Filtrace spamu a správa doručitelnosti e-mailů: klíčové antispamové strategie

Eva Senková

Filtrace spamu

Filtrace spamu a správa doručitelnosti (deliverability) jsou dvě strany téže mince: jedním cílem je chránit příjemce před nevyžádanou poštou a zneužitím, druhým zajistit legitimním odesílatelům spolehlivé doručování do složky Doručená pošta. V praxi to znamená kombinaci správně nastavené infrastruktury, autentizačních protokolů, reputační hygieny, kvalitního obsahu, souhlasu příjemce a průběžného monitoringu. Tento článek shrnuje osvědčené postupy od DNS a vrstvy MTA až po provozní procesy, které udrží vaše e-maily v doručené poště a mimo spam.

Současná hrozbová scéna: co filtry sledují

  • Identitu odesílatele: vazba mezi IP, doménou, HELO/EHLO, rDNS a autentizací (SPF, DKIM, DMARC).
  • Reputaci: historická data o spamu, stížnostech (complaints), odskocích a zásazích spam-trapů.
  • Obsah a kontext: jazykové signály, URL, zkracovače, přílohy, phishingové vzory, neobvyklé kódování.
  • Engagement: míra otevření a kliknutí, mazání bez přečtení, označení „To není spam“ apod.
  • Technickou kvalitu: TLS, shoda hlaviček, validní MIME, velikost, rychlost a vzory odesílání.

Základy doručitelnosti: principy, které se nevyplácí obcházet

  1. Souhlas a očekávání: double opt-in, jasná hodnota, frekvence a obsah v souladu s tím, co jste slíbili.
  2. Identita a konzistence: stabilní odesílací doména, subdomény podle typu provozu (transakční vs. marketing).
  3. Hygiena databáze: pravidelné čištění neaktivních a tvrdě odskakujících adres, potlačovací (suppression) seznamy.
  4. Transparentní odhlášení: jedním klikem a bez zbytečných překážek; respektování preferencí do 24 hodin.
  5. Telemetrie a zpětná vazba: měřit, analyzovat, iterovat – doručitelnost je proces, nikoli jednorázová konfigurace.

Autentizace: SPF, DKIM, DMARC a BIMI

SPF (Sender Policy Framework) definuje v DNS, které IP adresy mohou odesílat poštu jménem vaší domény. Doporučení: co nejkratší řetězení záznamů, -all (hard fail) aplikujte až po důkladném auditu všech odesílatelů; na začátek často používejte ~all.

DKIM (DomainKeys Identified Mail) digitálně podepisuje vybrané hlavičky a tělo zprávy pomocí klíče spojeného s doménou. Doporučení: pravidelná rotace klíčů, velikost klíče 2048 bitů, více selektorů pro různé toky (například mktg, txn).

DMARC (Domain-based Message Authentication, Reporting & Conformance) navazuje na SPF a DKIM a vyžaduje jejich alignment s doménou uvedenou v poli From. Postup: začněte s p=none a sbírejte rua agregované reporty; po validaci zpřísňujte na quarantine a reject. Definujte sp= politiku pro subdomény a zvažte adkim/aspf=strict pro přísnější shodu.

BIMI (Brand Indicators for Message Identification) umožňuje zobrazení loga odesílatele, vyžaduje DMARC v režimu karantény nebo zamítnutí. Použijte validní SVG Tiny P/S a u vybraných poskytovatelů i VMC certifikát.

Transportní bezpečnost: TLS, MTA-STS, TLS-RPT a DANE

  • STARTTLS/TLS: zajistěte moderní šifry a aktuální certifikát; slabé protokoly (TLS 1.0/1.1) vypněte.
  • MTA-STS: publikujte zásady pro příjem přes TLS a hostujte /.well-known/mta-sts.txt; DNS záznam _mta-sts.
  • TLS-RPT: záznam _smtp._tls pro sběr reportů o selhání šifrování.
  • DANE pro SMTP: pokud máte DNSSEC, publikujte TLSA záznamy pro pinning certifikátu.

Infrastruktura a identita odesílatele

  • rDNS/FCrDNS: PTR záznam IP musí odpovídat hostname a ten by měl mít A/AAAA záznam zpět na tutéž IP. HELO/EHLO má odpovídat hostname.
  • Dedikovaná vs. sdílená IP: dedikovaná IP vám dává kontrolu nad reputací; u nových IP proveďte warm-up postupné navyšování objemu.
  • Oddělení toků: transakční pošta na vlastní subdoméně a infrastruktuře (např. mail.example.com vs. mktg.example.com).
  • Řízení tempa a fronty: respektujte limity na doménu, postupné zpomalení při chybách 4xx, exponenciální retry a maximální TTL ve frontě.

DNSBL/RBL a reputace URL

Mnoho serverů využívá DNS blacklisty pro IP adresy (RBL/DNSBL) a seznamy reputace odkazů (URIBL/SURBL). Pravidelně kontrolujte, zda vaše IP/domény nejsou uvedeny na seznamech. Vyřazujte z používání zkracovače a domény s pochybnou reputací; ideálně používejte vlastní, reputačně čisté domény pro přesměrování.

Obsahové filtrování a strojové učení

  • Heuristiky: struktura hlaviček, neobvyklý poměr textu a HTML, nadbytečné obrázky bez alternativ, skryté znaky, nevalidní MIME.
  • Bayes/ML: moderní filtry kombinují jazykové modely a reputační signály; vyhněte se spamovým klišé, manipulativním předmětům a zkreslování filtrů.
  • URL a bezpečnost značky: domény s krátkou historií, neshoda zobrazované URL a cíle, podezřelé parametry.

Greylisting, řízení rychlosti a adaptivní ochrany

Příjemci často používají greylisting (první pokus odpověď 4xx, očekává se retry), dynamické limity podle reputace a zatížení. Vaše MTA musí rozlišovat mezi 4xx a 5xx, implementovat inteligentní retry a neeskalovat objem agresivně při dočasných chybách.

Hlavičky zvyšující doručitelnost

  • List-Unsubscribe: nabídněte <mailto:...> i <https://...> variantu; podporuje odhlášení jedním klikem ve webových klientech.
  • List-ID: stabilní identifikátor seznamu pro filtry a třídění.
  • Message-ID: unikátní a z vaší domény; vyhněte se generickým nebo prázdným hodnotám.
  • Precedence/Auto-Submitted: u automatizovaných zpráv nastavte správně, aby nedocházelo k ping-pongu odpovědí.

Správa odskoků (bounce management): jak číst SMTP kódy

  • 4xx (dočasné): dočasné chyby – reputace, vysoké zatížení, greylisting; aplikujte zpomalení a opakování odeslání.
  • 5xx (trvalé): neexistující schránka, politika, blokace; hard bounce okamžitě potlačte.
  • Kategorizace: rozlišujte neplatné adresy, plné schránky, blokace politikou a spamové stížnosti; každá kategorie vyžaduje jiný akční plán.

Stížnosti a feedback loops (FBL)

Zapojte dostupné FBL u poskytovatelů (tam, kde existují). Každou stížnost berte jako signál k okamžitému vyloučení adresy z distribučního seznamu a revizi akvizičního kanálu. Udržujte míru stížností pod přísnými prahy (typicky řádově desetiny procenta).

Rozjezdy IP a domén (warm-up)

  1. Začněte na nízkém objemu vůči doménám s nejlepší historií engagementu.
  2. Postupně zvyšujte denní limity, sledujte 4xx/5xx, spam-folder rate a stížnosti.
  3. Segmentujte kontakty podle aktivity (aktivní > méně aktivní > chladné kontakty).

Databázová hygiena a legislativa

  • Double opt-in: prokazatelný souhlas, auditní stopa.
  • Platnost souhlasu (TTL): reaktivace (re-permissioning) u dlouhodobě neaktivních příjemců.
  • GDPR a antispamová legislativa: legitimní účel zpracování, minimalizace dat, právo na výmaz, jasné podmínky a identifikace správce osobních údajů.

Segmentace a řízení frekvence

Over-mailing je běžnou příčinou stížností. Implementujte send-time optimization, limity na uživatele a preference center. Oddělte transakční a notifikační zprávy od marketingových, včetně SLA (rychlost, dostupnost).

Monitoring a diagnostika

  • Nástroje postmasterů: sledujte doménové a IP metriky, latenci, spam a odskoky u hlavních poskytovatelů.
  • DMARC RUA/RUF: agregované a forenzní reporty; vizualizace poměru pass/fail a zdrojů spoofingu.
  • Testy doručení do složky Doručená pošta: seed listy pro odhad, nikoli absolutní pravdu; kombinujte s reálným engagementem.
  • Skórování obsahu: průběžná kontrola šablon a odkazů vůči blacklistům.

Provozní postupník: od incidentu k nápravě

  1. Identifikace: náhlý nárůst chyb 4xx/5xx, pokles otevření a kliknutí, růst spam-folder rate.
  2. Izolace: zjistěte, který tok (IP, doména, kampaň, šablona) je příčinou; dočasně omezte objem.
  3. Analýza: DMARC/ARC logy, změny DNS/MTA, noví odesílatelé, nová kreativita, stížnosti, zásahy spam-trapů.
  4. Náprava: oprava autentizace, odstranění rizikových kontaktů nebo URL, revize obsahu, korekce frekvence.
  5. Postupné obnovení: znovu-warm-up, monitorované navyšování, dokumentace a prevence (kontroly v CI/CD).

Přeposílání a složité topologie: ARC a aliasy

Přeposílání často narušuje SPF. ARC (Authenticated Received Chain) pomáhá předat ověřovací informace v řetězci doručení. Pro mailing listy a aliasy zvažte přepis pole From (SRS/From rewrite) a důslednou správu podpisů DKIM na hranách.

Metriky, na kterých záleží

  • Míra doručení vs. umístění ve složce Doručená: doručení neznamená doručení do doručené pošty.
  • Míra odskoků: držte tvrdé odskoky na velmi nízkých úrovních; analyzujte příčiny.
  • Míra stížností: klíčový signál reputace; reagujte okamžitě.
  • Engagement: open rate mohou zkreslovat nástroje na ochranu soukromí; sledujte kvalitní kliknutí a signály odpovědí či přeposlání.

Kontrolní seznam před odesláním šablony

  • SPF, DKIM, DMARC s pass a alignment pro doménu ve From.
  • Validní MIME struktura, alternativní texty u obrázků, rozumný poměr textu a obrázků.
  • Funkční List-Unsubscribe (mailto i URL) a jasné odhlášení v těle zprávy.
  • Žádné odkazy na domény s pochybnou reputací; vlastní branded tracking.
  • Testování na seed listech a reálných schránkách; kontrola zobrazení v hlavních klientech.

Architektura MTA a provozní doporučení

  • Oddělené fronty per doména: detailní řízení rychlosti a paralelismu.
  • Observabilita: strukturované logy, metriky (Prometheus), dashboardy, alerty na chybovost a latenci.
  • Automatizace: CI/CD pro šablony a DNS změny; validace MX/SPF/DKIM/DMARC před nasazením.

Strategie adresního prostoru a subdomén

Definujte jasnou politiku: txn.example.cz pro transakční, mktg.example.cz pro marketing, notify.example.cz pro notifikace. Každá subdoména má vlastní SPF, DKIM selektory a DMARC politiku (sp=), případně vlastní pool IP adres.

Bezpečnost a ochrana značky

  • Detekce spoofingu: analyzujte DMARC reporty, zavádějte p=reject po validaci legitimních toků.
  • Omezení přístupů: odesílací klíče a přístupy k ESP/MTA uchovávejte v zabezpečeném trezoru, provádějte rotace a definujte minimální opr

Súvisiace články