Kontrolní seznam bezpečnosti emailů pro vaši doménu: Neztrácejte reputaci kvůli chybám

Emailové podvody s napodobováním domén stojí firmy miliardy každý rok. Útočníci se vydávají za důvěryhodné značky, kradou přihlašovací údaje a ničí image. Většina firem má bezpečnost nastavenou, ale často špatně nebo neúplně.

Pokud si nejste jisti ochranou své domény, jste v dobré společnosti. Právě proto je klíčový důkladný audit doménové bezpečnosti.

Neviditelná bezpečnostní vrstva domény

Při odesílání emailu z vaší domény přijímací servery tajně kontrolují autentizaci. Hledají tyto záznamy:

• SPF records – potvrzují, že odesíláte jen z autorizovaných serverů
• DKIM signatures – kryptograficky ověřují, že zpráva nebyla pozměněna
• DMARC policies – říkají, co dělat při selhání kontroly
• BIMI records – zobrazují vaše logo v emailových klientech
• TLS-RPT a MTA-STS – zajišťují šifrovanou přenos a reporty

Chybí-li něco nebo je to špatně nastavené, emaile končí ve spamu. Nebo je útočníci snadno zneužijí.

Nejběžnější pasti v praxi

Z našich auditů známe tyto opakující se problémy:

Kritické chyby

• Žádný SPF záznam. Běžné. Kdokoli pak může posílat emaile jménem vaší domény.
• Špatná SPF syntax. Záznam bez v=spf1 nefunguje. Překročení 10 DNS dotazů ho zlomí.
• Více SPF záznamů. DNS bere jen první, zbytek ignoruje – iluze ochrany.

Střední rizika

• Příliš volné pravidla. SPF končící +all propustí kohokoli. To je bez smyslu.
• Zastaralé prvky. Použití ptr v SPF způsobuje zpoždění a komplikace.
• Chybné modyfikátory. Tipy jako exp místo expl selžou tiše.

Drobné, ale důležité nedostatky

• DKIM bez veřejného klíče. Záznam je, ale ověření nefunguje.
• Chybějící BIMI. Konkurence svítí logem v Gmailu, vy ne.
• Neúplné BIMI. Bez URI tagu pro logo se nic nezobrazí.

Jak probíhá audit domény

Kvalitní nástroj na kontrolu dělá tři věci:

1. Prohledání DNS Dotazuje veřejné DNS servery a najde všechny viditelné autentizační záznamy. Přesně to, co vidí Gmail nebo Outlook.

2. Podrobná analýza Každý záznam testuje na:

• Správnou syntax a formát
• Sílu politiky
• Konflikty nebo duplicity
• Soulad s RFC standardy

3. Konkrétní rady Nenahlásí jen chybu, ale vysvětlí proč vadí a jak opravit. Místo "Chybí SPF" řekne: "Přidejte v=spf1 include:_spf.google.com ~all pro Google Workspace."

Proč to řešit hned teď

DMARC vynucování je nový standard. Microsoft, Google a Yahoo zpřísňují požadavky. Bez přípravy:

• Emaile se ne doručí (bounce nebo spam)
• Útočníci vás snadno napodobí
• Selžete v auditech a compliance
• Zůstanete bez loga v moderních klientech

Startupy to často odkládají. Ale špatná autentizace ničí tiše – zákazníci emaile nedostanou.

Co dělat dál

Spusťte sken domény ještě dnes. Hledejte:

• Kritické problémy (chybějící záznamy, špatná syntax)
• Střední rizika (slabé politiky, nebezpečné nastavení)
• Snadné vylepšení (BIMI, TLS-RPT, MTA-STS)

Opravte v tomto pořadí. Kritické ovlivní dodávku ihned. Střední snižují riziko spoofingu. Drobnosti zlepší image a připraví na budoucnost.

Celé to zabere 10 minut a ochrání vaši pověst.

Tip navíc: U NameOcean je nastavení autentizace v DNS managera hračka. Zkontrolujte stav domény a opravte přímo v panelu – bez cizích nástrojů.