Otázku „Nemáte to ve spamu?“ zná snad každý, kdo kdy použil e‑mail. Jak funguje rozpoznávání nevyžádaných zpráv a co dělat, pokud zprávy padají do spamu, se podíváme v článku.
Proč kontrolovat zprávy antispamem
Doručení e‑mailové zprávy je pozoruhodně jednoduché. Po odeslání zprávy ji přijme od e‑mailového klienta váš poštovní server. Ten se spojí se serverem příjemce a zprávu mu předá. Na něm už je jen její uložení do správné schránky.
Komunikace s poštovním serverem není žádná zvláštní výsada. Kdokoliv, kdo má přístup k internetu, se může připojit k libovolnému serveru, který po předání zprávy rozhodne, zda je v pořádku, nebo ji označí jako nevyžádanou. O to se stará antispamový filtr.
Níže je ukázka toho, jak probíhá komunikace s naším poštovním serverem podle protokolu SMTP. V tomto případě náš antispam správně rozpoznal, že zpráva není v pořádku a odmítl ji.
* Connected to mx.igloonet.cz (2a01:ade0:f:1::2a) port 25 (#0) <<< HELO odesilac.igloonet.cz >>> 220 mx.igloonet.cz ESMTP igloonet <<< MAIL FROM:<odesilac@igloonet.cz> >>> 250 mx.igloonet.cz <<< RCPT TO:<podpora@igloonet.cz> >>> 250 2.1.0 Ok <<< DATA >>> 354 End data with <CR><LF>.<CR><LF> <<< Funguje to? <<< . <<< >>> 554 5.7.1 Spam message rejected
Podobně se může pokusit doručit jakoukoliv zprávu naprosto kdokoliv. Pokud by ke kontrole obsahu nedocházelo, schránky by byly zavaleny spamem. Například naše servery odmítnou doručit více než polovinu příchozích e‑mailů.
Jak funguje kontrola spamu
Antispam otestuje všechny dostupné informace a rozebere obsah zprávy. Těchto testů je opravdu hodně. Na našich poštovních serverech jsme jich ve chvíli, kdy vznikal tento článek, měli 679. Pokud je nějaký z nich pozitivní, tak to neznamená okamžité vyřazení zprávy. Každý test má určenou váhu, která se přičte k celkovému spam skóre. Pokud je dostatečně vysoké, zpráva je označena za spam, nebo rovnou vyřazena. Některé testy mohou mít záporné hodnoty, a skóre tak snižovat.
Pro lepší představu si popíšeme pár podstatných testů, které antispam provádí. Lze je rozdělit do tří kategorií na testy které kontrolují
- odkud zpráva dorazila,
- co je v hlavičce,
- samotné tělo zprávy.
Původ zprávy
Nejprve antispam spouští testy ověřující IP adresu, ze které je zpráva doručovaná, a to zejména na tzv. blacklistech. Jedná se o veřejné seznamy adres serverů, které notoricky rozesílají nevyžádané zprávy a není dobré z nich doručovat.
Důležitou kontrolou je i ověření pomocí systému SPF, zjišťujícího, zda je server odesílatele oprávněný používat adresu uvedenou ve zprávě. Také se kontroluje, jestli je správně podepsaná serverem pomocí DKIM. V tomto místě je třeba zmínit i kontrolu skrze DMARC. Více o těchto technologiích si přečtěte v článku Jak zabezpečit e‑mail před zneužitím.
Hlavička zprávy
Antispam v hlavičce kontroluje, jestli obsahuje vše potřebné a zda informace dávají smysl. V minulosti byla např. oblíbená praxe spamerů do hlavičky uvádět čas posunutý do budoucna. Taková zpráva se tak stále zobrazovala jako nejnovější. Antispam toto penalizuje.
E‑mailový server, provádějící kontrolu, většinou uloží do hlavičky její výsledek, z něhož je možné vyčíst, z jakého důvodu byla zpráva označena za spam. Zejména velcí poskytovatelé nejsou nicméně moc sdílní, aby tak zbytečně nenapovídali rozesílačům nevyžádaných zpráv.
Tělo zprávy
Analýza samotného obsahu je největší alchymie. Některé testy jsou velmi jednoduché a kontrolují třeba jen výskyt určitého slova. Pokud třeba do zprávy napíšete slovo „Viagra“, zřejmě nějaký bod od antispamu dostanete. Kontroluje se také, jestli zpráva neobsahuje odkaz na podvodné stránky nebo například bitcoinovou adresu, používanou pro vydírání. Přílohy jsou prověřeny antivirem.
Text kontrolují poměrně sofistikované testy založené na principu strojového učení. Antispam si vybere několik tisíc zpráv s hodně vysokým a nízkým spam skóre. V nich vyhledá společné vzorce, které potom porovnává s testovaným textem. Náš antispam se například učí na zprávách, které uživatelé přesunují do nebo ze složky spam.
Spameři jsou vždy o krok napřed
Antispamová kontrola nemůže být z principu nikdy stoprocentní. Rozesílači spamu se ji navíc snaží různě oblafnout a tvůrci antispamů vymýšlí stále důmyslnější testy. Pěkný příklad je vkládání zkratky „Re:“ do předmětu zprávy. V minulosti antispamy takové zprávy zvýhodňovaly, takže spameři „Re:“ často vkládali do předmětu. Moderní antispamy už dokáží poznat, jestli jste v minulosti s nějakou adresou komunikovali.
Moje zprávy padají příjemcům do spamu
Teď si popíšeme, jak postupovat, když vaše zprávy příjemcům nechodí.
V některých případech není jednoduché rozhodnout, na koho se obrátit ohledně řešení potíží s doručováním zpráv. Nejlepší je mít jednoho správce, který se vám o e-maily kompletně stará. Ten bude hned vědět, co kde opravit.
Kromě běžných zpráv se spamy odesílají také z webové stránky nebo třeba z nástroje pro rozesílání newsletterů. V tomto případě je potřeba vědět, na koho se obrátit, když nastane problém. Měli byste mít také přehled, kde lze změnit DNS záznamy k vaší doméně, ze které e-mailové zprávy odesíláte.
Hlavně u velkých poskytovatelů není k dispozici živá technická podpora, která by vám dokázala konkrétně pomoci. Jste odkázáni sami na sebe, jejich administraci a nápovědu.
Otestujte odesílání zpráv
Pro kontrolu odesílání e‑mailů doporučujeme výborný nástroj Mail-tester. Vygeneruje vám e‑mailovou adresu, na kterou pošlete vaši zprávu tak jako obvykle. Nespokojte se s jiným výsledkem než 10/10. 😉
Získejte zprávu ze spamu příjemce
Nejužitečnější informace jsou ve zprávě, která u příjemce spadla do spamu. Požádejte, ať vám ji přepošle. Je potřeba dát pozor také na to, aby ji přeposlal včetně hlavičky. Většinou je tato funkce označena jako „Přeposlat jako přílohu“. Z takového e‑mailu můžete smazat citlivé informace a poslat zbytek správci na prověření. Pro něj je nejdůležitější právě hlavička. V té jsou uvedeny konkrétní informace, které vedly k označení spamu.
Co je potřeba zkontrolovat
Správně nastavené DNS záznamy
Každá IP adresa e-mailového serveru musí mít nastaveny reverzní záznamy shodné s doménou dopředného A záznamu. Touto doménou se server musí také představit při zahájení SMTP komunikace.
Toto je nejzákladnější obrana proti spamu, rozesílaného ze zavirovaných počítačů na domácích přípojkách. Ty nemohou mít správně nastavené reverzní záznamy, proto je lze jednoduše identifikovat.
Tyto záznamy musí správně nastavit poskytovatel e-mailového serveru, odkud e-maily posíláte. V případě špatného nastavení je potřeba se obrátit na něj.
Blacklisty
Důležité je zkontrolovat, zda adresy, které používá poštovní server k odesílání, nejsou na některém seznamu nedůvěryhodných serverů. Pro jednorázovou kontrolu doporučuji dost komplexní nástroj multirbl.valli.org. Pro seriózní provozování e‑mailového serveru, je nicméně potřeba mít aktivní dohled nejpoužívanějších blacklistů.
Nastane-li situace, kdy se váš e-mailový server ocitne na blacklistu, měl by jeho správce odstranit příčinu a požádat o jeho vyřazení.
Ověření domény
Doména, používaná v adrese odesílatele, musí mít e‑mailový server správně přidaný v SPF záznamu. V DNS záznamech domény musí být rovněž DKIM klíč, kterým server zprávy podepisuje. Díky tlaku Googlu už nejsou tyto dvě techniky užitečným doplňkem, ale nutnou součástí správného doručení. Dobrou praxí je i správně nastavený DMARC záznam.
DNS záznamy pro ověření je potřeba nastavit u jejich správce. Nastavit je musíte podle údajů, které dostanete od poskytovatele e-mailového serveru.
DMARC reporty
Velice užitečným pomocníkem v analýze doručitelnosti zpráv jsou DMARC reporty. Ty si můžete nechat zasílat na adresu uvedenou v DMARC záznamu. Po jejich zpracování vhodným nástrojem můžete vyčíst, kde je v odesílání chyba.
Výsledek antispam kontroly v hlavičce přeposlané zprávy
Výsledek antispamu může vypadat například takto. Tento spam pochází ze serveru, který je na více blacklistech a navíc se snaží podvrhnout adresu odesílatele.
BAYES_SPAM (4.234219) [97.70%] RBL_SPAMHAUS_XBL (4) [113.77.81.202:from] ONCE_RECEIVED_STRICT (4) VIOLATED_DIRECT_SPF (3.5) HFILTER_HOSTNAME_UNKNOWN (2.5) RBL_VIRUSFREE_BOTNET (2) [113.77.81.202:from] RBL_SPAMHAUS_CSS (2) [113.77.81.202:from] RBL_SPAMHAUS_PBL (2) [113.77.81.202:from] IP_REPUTATION_SPAM (1.638907) [asn: 4134(0.40), country: CN(0.01), ip: 113.77.81.202(0.00)] RDNS_NONE (1) FORGED_SENDER (0.3) [everconn@126.com,iifmgque@cdt.ca] MIME_HTML_ONLY (0.2) ONCE_RECEIVED (0.1) DMARC_POLICY_SOFTFAIL (0.1) [126.com : No valid SPF, No valid DKIM,none] RCVD_COUNT_ZERO (0) [0] R_SPF_SOFTFAIL (0) [~all] RWL_MAILSPIKE_POSSIBLE (0) [113.77.81.202:from] TO_DN_ALL (0) FROM_NEQ_ENVFROM (0) [everconn@126.com,iifmgque@cdt.ca] FREEMAIL_FROM (0) [126.com] RCPT_COUNT_ONE (0) [1] R_DKIM_NA (0) ARC_NA (0) TO_MATCH_ENVRCPT_ALL (0) MIME_TRACE (0) [0:~] FROM_HAS_DN (0) ASN (0) [asn:4134, ipnet:113.64.0.0/11, country:CN]
Legitimní zpráva mi přijde do spamu
Co dělat, pokud najdete ve složce spam legitimní zprávu, která určitě není nevyžádaná? V první řadě ji přesuňte do příchozí pošty. Chytrý antispam si toho všimne a naučí se podobné zprávy za spam neoznačovat.
Pokud vám od nějakého příjemce padají zprávy do spamu dlouhodobě, nebuďte lhostejní a upozorněte ho na to. Nejlépe mu rovnou přepošlete zprávu s doporučením k prověření správcem.
Závěr
V igloonetu se klientům staráme o e‑mailové kampaně a hostingové oddělení také o celé poštovní servery. Antispam nám přidělává nejvíce starostí. Musíme neustále sledovat nové trendy a vylepšovat nastavení odesílání, aby jsme zprávy drželi od spam složky co nejdále. S nedoručenými zprávami a spamem vám tak případně dokážeme pomoci.