Hitelesítés (Authentication) — Az elemzés értelmezése
A Hitelesítés kategória a legfontosabb az e-mail kézbesíthetőség szempontjából: 25%-os súllyal számít az összesített pontszámba. Ez a három alap e-mail hitelesítési protokollon (SPF, DKIM, DMARC) alapul.
A Hitelesítés kategória áttekintése
A Hitelesítés kategória azt vizsgálja, hogy a küldő domain megfelelően azonosítja-e magát a fogadó szerver számára. Ez a három e-mail hitelesítési protokollon alapul: DKIM, DMARC és SPF. Ha ezek nincsenek beállítva, a leveled könnyen spam mappába kerülhet, vagy teljesen elutasíthatják.
Miért 25% a súlya? A Hitelesítés kategóriának van a legnagyobb súlya az összesített pontszámban, mert ez a legfontosabb jelzés a fogadó szerverek számára. A Gmail, Outlook és Yahoo 2024 februárja óta megköveteli az SPF, DKIM és DMARC beállítását a tömeges küldőktől. Hitelesítés nélkül a többi kategória hiába kiváló -- a leveleid nagy eséllyel nem érkeznek meg.
DKIM -- DomainKeys Identified Mail
A DKIM modul azt ellenőrzi, hogy az e-mail tartalmaz-e érvényes kriptográfiai aláírást. A küldő szerver egy privát kulccsal aláírja a levelet, a fogadó szerver pedig a DNS-ben közzétett nyilvános kulccsal ellenőrzi az aláírás érvényességét.
- Pontszám 0: Nem található DKIM aláírás a levélben. Ez azt jelenti, hogy a küldő szerver nem ír alá, vagy a DNS-ben nincs nyilvános kulcs publikálva.
- Pontszám 100: Érvényes DKIM aláírás, az aláírás domainje egyezik a feladó domainjével (alignment).
Miért kritikus? DKIM nélkül a fogadó szerver nem tudja bizonyítani, hogy a levél valóban a feladó domainjéről származik, és útközben nem módosult. A Gmail, Outlook és Yahoo 2024 februárja óta megköveteli a DKIM-et a tömeges küldőktől. Részletes beállítási útmutatót a DKIM aláírás cikkben találsz.
DMARC -- Domain-based Message Authentication, Reporting & Conformance
A DMARC modul ellenőrzi, hogy a domainnek van-e DMARC szabályzata a DNS-ben, és ha igen, milyen szintű védelmet nyújt. A DMARC az SPF és a DKIM eredményeit fogja össze, és megmondja a fogadó szervernek, mit tegyen, ha a hitelesítés sikertelen.
- Pontszám 0: Nincs DMARC rekord a DNS-ben. A domain teljesen védtelen a spoofing (hamisítás) ellen.
- Részleges pontszám: Van DMARC rekord, de a policy
none(csak megfigyelés, nincs valódi védelem). - Magas pontszám: A policy
quarantine(karanténba helyezés) vagyreject(elutasítás) -- valódi védelem a hamisítás ellen.
A DMARC szabályzat három szintje:
p=none-- Csak monitorozás, a fogadó szerver semmit nem tesz a sikertelen hitelesítés esetén. Hasznos kezdeti bevezetéskor, de nem véd.p=quarantine-- A sikertelen levelek a spam/karantén mappába kerülnek. Ajánlott köztes lépés.p=reject-- A sikertelen leveleket a szerver teljesen elutasítja. Ez a legmagasabb szintű védelem.
Tipp: A DMARC bevezetését mindig p=none értékkel kezdd, és aktiváld a jelentéseket (rua=mailto:...). Amikor a jelentések alapján meggyőződtél arról, hogy minden legitim forrás megfelel az SPF/DKIM ellenőrzésen, lépj tovább quarantine, majd reject szintre. Részletesen a DMARC szabályzat cikkben olvashatod.
SPF -- Sender Policy Framework
Az SPF modul a domain DNS-ében lévő SPF rekordot vizsgálja, amely meghatározza, mely szerverek jogosultak a domain nevében e-mailt küldeni.
- Pontszám 1.75 (nagyon alacsony): Az SPF rekord létezik, de a konfiguráció nem optimális. Például
~all(softfail) használata-all(hardfail) helyett, ami gyengébb védelmet jelent. - Pontszám 100: Jól konfigurált SPF rekord
-alllezárással, az összes jogosult küldő felvéve.
Egy tipikus SPF rekord felépítése:
v=spf1 a mx include:_spf.google.com ~allEz a rekord a következőket jelenti:
v=spf1-- SPF verzió azonosító (kötelező)a-- a domain A rekordjában szereplő IP jogosult küldenimx-- a domain MX rekordjában szereplő szerverek jogosultak küldeniinclude:_spf.google.com-- a Google Workspace szerverei is jogosultak (ez egy hivatkozás a Google saját SPF rekordjára)~all-- minden más forrás softfail-t kap (a fogadó szerver gyanúsnak jelöli, de nem feltétlenül utasítja el)
Fontos: A ~all (softfail) kevésbé véd, mint a -all (hardfail). Ha biztosan tudod, hogy mely szervereket jogosítottad fel a küldésre, használd a -all lezárást. Részletes beállítási útmutatót az SPF beállítás cikkben találsz.
Kapcsolódó kategóriák
Az e-mail elemzés összesen öt kategóriát vizsgál. Az alábbiakban megtalálod a többi kategória részletes értelmezését:
- Tartalom (Content) -- 20% súly -- a levél szövegének, HTML struktúrájának és spam-jellemzőinek elemzése.
- Megfelelőség (Compliance) -- 20% súly -- jogi és szabályozási megfelelés (CAN-SPAM, GDPR).
- Fejlécek (Headers) -- 15% súly -- a fejlécek technikai hitelesítési láncolata (ARC).
- Infrastruktúra (Infrastructure) -- 20% súly -- a küldő szerver és domain technikai állapota.
Teljes áttekintés: Az összes kategória összefoglalóját és a súlyozás rendszerét az Elemzési eredmények értelmezése áttekintő cikkben olvashatod.
Teszteld a hitelesítésedet
Futtasd le az ingyenes tesztet a saját leveledre, és azonnal megkapod a DKIM, DMARC és SPF modulok részletes pontszámát a javítási javaslatokkal együtt.