Ako vaša firma šalje emailove sa sopstvenog domena, na primer info@vasafirma.rs, onda je veoma važno da taj domen bude pravilno zaštićen. U suprotnom, poruke mogu završavati u spam folderu, isporuka može biti lošija, a u najgorem slučaju neko može zloupotrebiti vaš domen i slati lažne poruke u ime vaše firme. Upravo zato postoje SPF, DKIM i DMARC — osnovni standardi za autentifikaciju poslovnog emaila. Google navodi da SPF i DKIM pomažu u zaštiti od spoofinga i da se DMARC podešava preko DNS zapisa kako bi primalac znao kako da postupi sa porukama koje ne prolaze proveru.
Za firme u Srbiji ovo nije samo tehnički detalj, već važan deo digitalne bezbednosti i profesionalne email komunikacije. Kada SPF, DKIM i DMARC nisu pravilno podešeni, povećava se verovatnoća da vaši newsletteri, ponude, računi, obaveštenja i poslovna korespondencija neće stići do prijemnog sandučeta primaoca. Google posebno upozorava da bez SPF zapisa poruke poslate preko Gmail/Workspace sistema mogu završavati u spam karantinu.
Šta je SPF
SPF znači Sender Policy Framework. To je DNS zapis kojim definišete ko sme da šalje email u ime vašeg domena. Najjednostavnije rečeno, SPF je lista dozvoljenih servera, IP adresa ili servisa koji imaju pravo da šalju poruke sa vašeg domena. Cloudflare ga opisuje kao mehanizam koji navodi ovlašćene IP adrese i domene koji mogu da šalju email u ime vašeg domena, dok Microsoft navodi da SPF identifikuje validne izvore slanja iz MAIL FROM domena.
Na primer, ako koristite Microsoft 365, Google Workspace, hosting provajdera i možda još neki servis za newsletter, SPF treba da sadrži sve legitimne pošiljaoce. Ako neki servis šalje email za vašu firmu, a nije dodat u SPF, primalac može da proceni da je poruka sumnjiva. Microsoft čak preporučuje -all za Microsoft 365 domene kada su DKIM i DMARC takođe pravilno podešeni, jer to daje strožu kontrolu nad neovlašćenim izvorima slanja.
Primer SPF zapisa često izgleda ovako:
ili za Microsoft 365:
Tačan sadržaj zavisi od toga koje servise koristite za slanje emaila. SPF se dodaje kao TXT zapis u DNS-u domena. Cloudflare navodi da se email security zapisi, uključujući SPF, dodaju kroz DNS kao TXT zapisi.
Šta je DKIM
DKIM znači DomainKeys Identified Mail. Za razliku od SPF-a, koji proverava da li je server ovlašćen da šalje email, DKIM služi da se poruka kriptografski potpiše kako bi primalac mogao da proveri da li je poruka zaista poslata od ovlašćenog sistema i da li njen sadržaj nije menjan usput. Cloudflare opisuje DKIM kao mehanizam koji obezbeđuje autentičnost emaila putem kriptografskog potpisa.
U praksi, kada je DKIM aktivan, vaš email sistem dodaje digitalni potpis svakoj odlaznoj poruci. Primalac zatim koristi javni ključ objavljen u DNS-u da proveri da li je potpis validan. Microsoft navodi da se za Microsoft 365 DKIM potpisivanje omogućava tek kada DNS CNAME zapisi budu pravilno postavljeni i detektovani za vaš domen.
DKIM je posebno važan zato što pomaže reputaciji domena i povećava šansu da poruke stignu u inbox umesto u spam. Takođe je važan i za DMARC, jer DMARC koristi rezultat SPF-a i/ili DKIM-a uz proveru usklađenosti domena iz From: polja. Google eksplicitno navodi da poruka može proći DMARC ako je autentifikovana SPF-om ili DKIM-om, ili oba, pod uslovom da je domen usklađen sa domenom iz From: zaglavlja.
Šta je DMARC
DMARC znači Domain-based Message Authentication, Reporting and Conformance. To je sloj iznad SPF-a i DKIM-a. DMARC govori primaocima šta da rade sa porukama koje ne prolaze proveru i istovremeno omogućava da vlasnik domena dobija izveštaje o tome ko šalje emailove u ime njegovog domena. DMARC.org navodi da DMARC dodaje vezu sa domenom iz From: polja, objavljuje politiku za obradu neuspešnih poruka i obezbeđuje izveštavanje primaoca ka pošiljaocu.
To je veoma važno jer bez DMARC-a možete imati SPF ili DKIM, ali i dalje nećete imati punu kontrolu nad tim kako se vaš domen koristi u email komunikaciji. Microsoft navodi da DMARC pomaže u sprečavanju spoofovanih pošiljalaca koji se koriste u phishing napadima, BEC prevarama i sličnim zloupotrebama.
Primer osnovnog DMARC zapisa izgleda ovako:
Kasnije politika može biti stroža:
ili:
Google preporučuje da se SPF i DKIM prvo podese i da autentifikuju poruke bar 48 sati pre uključivanja DMARC-a.
Kako SPF, DKIM i DMARC rade zajedno
Najjednostavnije objašnjenje je sledeće: SPF proverava pošiljaoca, DKIM proverava potpis poruke, a DMARC proverava da li je sve to usklađeno sa domenom koji primalac vidi u From: polju i definiše politiku postupanja. Microsoft to direktno opisuje kao zajednički sistem autentifikacije pošiljaoca, pri čemu SPF proverava validne izvore, DKIM potpisuje poruke, a DMARC određuje šta da se radi kada autentifikacija nije u redu.
Važno je razumeti i pojam alignment, odnosno usklađenosti. Google navodi da za ispunjenje DMARC zahteva organizacioni domen iz From: zaglavlja mora biti usklađen makar sa SPF organizacionim domenom ili sa DKIM organizacionim domenom. To znači da nije dovoljno samo “imati SPF” ili “imati DKIM” — oni moraju biti pravilno povezani sa domenom sa kog se predstavljate kao pošiljalac.
Zašto su SPF, DKIM i DMARC potrebni
Prvi razlog je zaštita domena od zloupotrebe. Ako neko pokuša da šalje lažne poruke u ime vaše firme, SPF, DKIM i DMARC pomažu primaocima da takve poruke prepoznaju i blokiraju. DMARC.org navodi da je glavna svrha DMARC-a zaštita domena od neovlašćenog korišćenja, odnosno od email spoofinga i prevara.
Drugi razlog je bolja isporuka emailova. Kada su zapisi pravilno podešeni, email provajderi imaju više poverenja u vaš domen. To je važno za poslovnu komunikaciju, račune, ponude, kontakt forme, newslettere i sve druge legitimne poruke. Google direktno preporučuje podešavanje SPF-a, DKIM-a i DMARC-a kao zaštitu od phishinga, spoofinga, spama i lažiranih poruka.
Treći razlog je uvid kroz izveštaje. DMARC omogućava da dobijate aggregate izveštaje o email saobraćaju vašeg domena. Cloudflare navodi da DMARC daje aggregate reports o email saobraćaju i jasna uputstva primaocima kako da tretiraju neusklađene poruke.
Kako se SPF podešava
SPF se podešava dodavanjem TXT zapisa u DNS zoni domena. U zapis se unose servisi i IP adrese koje imaju pravo da šalju email. Važno je da SPF bude samo jedan glavni zapis po domenu, jer više odvojenih SPF zapisa može napraviti problem u validaciji. Microsoft i Cloudflare oboje navode SPF kao DNS/TXT mehanizam za definisanje validnih izvora slanja.
Praktičan postupak izgleda ovako: proveriš da li firma koristi Google Workspace, Microsoft 365, hosting provajdera, sajt koji šalje preko SMTP-a, newsletter platformu i eventualno CRM ili ERP koji šalje poruke. Zatim sve legitimne izvore objedinjuješ u jedan ispravan SPF zapis. Najčešća greška je da neko doda samo jedan servis, a zaboravi ostale, pa deo legitimnih poruka počne da pada na proverama. To je jedan od razloga zašto Microsoft preporučuje da se SPF koristi zajedno sa DKIM-om i DMARC-om.
Kako se DKIM podešava
DKIM se podešava tako što email servis generiše ključ i daje vam DNS zapis koji treba da dodate. Kod Google Workspace-a i Microsoft 365 proces zavisi od platforme, ali suština je ista: dodajete odgovarajući DNS zapis, a zatim u email sistemu uključujete potpisivanje odlaznih poruka. Microsoft navodi da je za njihov sistem ključna detekcija odgovarajućih CNAME zapisa u DNS-u pre aktivacije DKIM potpisivanja.
Kada se DKIM pravilno aktivira, svaka odlazna poruka dobija digitalni potpis. To poboljšava poverenje u domen i pomaže da legitimne poruke prođu proveru. Google naglašava da se DKIM i SPF podese pre DMARC-a i da autentifikacija funkcioniše neko vreme pre nego što se pooštri DMARC politika.
Kako se DMARC podešava
DMARC se podešava dodavanjem TXT zapisa na posebnom DNS hostu, najčešće:
U tom zapisu definiše se politika, na primer p=none, p=quarantine ili p=reject, kao i adresa za DMARC izveštaje preko rua=. Google navodi da se DMARC omogućava kreiranjem TXT zapisa u DNS-u i da treba prvo imati SPF i DKIM. Microsoft navodi isto, uz naglasak da DMARC validacija pomaže u sprečavanju spoofovanih pošiljalaca.
Najbolja praksa je da se krene sa:
To znači da još ne blokirate poruke, već samo prikupljate izveštaje i pratite stanje. Kada se potvrdi da svi legitimni servisi prolaze SPF i/ili DKIM i da postoji alignment, politika može da se pooštri na quarantine, a zatim i na reject. DMARC.org i Google jasno ukazuju da je DMARC namenjen i monitoringu i sprovođenju politike nad porukama koje nisu usklađene.
Najčešće greške pri podešavanju
Jedna od najčešćih grešaka je da firma koristi više servisa za slanje emaila, ali SPF sadrži samo jedan od njih. Druga česta greška je da je DKIM tehnički uključen, ali domen nije pravilno usklađen sa From: adresom. Treća greška je da se DMARC odmah postavi na reject, a da prethodno nisu provereni svi legitimni pošiljaoci. Google zato izričito preporučuje da SPF i DKIM rade najmanje 48 sati pre uključivanja DMARC-a.
Problem može nastati i kada sajt šalje emailove preko hostinga, dok firma paralelno koristi Microsoft 365 ili Google Workspace, a dodatno možda i mailing platformu. U takvim situacijama zapisi moraju biti pažljivo usklađeni da bi sve legitimne poruke prolazile proveru. Cloudflare posebno ističe da će DMARC izveštaji pomoći da se vidi svaki izvor koji šalje email u ime domena i da se proceni prolazi li SPF i DKIM.
Šta firma dobija kada su SPF, DKIM i DMARC pravilno podešeni
Firma dobija veću kontrolu nad domenom, veću šansu da emailovi stignu u inbox, bolju zaštitu od lažnog predstavljanja i jasniji uvid u email saobraćaj. To je posebno važno za kompanije koje šalju fakture, ponude, automatske notifikacije, kontakt forme, marketinške kampanje ili internu poslovnu komunikaciju. Google i Microsoft oba naglašavaju da autentifikacija domena direktno utiče na poverenje u poruke i zaštitu od spoofinga i phishinga.
Drugim rečima, ovo nije samo “još jedno DNS podešavanje”, već važan deo profesionalne email infrastrukture. Za ozbiljno poslovanje, SPF, DKIM i DMARC više nisu opcija nego standard.
Kako Roster Soft može da pomogne
Ako firma nije sigurna da li su SPF, DKIM i DMARC pravilno podešeni, potrebno je prvo uraditi proveru postojećeg stanja. U praksi često nalazimo nepotpune SPF zapise, neaktiviran DKIM, pogrešno postavljen DMARC ili servise za slanje koji uopšte nisu uračunati u DNS konfiguraciju. Roster Soft može da izvrši kompletnu analizu domena, email sistema i svih izvora slanja, zatim da pravilno podesi SPF, DKIM i DMARC, proveri alignment i uvede DMARC monitoring kako bi firma imala stabilniju i bezbedniju email komunikaciju. Preporuka velikih provajdera je jasna: pravilna email autentifikacija je važan deo zaštite od phishinga, spoofinga i problema sa isporukom.
SPF, DKIM i DMARC su osnova bezbednog i profesionalnog slanja emailova sa sopstvenog domena. SPF definiše ko sme da šalje poruke, DKIM ih digitalno potpisuje, a DMARC kontroliše pravila i izveštavanje. Kada su pravilno podešeni, vaša firma dobija bolju isporuku, veću zaštitu domena i više poverenja u poslovnoj komunikaciji. Google, Microsoft i DMARC.org svi ukazuju da je upravo kombinacija ova tri standarda ključna za zaštitu od spoofinga, phishinga i lažnog predstavljanja domena.
