5.3.2022

SPF, DKIM & DMARC - 3 tapaa parantaa sähköpostin lähetystä

SPF, DKIM, DMARC ja jopa BIMI -tietueet parantavat sähköpostien läpikulkua vastaanottajan sähköpostilaatikkoon. Roskapostisuodattimet kehittyvät jatkuvalla menolla ja myös sähköpostin todentamisen ympärillä oleva teknologia muuttuu paremmaksi. Tässä artikkelissa avataan niistä seuraavia:

  • SPF (Sender Policy Framework)
  • DKIM (DomainKeys Identified Mail)
  • DMARC (Domain-based Message Authentication Reporting and Conformance)
  • BIMI (Brand Indicator Message Identification)

Huom! Tuonetti:n Webhotellissa SPF, DKIM ja DMARC -tietueet ovat automaattisesti päällä.

Isot pelurit määrittävät säännöt

Valtaosa maailman kaikesta sähköpostiliikenteestä kulkee Googlen Gmailin kautta. Microsoftin Outlook on myös toinen valtava toimia tässä pelissä. Kun nämä isot toimijat päättävät pelisäännöistä, pienten toimijoiden on poikkeuksetta toteltava, jotta sähköpostiviestit päätyvät varmasti sähköpostin inboxiin, eikä suoraan roskapostiin eli SPAM-kansioon.

SPF, DKIM, DMARC, BIMI -tietueet

SPF, DKIM, DMARC ja BIMI -tietueilla pyritään todentamaan sähköpostin lähettäjän aitoutta. Eli, niillä pyritään estämään sitä, että joku muu lähettäisi nimissäsi sähköpostia. Esimerkiksi Microsoftin sähköpostipalvelimet eivät välttämättä ota edes vastaan sähköposteja, joissa nämä tietueet puuttuvat. Tällaisessa tilanteessa sähköpostit eivät päädy edes roskapostiin vaan palvelin estää viestiliikenteen tapahtumasta kokonaan. Siksi on siis tärkeää, että SPF, DKIM ja DMARC -tietueet on asetettu oikein jokaiselle domainille, josta sähköpostia pyritään lähettämään.

Tietueiden päivitys

SPF, DKIM, DMARC ja BIMI ovat DNS tietueita (DNS Record). Eli näiden käyttöönottoa varten sinulla tulee olla pääsy domainisi DNS hallintaan. Huom! Virhe tietueiden päivityksessä voi pahimmillaan katkaista sähköpostiliikenteesi kokonaan. Suosittelemme olemaan yhteydessä palveluntarjoajaan, mikäli ette ole varmoja siitä mitä teette.

spf dkim dmarc bimi tietueet

SPF -tietue

SPF -tietue eli Sender Policy Framework -tietueen tehtävä on kertoa, mitkä palvelimet saavat lähettää sähköpostia sinun domainisi kautta. SPF -tietueeseen siis listataan kaikki eri palvelimet, josta saatat lähettää sähköpostia. Yleensä näitä sähköpostipalvelimia ei ole kuin yksi, mutta joissakin tapauksissa saatetaan käyttää erillistä palvelua tai palvelinta uutiskirjeiden lähettämiseen.

Esimerkki SPF -tietueesta, jolla sallitaan sähköpostien lähetys Googlen palvelimelta, sekä Amazonin palvelimelta.

v=spf1 include:_spf.google.com include:amazonses.com ~all

  • DNS tyyppi on TXT ilman mitään subdomain etuliitettä.
  • Tietueen sisältö alkaa v=spf1
  • Lisätään sallitut palvelimet include:esimerkkidomain.fi -tyyliin
  • Lopussa oleva all -tagi kertoo miten tiukka rajoitus tulee olla.
    • -all = fail. Täysi esto. Sähköpostit eivät kulje perille asti.
    • ~all = soft fail. Sähköpostit menevät läpi, mutta ne merkitään.
    • +all = salli kaikki. Sallii kaikki maailman palvelimet lähettämään postia tästä domainista.
SPF tietueen päivitys
Erimerkki SPF -tietueen asettamisesta.

DKIM -tietue

DKIM -tietue eli DomainKeys Identified Mail on SPF -tietueen tavalla myös protokolla, jolla voidaan varmentaa sähköpostin lähteen aitous. DKIM on kuitenkin parempi siinä mielessä, että se kestää yli viestin uudelleenlähetyksen. Tällä voidaan siis varmentaa, että alkuperäistä viestiä ei ole manipuloitu alkuperäisestä kun se välitetään eteenpäin.

DKIM on siis salattu avain sähköpostiviestin otsakkeessa, jonka avulla palvelin voi tarkistaa, että sähköposti on oikeasti lähetetty verkkotunnuksen eli domainin omistajalta.

Esimerkki DKIM -tietueesta

v=DKIM1; k=rsa; p=MxxxxxxxxjANBxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1Mk6xxxxxxxQIDxxxxxxAB

  • DNS tyyppi on TXT, joka saattaa sisältää subdomain etuliitteen google._domainkey tai default._domainkey, riippuen palveluntarjoajan asetuksista.
  • Tietueen sisältö alkaa v=DKIM1
  • Seuraavaksi määritetään k=rsa, jossa k tarkoittaa "key" eli avainta ja rsa:lla tarkoitetaan avaimen tyyppiä. RSA on yleisin, mutta saattaa vaihdella palveluntarjoajan mukaan.
  • p tarkoittaa Public Key:tä eli julkista osaa salatusta avaimesta. Yksityinen avain jää palvelimelle, jota vasten julkista avainta tarkistetaan.
  • DKIM -avain saadaan palveluntarjoajan palvelun kautta. Tuonetti:lla tämä on kytkettävissä päälle automaationa Webhotellin kautta. Google Workspace -palveluun kytkemme DKIM -tietueen päälle teidän puolesta.
DKIM tietue esimerkki
Esimerkki DKIM -tietueen asettamisesta.

DMARC -tietue

Domain-based Message Authentication Reporting and Conformance eli DMARC on tietue, joka lisää ohjeita ja raportoinnin jo olemassa oleville SPF ja DKIM -tietueille. Tämän tietueen avulla domainin omistaja voi saada tietoa siitä, että kuka muu pyrkii lähettämään viestejä teidän nimissä. DMARC kertoo siis vastaanottajalle, mitä heidän tulee tehdä kun DKIM tai SPF -tietueiden sääntöjä ei noudateta.

Esimerkki DMARC -tietueesta, joka siirtää DKIM ja SPF -tietueiden tarkistuksessa epäonnistuneet sähköpostit roskapostiin.

v=DMARC1; p=quarantine; rua=mailto:[email protected]

  • DNS tyyppi on TXT, joka sisältää subdomain etuliitteen _dmarc
  • Tietueen sisältö alkaa v=DMARC1
  • Seuraavaksi määritetään p eli Policy. Tämä kertoo, mitä tehdään kun SPF tai DKIM -tarkistus epäonnistuu.
    • p=none, Tarkistus tehdään, mutta mitään jatkotoimenpiteitä ei.
    • p=quarantine, Siirtää sähköpostin roskapostiin, mikäli se epäonnistuu DKIM ja SPF tarkistuksissa.
    • p=reject, Luvattomat postit eivät tule toimitetuksi lainkaan.
  • Lopuksi lisätään rua eli osoite, johon raportit epäonnistuneista toimituksista välitetään. Yleensä toinen sähköpostiosoite.
DMARC tietueen asettaminen
Esimerkki DMARC -tietueen asettamisesta.

BIMI -tietue (BONUS)

HUOM! Tämä osio saattaa sisältää vanhentunutta tietoa, sillä BIMI -tietueen implementaatiota kehitetään vielä paljon. Päivitämme osiota tasaisin väliajoin.

BIMI -tietue on hyvin uusi menetelmä, joka ei ole vielä kaikissa palveluissa käytössä. BIMI -tietueen asettaminen ei myöskään ole aivan itsestään selvää kuten aikaisemmat DKIM, SPF ja DMARC -tietueet.

Oikein asetettu BIMI -tietue esittää yrityksenne / organisaationne logon sähköpostisovelluksessa.

bimi tietue
Havainnekuva siitä, mitä BIMI -tietue tekee.

Esimerkki BIMI -tietueesta

v=BIMI1; l=https://tuonetti.fi/tuonetti.svg

  • DNS tyyppi on TXT, joka sisältää subdomain etuliitteen default._bimi
  • Tietueen sisältö alkaa v=BIMI1
  • l eli location kertoo logon sijainnin verkossa
    • Logo tulee olla SVG -muodossa, mutta mikä tahansa SVG -formaatti ei toimi vaan tiedoston tulee olla:
      • versio attribuutti tulee olla 1.2
      • baseProfile attribuutti tulee olla tiny-ps
      • tiedoston tulee sisältää <title> tagi
      • Tarkempina ohjeina suosittelemme lukemaan tämän artikkelin.

BIMI -tietue ei ole välttämätön, emmekä sitä oikeastaan suosittele ellette ole suurempi yritys, joka jakaa paljon sähköpostia. Esimerkiksi Google vaatii myös sertifikaatin, jotta logon saa näkyviin Gmailiin. Sertifikaatin saaminen vaatii, että teillä on kansainvälisesti tunnistettu tuotemerkki johon on liitetty logo. Tämän jälkeen logolle voi hakea sertifikaattia, joka maksaa tavanomaisesti noin tuhat euroa. Jotkin palveluntarjoajat näyttävät logonne sähköpostilaatikoissa myös ilman tätä.

Yhteenveto SPF, DKIM ja DMARC -tietueista

SPF, DKIM ja DMARC -tietueet yhdessä toimivat erittäin tehokkaasti taistelussa roskapostia vastaan. Googlen ja Microsoftin vaatimukset käyttää näitä tietueita saattaa tuntua teknisesti raskaalta, mutta lähes poikkeuksetta edellä mainitut tietueet on automaattisesti käytössä moderneilla palveluntarjoajilla. Viimeistään palveluntarjoajan asiakaspalvelun tulisi kyetä aktivoimaan kaikki tarvittavat tietueet teille. Mutta on kuitenkin hyvä ymmärtää mikä näiden tietueiden funktio on.

Huomaa kuitenkin, että itsessään SPF, DKIM ja DMARC -tietueet eivät riitä siihen, että sähköposti menisi aina poikkeuksetta postilaatikkoon asti. Esimerkiksi palvelimen IP-osoitteen maine vaikuttaa merkittävästi sähköpostin välitykseen. Olemassa on myös palveluita, jotka arvioivat eri domainien luotettavuutta. Samat palvelut saattavat asettaa domainin estolistalle, mikäli sieltä havaitaan tulevan paljon roskapostia.

Mikäli sähköpostien lähettäminen on tärkeässä keskiössä yrityksenne toiminnassa, suosittelemmekin käyttämään Google Workspace -palvelua sen luotettavuuden takia. Lue myös meidän aikaisempi artikkeli, jossa vertaamme mikä ero Webhotellien sähköpostin ja pilviratkaisun välillä on.

Kirjoittanut Tuomas
Yrittäjä @ Tuonetti