Ako SPF, DKIM a DMARC odlišujú legitímny cold email od phishingu
Príjemca v schránke často nedokáže na prvý pohľad odlíšiť cielený B2B cold email od phishingového podvodu – oba prichádzajú od neznámeho odosielateľa a žiadajú o akciu. Poštové servery preto rozhodujú podľa technického odtlačku správy: SPF, DKIM a DMARC. Tento článok vysvetľuje, ako tieto tri záznamy fungujú, ako ich overiť pomocou dmarc checker a čo odlišuje legitímnu kampaň od spoofingu.
- SPF, DKIM a DMARC sú technický, nie obsahový rozdiel medzi cold emailom a phishingom
- Doména so správne zarovnaným SPF+DKIM+DMARC má výrazne vyššiu mieru doručenia do primárnej schránky
- DMARC politiku treba zavádzať postupne (p=none → quarantine → reject), inak zablokuje aj legitímne kampane
- Pravidelná kontrola cez dmarc checker patrí k prevádzke kampane, nie len k jednorazovému nastaveniu
- Cielený B2B cold email s jasnou identitou odosielateľa má v EÚ oporu v oprávnenom záujme podľa GDPR
Prečo cold email a phishing vyzerajú v schránke rovnako
Z pohľadu príjemcu je rozdiel medzi cieleným B2B cold emailom a phishingovým podvodom na prvý pohľad neviditeľný – oba prichádzajú od neznámeho odosielateľa, oba žiadajú o akciu (odpoveď, klik, stretnutie) a oba môžu použiť meno konkrétnej osoby. Práve preto poštové servery ako Gmail, Microsoft 365 alebo Zoznam.sk nerozlišujú podľa úmyslu, ale podľa technického odtlačku správy.
Ten odtlačok tvoria tri záznamy v DNS zóne odosielajúcej domény – SPF, DKIM a DMARC. Legitímna firma, ktorá posiela cielený cold email napríklad z domény kovospol.sk, má tieto záznamy nastavené tak, aby dokázala serveru príjemcu, že správa naozaj pochádza z infraštruktúry, ktorú vlastní. Phishingový útočník sa naopak spolieha na to, že si príjemca všimne logo a text skôr než technické hlavičky, a autentifikáciu buď obchádza, alebo spoofuje cudziu doménu bez oprávnenia.
SPF, DKIM a DMARC: tri vrstvy technického dôkazu
SPF (Sender Policy Framework) je zoznam IP adries a serverov, ktoré majú povolenie posielať poštu za doménu – funguje ako zoznam hostí na recepcii. DKIM (DomainKeys Identified Mail) pripája ku každej správe kryptografický podpis, ktorý dokazuje, že obsah nebol po odoslaní zmenený. DMARC (Domain-based Message Authentication, Reporting and Conformance) potom hovorí poštovému serveru príjemcu, čo má urobiť, ak SPF alebo DKIM zlyhajú – doručiť do spamu, odmietnuť, alebo len nahlásiť.
- SPF: TXT záznam v DNS v tvare v=spf1 include:..., definuje povolené odosielajúce servery
- DKIM: privátny kľúč podpisuje hlavičku správy, verejný kľúč je v DNS ako TXT záznam
- DMARC: TXT záznam s politikou p=none/quarantine/reject a adresou pre reporty
- Zarovnanie (alignment): doména v SPF/DKIM sa musí zhodovať s doménou v poli Od, inak DMARC zlyhá aj pri technicky platnom podpise
Ako sa autentifikácia prejaví v číslach
Rozdiel medzi cold emailom a phishingom nie je len teoretický – prejaví sa priamo v miere doručenia do primárnej schránky. Z praxe cielených B2B kampaní platí, že doména bez akejkoľvek autentifikácie končí v spame alebo je úplne odmietnutá výrazne častejšie než doména so správne nastaveným SPF, DKIM aj DMARC.
hodnoty sú orientačné, z praxe cielených B2B kampaní, líšia sa podľa poskytovateľa schránky a histórie domény
Najčastejšie chyby, ktoré posúvajú cold email bližšie k phishingu
Väčšina problémov s doručiteľnosťou nevzniká zo zlého úmyslu, ale z technického nedopatrenia, ktoré sa navonok správa rovnako ako spoofing.
- posielanie z novej domény bez zahrievania (warm-up) a bez histórie DKIM podpisov
- SPF záznam s viac ako desiatimi DNS lookupmi, ktorý prekročí limit a celá autentifikácia zlyhá
- DMARC politika p=reject nastavená príliš skoro, skôr než sú zarovnané všetky odosielajúce nástroje
- odosielanie z voľnej domény tretej strany bez vlastnej subdomény a vlastných DKIM kľúčov
- kopírovanie vizuálnej identity inej firmy alebo falošné meno odosielateľa, ktoré simuluje známu značku
Firma AgroTech Nitra s.r.o. posielala cold email z domény agrotechnitra.sk bez DKIM podpisu. Gmail správu doručil, no bez odtlačku dôveryhodnosti skončila u polovice adresátov v spame; po pridaní DKIM a nastavení DMARC na p=quarantine sa miera doručenia do primárnej schránky zvýšila na úroveň bežnú pre B2B kampane s plnou autentifikáciou.
Kontrolný zoznam pred spustením B2B cold email kampane
Nasledujúci zoznam pokrýva technické aj obsahové kroky, ktoré vizuálne aj technicky oddeľujú legitímnu kampaň od podozrivej správy.
- over si SPF, DKIM aj DMARC pomocou dmarc checker alebo spf dkim dmarc checker priamo pred prvým odoslaním
- posielaj z dedikovanej subdomény, napríklad mail.kovospol.sk, nie priamo z hlavnej firemnej domény
- nastav DMARC najprv na p=none a sleduj reporty aspoň 2-3 týždne, potom prejdi na quarantine
- drž denný objem na úrovni desiatok, nie tisícov správ na jednu schránku
- v tele správy uveď reálne meno firmy, IČO alebo adresu a jasný spôsob odhlásenia
Ako autentifikáciu nastavuje a sleduje LDM
V LDM každá kampaň beží z dedikovanej odosielajúcej subdomény klienta so samostatným SPF, DKIM aj DMARC záznamom, ktorý overujeme ešte pred prvým odoslaním interným spf dkim dmarc checker workflow. Klient tak nezdieľa reputáciu s cudzími odosielateľmi a v prípade problému vieme rýchlo izolovať príčinu na úrovni jednej domény, nie celej platformy.
Rovnako dôležité je priebežné monitorovanie DMARC reportov, nielen jednorazové nastavenie – zmena v infraštruktúre, napríklad nový mailový nástroj alebo presun na iný SMTP, môže zarovnanie pokaziť bez viditeľného varovania okrem rastu bounce rate alebo poklesu open rate. Preto sledovanie DMARC reportov a miery doručenia je súčasťou bežnej prevádzky kampane, nie jednorazový setup krok.
Časté otázky
Čo presne kontroluje dmarc checker?
Overí, či doména má publikovaný DMARC záznam, akú politiku definuje (none, quarantine, reject) a či je syntakticky správny; niektoré nástroje navyše otestujú aj zarovnanie so SPF a DKIM na konkrétnej odoslanej správe.
Je legálne posielať cold email v Slovensku a EÚ?
Cielený B2B cold email na pracovný e-mail konkrétnej osoby je v EÚ vrátane Slovenska vo väčšine prípadov možný na základe oprávneného záujmu podľa GDPR, pokiaľ obsahuje jasnú identifikáciu odosielateľa a jednoduchý spôsob odhlásenia; plošný spam bez cielenia toto krytie nemá.
Stačí len SPF, alebo musím mať aj DKIM a DMARC?
Samotné SPF nestačí, pretože ho phishingový útočník môže mať nastavené pre vlastnú spoofovanú doménu; kombinácia SPF, DKIM a DMARC so zarovnaním je to, čo poštové servery reálne používajú na rozlíšenie legitímneho odosielateľa.
Ako spam email filtre poznajú rozdiel, keď text správy vyzerá podobne?
Filtre spam email hodnotia desiatky signálov naraz – autentifikačné hlavičky, vek a reputáciu domény, objem a rytmus odosielania, mieru odpovedí a sťažností; samotný text hrá menšiu rolu než kombinácia týchto technických a behaviorálnych signálov.
Ako dlho trvá nastavenie SPF, DKIM a DMARC pre novú doménu?
Technické nastavenie DNS záznamov trvá rádovo hodiny vrátane propagácie, no bezpečný prechod DMARC politiky z p=none na p=quarantine alebo p=reject sa odporúča robiť postupne v priebehu niekoľkých týždňov, aby sa stihli zachytiť všetky legitímne odosielajúce nástroje.
Chcete to využiť vo svojom outreachi?
Ukážeme vám, ako to funguje na vašom segmente a produkte — ešte pred začiatkom prác.
Porozprávajme sa