Anamnéza:
Emailová služba na seznam.cz zažívá převratné změny. Pro většinu vlastníků emailových účtu jsou tyto změny ke prospěchu, avšak pro eshopy a marketingové společnosti se změny stávají noční můrou. Nejenže seznam.cz nyní umí detekovat hromadné emaily a automaticky je dává uživateli do složky “Hromadné” (jenž většina uživatelů přehlíží a newslettery tak ztrácejí význam), ale že nyní k tomu i přidali kontrolu na úrovní zabezpečeného podpisu emailů pomocí DKIM, které je nutné pro hromadné emaily mít.
To, že seznam automaticky dává emaily do složky Hromadné, může ovlivnit pouze uživatel (a to tím, že email ze složky “Hromadné” přesune do doručených a pak by i všechny ostatní emaily daného odesílatele měly automaticky padat do složky “Doručené”), tak u problém s podpisem emailu musí zajistit sám odesílatel emailu.
Hodně jsem se divil, když při posílání posledního newsletteru z e-shopu nám zpět chodily zprávy o nedoručitelnosti emailů na účty u Seznam.cz. Nejedná se přitom pouze o účty na doméně @seznam.cz, ale i jeho přidružených domén, tedy i @email.cz, @post.cz a možná i dalších. Vždy to bylo zdůvodněno tím, že Massmail (tedy hromadný email) musí být podepsán DKIMem.
Diagnóza:
Anamnézu tedy již máme, zkusíme nyní diagnostikovat a ošetřit problém posílání hromadných emailů na emailové účty seznamu. Nejprve si vysvětlíme, co ten DKIM vůbec je, k čemu se používá, a proč jej implementoval seznam.cz do svého systému.
DKIM (DomainKeys Identified Mail) je technologie, která za pomocí asymetrického šifrování dokáže zaručit, že email tímto způsobem poslaný je po své cestě v internetu nezměněn a že opravu pochází z domény, kterou má ve své hlavičce určenou. Doručovateli tedy dává jistotu, že email nebyl poslán nikým jiným, jak se obvykle u hromadných emailů stává.
Tato jistota je zabezpečena privátním klíčem, který je umístěn pouze na serveru, ze kterého jsou odesílány emaily a pak veřejným klíčem, který pro ověření používají emailoví klienti. Ten je umístěn veřejně v záznamech DNS domén.
Na straně příjemce není třeba žádných nastavení, emailoví klienti jsou na tuto technologii připraveni a díky ní taktéž upravují své spamové filtry a emaily takto podepsané vyhodnocují jako ověřené a tudíž je zde nižší (avšak ne úplná) pravděpodobnost, že email skončí ve spamové složce (nebo jej dokonce úplně smaže). Navíc, většina klientů tyto maily zvýrazňuje určitým symbolem, že jsou od prověřeného odesílatele.
Z hlediska seznam.cz je to vhodná technika pro zabezpečení uživatelských účtů před množstvím spamů, které se na ně valí.
Vyléčení:
Informace tedy již máme, nyní si řekneme, jakým způsobem DKIM ve svých odesílaných emailech aktivovat.
Jak už jsem psal, jedná se o technologii, která používá privátní a veřejné klíče. Nebudu zde popisovat, jakým způsobem vytvořit tyto klíče, to je práce serverových techniků. Nám bude stačit vědět, že pro aktivaci této technologie na svém serveru stačí uvědomit administrátory serveru. Ti na server přidají privátní klíč pro generování a Vám pošlou veřejný klíč, který se pak musí dát do DNS záznamu, přesně do do TXT záznamu, který následně může vypadat nějak takto:
domena._domainkey IN TXT “v=DKIM1; t=s; k=rsa; p=djlkaQ/563156asdkljKLKLD7mks&k0$DFASffjlkhakljsf44”
Pro většinu eshopů bude stačit, když se na serveru nastaví pouze jedna, tzv. hlavní doména, která bude svým jménem (a svými klíči) podepisovat odeslané emaily. Například u VS hostingu mi to nastavili přímo na doménu serveru (jmeno.vshosting.cz) a sami také nastavili DNS záznamy.
U tohoto nastavení přímo na doménu serveru je třeba pouze zabezpečit, že na serveru, ze kterého jsou odesílány emaily, není nějaký “záškodník” web, jehož hlavní činností bude posílat hromané SPAMy v ohromném množství na všechny možné emaily. Musíme si uvědomit, že po nastavení je jakýkoliv email, odeslaný z tohoto serveru, přesně identifikovaný a zpětně se dá dohledat, kdo, kdy a jaký web či služba email zaslala a může se klidně stát, že se tato doména objeví na blacklistu a všechny tyto emaily najednou budou označeny jako spamové.
Pro ověření funkčnosti si po aktivaci zašlete nějaký email a v hlavičce emailu uvidíte např. toto:
Nyní je email zabezpečený a jsme si jistí, že je to opravdu ten odesílatel, za koho se email vydává. A to je přesně to, co seznam.cz vyžaduje.
Mám sám ověřeno, neboť po aktivaci na svém serveru a po spoštění odesílání newsletteru se mi již žádné emaily nevracely. (Ano, sice asi stále padají do složky “Hromadné”, ale s tím, jak už jsem psal, může něco udělat pouze uživatel emailové schránky)
Jen pro zajímavost, v hlavičce emailu je možné si všimnout i druhého zabezpečovacího mechanismu, který standardě používám a sice SPF. Je to další technologie na ověření emailu. Není však tak bezpečná a účinná, protože jen zjišťuje přijatý email jen na základě IP adresy a nedokáže tedy garantovat integritu emailu. O této technologii se rozepíšu někdy u příštího článku.