzánk és van aktív tárhely előfizetésed, akkor ezeket a beállítások saját kezűleg meg tudod csinálni, illetve több közülük eleve automatikus. Ha más szolgáltató kezelésében van a domained, akkor ott kell az egyes beállításokat elvégezned. Ha erre ott nincs megfelelő lehetőséged, regisztráld át a domaint hozzánk!
Az SPF rekord a protokoll definiálásával kezdődik, rendszerint v=spf1. Utána következik az IP címek felsorolása ip4: vagy ip6: előtaggal. Mivel az IP címek száma limitálva van, ezért azoknál a szolgáltatóknál ahol rengeteg szerver üzemel, egy címet szoktak megadni, ami tartalmazza a szolgáltató által használt összes IP címet. Ezt include: előtaggal kell beletenni a rekordba (Unas esetén: include:spf.unas.eu). Javarészt a rekord ~all vagy -all attribútummal zárul. Amennyiben olyan IP címről érkezik az email, ami nincs benne az SPF rekordban, az előbbi lágy hibát (softfail) jelent a fogadó fél szempontjából, utóbbi pedig egyértelmű hibát (fail). Szolgáltatónként eltérő, hogy itt miként járnak el. Manapság egyre gyakoribb, hogy már lágy SPF hiba esetén is kiszűrik az emaileket. Azt azért láthatod te is, hogy még az is jobb, ha nincs SPF rekordod egyáltalán, minthogy olyan IP címekről levelezel, ami nincs benne az egyébként létező SPF rekordban. Természetesen ezeken felül még vannak használható attribútumok, amiket itt most nem tárgyalunk.
Mit kell tenned, ha az Unasnál van minden szolgáltatásod?
Ha a webáruházad és a domained is az Unas kezelésében van és nem küldesz más szerveren keresztül emailt, akkor semmi teendőd nincs. A domained zónája már tartalmazza az SPF rekordot, benne az Unas szerverekkel. Ha a domaint mi kezeljük, de például külső hírlevél küldőt használsz, akkor annak a szerver IP címeit is be kell venned az SPF rekordba. A tárhelyed adminisztrációs felületén a Domain / DNS zóna módosítás menüben módosíthatod a rekordot.
Teendő külső domain szolgáltató esetén
Ha máshol kezelik a domainedet, onnan is küldesz emaileket, illetve a webáruházból is ugyanarról az email címről mennek ki az értesítő emailek, akkor a szolgáltató levelezőszerverén kívül bele kell venned az Unas szervereket tartalmazó include:spf.unas.eu részt is. Ezt általában valamilyen adminisztrációs felületen teheted meg, amit a szolgáltatód biztosít.
Nézzünk egy példát SPF rekordra
Tegyük fel hogy egy másik szolgáltatónál van a domained, akinek egy SMTP szervere van, amin keresztül a levelező kliensedből küldöd ki az emaileket. Ezen kívül a webáruházadban is ugyanezt az email címet használod. Ez esetben az email címhez tartozó domain zónájában az alábbihoz hasonló TXT rekordnak kell szerepelni:
v=spf1 ip4:192.168.0.1 include:spf.unas.eu ~all
Ellenőrizd is! Sokféle eszköz létezik, amivel a DNS rekordokat ellenőrizni lehet. Ilyen például az MXToolbox SPF ellenőrzője. Itt megadhatod az email címedhez kapcsolódó domain nevet és az alkalmazás elemzi a hozzá tartozó SPF rekord tartalmát.
DKIM beállítások
A DKIM protokoll (DomainKeys Identified Mail) arra hivatott, hogy vele emaileket lehessen aláírni, ami garantálja, hogy a megfelelő jogosultsággal rendelkező feladó küldte és azt menet közben nem módosították. Beállítása némiképp bonyolultabb, mint az SPF esetén. DKIM esetén két kulcsra van szükség, egy publikus és egy privát kulcsra. A publikus kulcs kerül bele a domain DNS zónájába, a privát kulccsal pedig az email aláírása történik meg. Látható, hogy az SPF-fel ellentétben itt a feladó szervernek is van feladata, küldéskor az email fejlécébe kell elhelyezze a digitális aláírást, aminek érvényességét a fogadó fél szervere a publikus kulccsal ellenőriz.
Publikus és privát kulcs generálása
A kulcsok generálása itt is szolgáltatófüggő, más és más felületeket adnak erre. Az Unas rendszerben a domainhez tartozó tárhely adminisztráció felületére belépve a Domain / Domain, Alias menüben, az email címhez tartozó domain sorában a Módosít gombra kattintva kapcsolható be a DKIM aláírás.
Ha itt bekapcsolod az Emailek automatikus DKIM aláírása ennél a domainnél opciót, akkor a DNS zónában automatikusan létrejön a DKIM-hez szükséges rekord a publikus kulccsal. A fenti képen láthatod az SPF sora alatt. Formátumát tekintve itt is a v=DKIM1 protokoll megjelöléssel indul a TXT rekord. Utána a hash függvény típusa h=sha256 és a titkosító algoritmus definíciója következik k=rsa. A sort maga a publikus kulcs zárja p=... előtaggal.
Létrejön továbbá automatikusan a privát kulcs is, amit frissítés után a domain listában található DKIM Private key gomb megnyomásával vagy módosítás menüben a privát kulcs alatt található Letöltés gombbal menthetsz el magadnak.
Emailek digitális aláírása
Ha a fentieket beállítottad és a webtárhelyhez tartozó SMTP szervert használod küldésre, akkor a rendszer automatikusan alá fogja írni az emaileket az előzőleg generált kulcsokkal. Ha más levelezőszervert nem használsz, akkor egyéb teendőd nincs is. Azonban ha használsz hírlevél küldő rendszert vagy például Unas webáruházat üzemeltetsz, további beállításokra lesz szükséged, hiszen ezek a rendszerek a nevedben küldenek ki emaileket, amelyeket szintén alá kell írni.
Itt már tudod, hogy milyen problémák lehetnek, ha egy fogadó szerver olyan emailt kap tőled, ami nincs aláírva, pedig a domain zónájában van publikus kulcs vagy esetleg más privát kulccsal van aláírva, ami nem stimmel a publikus kulcshoz. A DKIM megléte még nem olyan szigorú követelmény, mint az SPF, tehát amiatt kevesebb rendszer minősíti spamnek, ha nem használsz DKIM-et. Viszont idővel már ez is feltétele lesz annak, hogy az emailek biztonságosan célba érjenek. Nem mellesleg más sem fog tudni emaileket küldeni a nevedben, ha megfelelően használod a DKIM-et.
Unas webáruház értesítéseinek aláírása
Unas webáruház használata esetén alapvetően két megoldás létezik az automatikusan kiküldött értesítő emailek DKIM aláírására. A Beállítások / Alapbeállítások / Működés menü alján találod a kapcsolódó beállításokat. Ha a saját levelezőrendszered SMTP szerverét szeretnéd használni, ami képes DKIM aláírásra, akkor itt adhatod meg az autentikációs adatokat.
Mi azonban a második megoldást javasoljuk, mivel ilyenkor az Unas webáruház rendszerhez tartozó robusztus, elosztott levelezőrendszer fogja kiküldeni az értesítőket, ami alá is fogja írni az emaileket az itt beállított privát kulccsal. Ha az előbbi lépéseket megcsináltad, akkor már lementetted a privát kulcsodat egy fájlba. Az első mezőben meg kell adnod a selectort, ami a rendszerünkben működő email címeknél unas lesz. Más szolgáltatónál generált kulcsok esetén az adott szolgáltatótól kapod meg a kérdéses értéket. A passpharse mezőt üresen hagyhatod, alá pedig írd be a domain nevedet. A legalsó mezőben töltsd fel a privát kulcsodat. Más szolgáltató esetén szintén tőlük kaphatod meg a kulcsot. Ha mindent jól csináltál, akkor ezentúl DKIM aláírással mennek ki az Unas rendszerből is a visszaigazoló emailek.
Miért rossz ötlet az email továbbító
Amikor SPF és DKIM kerül szóba, mindig érdemes megemlíteni az email továbbítókat is. Korábban írtunk már róla, hogy miért jelenti ez a két protokoll az email továbbítók halálát.
Gondolj csak bele: kapsz valakitől egy emailt, amit automatikusan továbbítasz, mondjuk a gmailes címedre. A Gmail rendszere a te levelezőszerveredről kapja majd az emailt, az eredeti feladótól. Az eredeti küldő SPF rekordjába biztosan nincs benne a te levelezőszervered IP címe, ezért máris SPF hiba miatt kiszűrésre fog kerülni az email a Gmailnél. A másik probléma, hogy a továbbító szerver kiegészíti az email fejlécét a saját adataival, így a DKIM aláírás sem lesz már helyes, ami további ok a kiszűrésre.
Ezekből látszik, hogy ha automatikus email továbbítót állítasz be, az nem fog jól működni például a Gmail felé, ráadásul a sok hibás küldéssel a levelezőszerverek IP címét is degradálod vele. Ha mindenképpen látni szeretnéd a Gmailben is a beérkezett leveleket, használj POP3-as áttöltést, bár ez nem üzleti célú megoldás. A Google Workspace szolgáltatással oldhatod meg, hogy a teljes levelezésed a Gmail rendszerében üzemeljen, de mégis saját domainnel. Kapaszkodj meg! Ilyenkor a Google szervereit is be kell venned az SPF rekordodba.
További segítség az Unas webáruházaknak
Ha Unas webáruházat használsz, biztosan találkoztál már figyelmeztetésekkel az adminisztrációs felületen, az oldal felső részében található háromszögnél. Ezentúl ellenőrizzük, hogy megfelelő SPF beállításokkal rendelkezik-e a domain, amiről az értesítő emailek kimennek a vásárlóknak. Ha a domainhez nem tartozik SPF rekord vagy hiányos és nem tartalmazza az Unas szervereket, akkor az alábbi figyelmeztetést fogod kapni. Ha megfelelően beállítod, akkor a figyelmeztetés 1-2 napon belül eltűnik.
Mikor gyere az ügyfélszolgálatra?
Naponta jönnek ügyfelek az ügyfélszolgálatunkra azzal, hogy nem érkeznek meg az emailek a webáruházból a vásárlóknak. Az esetek 99%-ban a leírt dolgokkal összefüggésben van a probléma. Javarészt külső szolgáltatónál kezelt domaineknél hiányzik az Unas SPF vagy más hibás beállítás miatt kerül kiszűrésre az email. Az ügyfélszolgálaton szívesen segítenek a munkatársak, azonban először azt fogják kérdezni, hogy az SPF és a DKIM rendben be van-e állítva. Azért készítettük a fenti részletes leírást, hogy erre biztonsággal tudj válaszolni.
