E-mailové protokoly

Posted on by Natália Šimková
E-mailové protokoly

Proč existují tři e-mailové protokoly

E-mailová komunikace stojí na rozdělení rolí: protokol SMTP (Simple Mail Transfer Protocol) zajišťuje přenos zpráv mezi servery a odeslání pošty z klienta, zatímco POP3 (Post Office Protocol v3) a IMAP (Internet Message Access Protocol) slouží ke stahování a práci s poštovní schránkou na serveru. Toto oddělení umožňuje škálování, směrování a bezpečné doručování napříč internetem.

Architektura e-mailového ekosystému

  • MUA (Mail User Agent): e-mailový klient (Outlook, Thunderbird, Apple Mail, mobilní aplikace).
  • MSA (Mail Submission Agent): brána pro podání pošty uživatelem (typicky port 587/TCP; vyžaduje autentizaci).
  • MTA (Mail Transfer Agent): server přenášející zprávy mezi doménami (Postfix, Exim, Microsoft Exchange Transport).
  • MDA (Mail Delivery Agent): lokální doručovatel do schránky (Dovecot LDA, Procmail, LMTP).
  • Úložiště schránek: formáty Maildir/mbox, indexy, kvóty; přístup přes POP3/IMAP.
  • Doprovodné služby: DNS (MX, SPF, DKIM, DMARC), antispam/antivir, archivace a zálohování.

Formát zprávy: od RFC 5322 k MIME

Základní e-mail tvoří záhlaví (From, To, Date, Subject, Message-ID, Received) a tělo. MIME rozšiřuje možnosti o přílohy, vícedílné zprávy (multipart/alternative pro text/HTML) a kódování obsahu (Base64, Quoted-Printable). Hlavičky Content-Type a Content-Transfer-Encoding definují, jak klient data interpretuje.

SMTP: principy přenosu a směrování

SMTP (RFC 5321) navazuje TCP spojení obvykle na port 25 (MTA↔MTA) a 587/465 (MUA↔MSA). Po úvodním pozdravu (EHLO) si strany vyjednají rozšíření (ESMTP). Odesílání probíhá sekvencí MAIL FROMRCPT TODATA. Server vrací tříciferné kódy (2xx OK, 4xx dočasná chyba, 5xx trvalá chyba). Pokud cílový MTA není dostupný, zpráva je zařazena do fronty a retransmitována dle backoff politiky až do expirace (bounce).

ESMTP rozšíření a efektivita

  • STARTTLS: přepnutí na TLS v rámci stejného spojení; chrání před odposlechem.
  • AUTH (SASL): mechanismy PLAIN/LOGIN/CRAM-MD5/OAuth2 pro autentizaci v MSA režimu.
  • PIPELINING: omezuje RTT odesíláním více příkazů bez čekání na odpovědi.
  • SIZE/8BITMIME/CHUNKING: vyjednání limitů velikosti, přenos 8bit obsahu a efektivní posílání velkých zpráv.
  • DSN: notifikace o doručení/nedoručení s detailní diagnózou.

Bezpečnost SMTP: TLS, SPF, DKIM, DMARC, MTA-STS a DANE

Transportní ochranu zajišťuje TLS (implicitní na 465 nebo STARTTLS na 587/25). Pro reputaci a autenticitu odesílatele slouží:

  • SPF: DNS TXT záznam definuje, které servery smějí odesílat poštu za doménu.
  • DKIM: kryptografický podpis zprávy; příjemce ověří veřejný klíč v DNS.
  • DMARC: politika domény pro vyhodnocení SPF/DKIM v kontextu alignmentu a pokynů (none/quarantine/reject) včetně reportingu (RUA/RUF).
  • MTA-STS/DANE: zajišťují TLS pro MTA↔MTA (policy přes HTTPS/DNSSEC), aby se předešlo downgrade útokům.

POP3: jednoduché stažení pošty

POP3 (port 110, s TLS 995) je minimalistický protokol navržený pro stažení pošty do jednoho klienta. Po autentizaci (USER/PASS nebo APOP/SASL) klient typicky zprávy stáhne a smaže ze serveru (DELE), případně ponechá kopii (volba „Leave on server“). POP3 nemá koncept složek, vlajek ani plné synchronizace; pracuje nad jednou frontou zpráv s příkazy LIST, RETR, TOP, UIDL.

POP3: kdy dává smysl a jeho omezení

  • Vhodné: jednoduché scénáře s jedním zařízením, nízká režie na serveru, offline práce.
  • Omezení: bez složek, štítků a čtení stavů, kolizní přístup z více zařízení, problematické mazání a deduplikace.

IMAP: vzdálená správa schránky

IMAP (port 143, s TLS 993) umožňuje plnohodnotnou práci se schránkou na serveru: struktura složek, štítky/flagy (\Seen, \Answered, \Flagged, \Draft, \Deleted), částečné stahování (fetch hlaviček/částí), vyhledávání na serveru a více současných klientů. Klíčové jsou příkazy LOGIN/AUTHENTICATE, SELECT, FETCH, STORE, COPY, EXPUNGE.

IMAP rozšíření: výkon a UX

  • IDLE/PUSH: server posílá notifikace o nových zprávách bez aktivního dotazování.
  • UID: stabilní identifikátory zpráv usnadňují synchronizaci a odolnost vůči změnám.
  • CONDSTORE/QUOTA: efektivní synchronizace flagů a správa kvót.
  • SORT/THREAD: třídění a vláknění server-side zrychluje práci klientů.

Tok zprávy od odesílatele k příjemci

  1. MUA se autentizuje k MSA (587/STARTTLS) a odešle zprávu (ESMTP + AUTH).
  2. MSA ověří politiku (SPF/DMARC pro submission není relevantní, ale aplikuje DKIM podpis).
  3. MTA podle DNS MX záznamů předá zprávu cílové doméně; mezi servery probíhá SMTP (25/TLS).
  4. Cílový MTA provede antispam/antivir, DMARC/SPF/DKIM validaci a doručí zprávu MDA do schránky.
  5. Příjemce přistupuje ke schránce přes IMAP (typicky více zařízení) nebo POP3 (jednoduše stáhne).

Autentizace a řízení přístupu

Moderní servery vyžadují autentizaci pro odesílání přes MSA a pro přístup ke schránce. SASL poskytuje mechanismy (PLAIN/LOGIN přes TLS, SCRAM, OAuth2 s delegovaným přístupem). Doporučuje se vynucení TLS, blokace zastaralých mechanismů bez šifrování a aplikace MFA tam, kde to klienti podporují.

Antispam a reputace

  • Obsahová analýza: bayes, pravidla (SpamAssassin), reputační RBL/URI blacklisty.
  • Greylisting/Rate limiting: snižují šum od botnetů.
  • Backscatter prevence: odmítat na SMTP úrovni (5xx), nepřeposílat bounces cizím doménám.
  • DMARC reporting: agregované a forenzní reporty pro ladění politik.

Provozní aspekty: fronty, logy, metriky

  • Fronty (queue): zadržené zprávy při dočasných chybách (4xx), retry s exponenciálním backoffem, TTL a bounce generace.
  • Protokolování: transakční logy SMTP (Received řetězec), IMAP/POP3 přihlášení, audit přístupů.
  • Monitoring: doručitelnost (accepted/rejected/deferred), latence, velikost front, využití kvót, TLS skóre a chyby autentizace.

Implementace a software

  • SMTP/MTA: Postfix, Exim, OpenSMTPD, Microsoft Exchange Transport, Sendmail (historicky).
  • IMAP/POP3 server: Dovecot, Cyrus IMAP, Exchange Mailbox role.
  • Další komponenty: Amavis/Rspamd/SpamAssassin, ClamAV, Sieve pro serverové filtrování a pravidla.

Bezpečnostní doporučení pro provoz

  • Vynucujte TLS (MSA: require-STARTTLS), silné šifry, HSTS pro webmail, MTA-STS/DANE pro meziserverovou komunikaci.
  • Nasazujte SPF, DKIM, DMARC s postupným zpřísňováním (none → quarantine → reject) a sledováním reportů.
  • Omezte relaying (žádný open relay), aplikujte rate limiting a ochranu proti zneužití účtů (bruteforce, credential stuffing).
  • Oddělte MSA od MTA, používejte samostatné IP adresy a reverzní DNS (PTR) s konzistentním HELO/EHLO.
  • Pravidelně aktualizujte software, sledujte CVE, auditujte konfigurace a zálohujte schránky i nastavení.

Kdy zvolit POP3 vs. IMAP

  • POP3: jednoduché prostředí s jedním klientem, nízké nároky na server, omezený datový provoz.
  • IMAP: více zařízení, složky, filtrování na serveru, rychlé vyhledávání a synchronizace stavů.

Typické problémy a jejich řešení

  • Nedoručitelnost: zkontrolujte MX, PTR a SPF; sledujte SMTP logy a kódy 5xx/4xx; prověřte blokové listy.
  • Špatné kódování češtiny: ověřte MIME hlavičky a Content-Type s UTF-8, vyhněte se nekonzistentnímu HTML.
  • Duplicitní nebo mizící zprávy u POP3: používejte UIDL, správně nastavte „ponechat kopii“ a limity serveru.
  • Pomalý IMAP: povolte a optimalizujte indexy, využijte IDLE, limitujte příliš hluboká zanoření složek.

Best practices návrhu a provozu

  • Oddělená vrstva pro příjem (MX) a odesílání (MSA), reverzní proxy a antispam/antivir před MTA.
  • Pečlivé limity: maximální velikost zprávy, počty příjemců, relace a souběžná spojení.
  • Serverové filtrování pomocí Sieve (automatické třídění, odpovědi, přesměrování, vacation).
  • Archivace a legal hold odděleně od produkční schránky; zálohy s testovanou obnovou.
  • Transparentní komunikace s uživateli: kvóty, politiky příloh, doporučení pro bezpečné používání (MFA, phishing awareness).

Závěr

SMTP, POP3 a IMAP tvoří komplementární sadu protokolů, která zajišťuje spolehlivý přenos zpráv, správu schránek a pohodlný přístup z více zařízení. Správná kombinace bezpečnostních standardů (TLS, SPF, DKIM, DMARC) a provozních postupů (monitoring, logování, anti-spam, zálohování) je klíčem k vysoké doručitelnosti, bezpečnosti a uživatelskému komfortu. Volba mezi POP3 a IMAP závisí na potřebách synchronizace a správě schránky, zatímco SMTP zůstává páteří celé e-mailové infrastruktury.

Related Posts

Európsky fond regionálneho rozvoja, ERDF

Európsky fond regionálneho rozvoja (ERDF) v Kontexte Európskej Integrácie Európsky fond regionálneho rozvoja (ERDF) je významným finančným nástrojom štrukturálnej a regionálnej politiky Európskej únie (EÚ), […]

EUCEN

Eucen – Sieť európskych univerzít ďalšieho vzdelávania European Universities Continuing Education Network – Sieť európskych univerzít ďalšieho vzdelávania. eucen, čo je skratka pre European Universities […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *