Takaisin muihin artikkeleihin

SPF, DKIM ja DMARC – Sähköpostin toimitettavuuden ja tietoturvan kulmakivet

SPF, DKIM ja DMARC – Sähköpostin toimitettavuus kuntoon - SPF, DKIM ja DMARC – Sähköpostin toimitettavuuden ja tietoturvan kulmakivet

SPF, DKIM, DMARC ja BIMI ovat teknologioita, jotka parantavat sähköpostien läpikulkua vastaanottajan sähköpostilaatikkoon ja suojaavat verkkotunnustasi väärinkäytöksiltä. Roskapostisuodattimet kehittyvät jatkuvasti, ja sähköpostin todentamisen vaatimukset ovat kiristyneet merkittävästi viime vuosina.

Tässä artikkelissa käymme läpi, mitä seuraavat lyhenteet tarkoittavat ja miksi ne ovat kriittisiä:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication Reporting and Conformance)
  • BIMI (Brand Indicator Message Identification)

Huom! Tuonetti:n webhotelleissa SPF-, DKIM- ja DMARC-asetukset ovat usein automaattisesti valmiina tai helposti käyttöönotettavissa.

Isot sähköpostipalvelut määrittävät säännöt

Valtaosa maailman sähköpostiliikenteestä kulkee Googlen Gmailin ja Microsoftin Outlookin kautta. Nämä toimijat ovat asettaneet tiukat säännöt sille, millaiset viestit pääsevät perille.

Erityisesti helmikuusta 2024 alkaen Google ja Yahoo ovat vaatineet, että massapostittajilla (yli 5000 viestiä päivässä) on oltava SPF, DKIM ja DMARC kunnossa. Jos nämä puuttuvat, viestit päätyvät roskapostiin tai ne hylätään kokonaan.

Mitä SPF, DKIM ja DMARC tekevät?

Lyhyesti sanottuna SPF, DKIM, DMARC ja BIMI pyrkivät todentamaan sähköpostin lähettäjän aitouden. Niillä estetään identiteettivarkauksia ja sähköpostin väärentämistä (spoofing). Jos domainisi asetukset ovat puutteelliset, vastaanottava palvelin voi estää viestiliikenteen kokonaan suojellakseen käyttäjiään.

Tietueiden päivitys DNS-hallinnassa

SPF, DKIM, DMARC ja BIMI ovat DNS-tietueita (DNS Record). Näiden käyttöönottoa varten tarvitset pääsyn verkkotunnuksesi nimipalvelimen (DNS) hallintaan. Virheellinen tietue voi katkaista sähköpostiliikenteen, joten suosittelemme olemaan yhteydessä palveluntarjoajaanne, jos olette epävarmoja.

SPF-tietue (Sender Policy Framework)

SPF-tietue kertoo, mitkä palvelimet (IP-osoitteet) ovat valtuutettuja lähettämään sähköpostia sinun domainisi nimissä. Tähän listataan yleensä oman sähköpostipalveluntarjoajan palvelimet sekä mahdolliset uutiskirjetyökalut.

Esimerkki SPF-tietueesta:

v=spf1 include:_spf.google.com include:amazonses.com ~all

  • DNS-tyyppi: TXT
  • Sisältö: Alkaa aina v=spf1
  • Include: Listataan sallitut palvelut, tässä esimerkissä Google Workspace ja Amazon SES.
  • Rajoitus: Lopussa oleva tagi määrittää tiukkuuden:
    • -all (Fail): Tiukka esto. Vain listatut saavat lähettää, muut hylätään.
    • ~all (SoftFail): Yleisin asetus. Muualta tulevat viestit merkitään epäilyttäviksi, mutta ne voivat päästä läpi (usein roskapostikansioon).

DKIM-tietue (DomainKeys Identified Mail)

DKIM-tietue lisää sähköpostiviestiin digitaalisen allekirjoituksen. Tämä varmistaa kaksi asiaa: lähettäjän aitouden ja viestin eheyden. DKIM:n avulla vastaanottaja tietää, että viestiä ei ole muokattu matkan varrella.

DKIM perustuu avainpariin: yksityinen avain on palvelimella ja allekirjoittaa viestit, kun taas julkinen avain julkaistaan DNS-tietueessa, jotta vastaanottaja voi tarkistaa allekirjoituksen.

Esimerkki DKIM-tietueesta:

v=DKIM1; k=rsa; p=MxxxxxxxxjANBxxxxxxxx...

  • DNS-tyyppi: TXT (Usein ali-domainissa, esim. google._domainkey)
  • k=rsa: Salausalgoritmi. Nykyään suositellaan vähintään 2048-bittistä avainta.
  • p=...: Julkinen avain (Public Key).

DMARC-tietue sitoo kaiken yhteen

DMARC (Domain-based Message Authentication Reporting and Conformance) on nykyaikaisen sähköpostiturvallisuuden johtaja. Se hyödyntää SPF- ja DKIM-tarkistuksia ja kertoo vastaanottajalle, mitä tehdä, jos tarkistukset epäonnistuvat.

Ilman DMARC-tietuetta vastaanottaja joutuu arvaamaan, onko väärennetty viesti syytä hylätä vai ei. DMARC mahdollistaa myös raporttien saamisen, jolloin näet, kuka lähettää postia nimissäsi.

Esimerkki DMARC-tietueesta:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

  • DNS-tyyppi: TXT (ali-domainissa _dmarc)
  • p (Policy): Toimintatapa virhetilanteissa:
    • p=none: Vain raportointi, ei toimenpiteitä. Hyvä käyttöönottovaiheessa.
    • p=quarantine: Ohjaa epäonnistuneet viestit roskapostiin.
    • p=reject: Hylkää viestit kokonaan. Tämä on tavoitetila parhaan tietoturvan saavuttamiseksi.
  • rua: Sähköpostiosoite, johon XML-muotoiset raportit lähetetään.

BIMI – Logo sähköpostiin (Edistynyt ominaisuus)

BIMI (Brand Indicator Message Identification) on standardi, joka mahdollistaa yrityksen logon näyttämisen sähköpostiohjelmassa viestin vieressä. Tämä lisää luottamusta ja brändinäkyvyyttä.

BIMI:n käyttöönotto on kuitenkin vaativampaa kuin muiden tietueiden:

  1. DMARC-käytännön on oltava p=reject tai p=quarantine.
  2. Logon on oltava SVG Tiny PS -muodossa.
  3. Useat palvelut (kuten Gmail) vaativat maksullisen VMC-sertifikaatin (Verified Mark Certificate) logon näyttämiseksi. VMC:n myöntävät tahot kuten DigiCert tai Entrust, ja se vaatii tavaramerkin rekisteröintiä.

Lisätietoa BIMI-standardista löydät BIMI Groupin sivuilta.

Yhteenveto: Miksi SPF, DKIM ja DMARC ovat pakollisia?

SPF, DKIM ja DMARC eivät ole enää vain "hifistelyä", vaan sähköpostiviestinnän perusvaatimus. Jos yrityksesi sähköpostit ovat tärkeitä, näiden asetusten on oltava kunnossa. Modernit palveluntarjoajat, kuten Tuonetti tai Google Workspace, auttavat näiden asetusten hallinnassa.

Muista kuitenkin, että tekniset tietueet eivät yksin takaa perillepääsyä, jos itse viestin sisältö on roskapostimaista tai lähettäjän IP-osoitteen maine on huono.

FAQ

Usein kysytyt kysymykset

Mikä on SPF-tietue?

SPF (Sender Policy Framework) on DNS-tietue, joka listaa kaikki ne palvelimet ja IP-osoitteet, joilla on lupa lähettää sähköpostia kyseisen verkkotunnuksen nimissä. Se estää muita palvelimia väärentämästä lähettäjätietoja.

Ota yhteyttä

Valitse verkkokumppani, joka ymmärtää suomalaisia pk-yrityksiä ja tarjoaa yritysarkea helpottavia ratkaisuja kustannustehokkaaseen hintaan.