Filtrace spamu

Filtrace spamu

Filtrace spamu a správa doručitelnosti (deliverability) jsou dvě strany téže mince: jedním cílem je chránit příjemce před nevyžádanou poštou a zneužitím, druhým je zajistit legitimním odesílatelům spolehlivé doručování do složky Doručené. V praxi to znamená kombinaci správně nastavené infrastruktury, autentizačních protokolů, reputační hygieny, kvalitního obsahu, souhlasu příjemce a průběžného monitoringu. Tento článek shrnuje osvědčené postupy od DNS a MTA vrstvy až po provozní procesy, které udrží vaše e-maily v doručené poště a mimo spam.

Současná hrozbová scéna: co filtry sledují

• Identitu odesílatele: vazba mezi IP, doménou, HELO/EHLO, rDNS a autentizací (SPF, DKIM, DMARC).
• Reputaci: historická data o spamu, stížnostech (complaints), bouncích a spam-trap zásazích.
• Obsah a kontext: jazykové signály, URL, zkracovače, přílohy, phishingové vzory, podivné kódování.
• Engagement: míra otevření a kliků, mazání bez čtení, označení „To není spam“ atd.
• Technickou kvalitu: TLS, shoda hlaviček, validní MIME, velikost, rychlost a vzor odesílání.

Základy doručitelnosti: principy, které se nevyplácí obcházet

1. Souhlas a očekávání: double opt-in, jasná hodnota, frekvence a obsah v souladu s tím, co jste slíbili.
2. Identita a konzistence: stabilní odesílací doména, subdomény podle typu provozu (transakční vs. marketing).
3. Hygiena databáze: pravidelné čištění neaktivních a tvrdě odskakujících adres, potlačovací (suppression) seznamy.
4. Transparentní odhlášení: jedním klikem a bez tření; respektování preferencí do 24 hodin.
5. Telemetrie a zpětná vazba: měřit, analyzovat, iterovat – doručitelnost je proces, nikoli jednorázová konfigurace.

Autentizace: SPF, DKIM, DMARC a BIMI

SPF (Sender Policy Framework) definuje v DNS, které IP smějí posílat poštu pro vaši doménu. Doporučení: co nejkratší řetězení záznamů, -all (hard fail) až po důkladném auditu všech odesílatelů; pro začátek často ~all.

DKIM (DomainKeys Identified Mail) podepisuje vybrané hlavičky a tělo zprávy klíčem svázaným s doménou. Doporučení: pravidelná rotace klíčů, 2048bit, více selektorů pro různé toky (např. mktg, txn).

DMARC (Domain-based Message Authentication, Reporting & Conformance) navazuje na SPF/DKIM a vyžaduje jejich alignment s doménou v From. Postup: začít s p=none a sbírat rua agregovaná hlášení; po validaci přitvrzovat na quarantine a reject. Uveďte sp= pro subdomény a zvažte adkim/aspf=strict pro přísnější shodu.

BIMI (Brand Indicators for Message Identification) umožní zobrazit logo odesílatele, vyžaduje DMARC v režimu karantény nebo zamítnutí. Použijte validní SVG Tiny P/S a u vybraných poskytovatelů i VMC certifikát.

Transportní bezpečnost: TLS, MTA-STS, TLS-RPT a DANE

• STARTTLS/TLS: zajistěte moderní šifry a aktuální certifikát; slabé protokoly (TLS 1.0/1.1) vypněte.
• MTA-STS: publikujte zásady pro příjem přes TLS a hostujte /.well-known/mta-sts.txt; DNS záznam _mta-sts.
• TLS-RPT: záznam _smtp._tls pro sběr reportů o selháních šifrování.
• DANE pro SMTP: pokud máte DNSSEC, publikujte TLSA záznamy pro pinning certifikátu.

Infrastruktura a identita odesílatele

• rDNS/FCrDNS: PTR záznam IP musí odpovídat hostnamu a ten musí mít A/AAAA zpět na tutéž IP. HELO/EHLO se má rovnat hostnamu.
• Dedicated vs. shared IP: dedikovaná IP dává kontrolu nad reputací; u nových IP proveďte warm-up postupné navyšování objemu.
• Oddělení toků: transakční pošta na vlastní subdoméně a infrastruktuře (např. mail.example.com vs. mktg.example.com).
• Throttling a fronty: respektujte per-domain limity, backoff při 4xx, exponenciální retry a maximální TTL ve frontě.

DNSBL/RBL a URL reputace

Mnohé servery používají DNS blacklisty pro IP (RBL/DNSBL) a seznamy reputace odkazů (URIBL/SURBL). Pravidelně kontrolujte, zda IP/domény nejsou uvedeny na seznamech. Z oběhu vyřazujte zkracovače a domény s pochybnou reputací; nejlépe používejte vlastní, reputačně čisté domény pro přesměrování.

Obsahové filtrování a strojové učení

• Heuristiky: skladba hlaviček, anomální poměr text/HTML, excesivní obrázky bez alternativy, skryté znaky, nevalidní MIME.
• Bayes/ML: moderní filtry kombinují jazykové modely a reputační signály; vyhněte se spamovým klišé, manipulativním předmětům a obcházení filtrů.
• URL a brand bezpečnost: domény s krátkou historií, mismatch display URL vs. target, podezřelé parametry.

Greylisting, rate-control a adaptivní ochrany

Příjemci často používají greylisting (první pokus 4xx, očekává se retry), dynamické limity podle reputace a zatížení. Vaše MTA musí umět rozlišovat 4xx vs. 5xx, implementovat chytré retry a neeskalovat objem agresivně při dočasných chybách.

Hlavičky zvyšující doručitelnost

• List-Unsubscribe: nabídněte <mailto:...> i <https://...> variantu; podporuje odhlášení jedním klikem ve webmailech.
• List-ID: stabilní identifikátor seznamu pro filtry a třídění.
• Message-ID: unikátní a z vaší domény; vyhněte se generickým nebo prázdným hodnotám.
• Precedence/Auto-Submitted: u automatů nastavte správně, aby nedocházelo k ping-pongu odpovědí.

Bounce management: jak číst SMTP kódy

• 4xx (temporary): dočasné chyby – reputace, špička, greylisting; aplikujte backoff a opakujte.
• 5xx (permanent): neexistující schránka, politika, blokace; hard bounce ihned potlačit.
• Kategorizace: oddělujte invalidní adresy, plné schránky, policy blokace a spamové stížnosti; každá kategorie má jiný akční plán.

Stížnosti a feedback loops (FBL)

Zapojte dostupné FBL u poskytovatelů (tam, kde existují). Každou stížnost považujte za signál k okamžitému potlačení příjemce a revizi akvizičního kanálu. Udržujte complaint-rate pod přísnými prahy (typicky řádově desetiny procenta).

IP a doménový warm-up

1. Začněte na nízkém objemu vůči doménám s nejlepší historií engagementu.
2. Postupně zvyšujte denní limit, sledujte 4xx/5xx, spam-folder rate a stížnosti.
3. Segmentujte podle aktivity (aktivní > méně aktivní > chladné kontakty).

Databázová hygiena a právo

• Double opt-in: prokazatelný souhlas, auditní stopa.
• TTL souhlasu: re-permissioning u dlouhodobě neaktivních.
• GDPR/antispam legislativa: legitimní účel, minimalizace dat, právo na výmaz, jasné podmínky a identita správce.

Segmentace a frekvenční řízení

Over-mailing je častý důvod stížností. Implementujte send-time optimization, capy na uživatele a preference center. Transakční a notifikační zprávy oddělte od marketingu i SLA (rychlost, dostupnost).

Monitoring a diagnostika

• Postmaster nástroje: sledujte doménové a IP metriky, latenci, spamy a bouncy u hlavních providerů.
• DMARC RUA/RUF: agregace a forenzní nálezy; vizualizace podílů pass/fail a zdrojů spoofingu.
• Inbox placement testy: seed-listy pro odhad, nikoli absolutní pravdu; kombinujte s real-world engagementem.
• Obsahové skóringy: průběžně kontrolujte šablony a odkazy na blacklisty.

Provozní playbook: od incidentu k nápravě

1. Identifikace: náhlý nárůst 4xx/5xx, pokles open/click, růst spam folder rate.
2. Izolace: zjistěte, který proud (IP, doména, kampaň, šablona) je příčinou; dočasně omezte objem.
3. Analýza: DMARC/ARC logy, změny DNS/MTA, noví odesílatelé, nová kreativa, stížnosti, spam-trap zásahy.
4. Náprava: oprava autentizace, odstranění rizikových kontaktů/URL, revize obsahu, korekce frekvence.
5. Postupné obnovení: znovu-warm-up, monitorované navyšování, dokumentace a prevence (kontroly v CI/CD).

Forwarding a složité topologie: ARC a aliasy

Přeposílání často láme SPF. ARC (Authenticated Received Chain) pomáhá předat ověření v řetězci doručení. Pro mailing-listy a aliasy zvažte přepis From (SRS/From rewrite) a důslednou správu podpisů DKIM na hranách.

Metriky, na kterých záleží

• Delivery rate vs. inbox placement: doručení neznamená doručení do Doručené.
• Bounce rate: držte tvrdé odskoky pod velmi nízkými hodnotami; analyzujte důvody.
• Complaint rate: míra stížností je klíčový reputační signál; reagujte okamžitě.
• Engagement: open rate zkresluje ochrana soukromí; sledujte kvalitní kliky a reply/forward signály.

Šablonový checklist před odesláním

• SPF, DKIM, DMARC pass a alignment pro From doménu.
• Validní MIME struktura, alt texty u obrázků, rozumný poměr text/obrázky.
• Funkční List-Unsubscribe (mailto i URL) a srozumitelné odhlášení v těle zprávy.
• Žádné odkazy na domény s pochybnou reputací; vlastní branded tracking.
• Test na seed-listech a reálných schránkách; kontrola renderu v hlavních klientech.

Architektura MTA a provozní doporučení

• Oddělené fronty per doména: jemné řízení rychlosti a paralelismu.
• Observabilita: strukturované logy, metriky (prometheus), dashboardy, alerty na chybové poměry a latenci.
• Automatizace: CI/CD pro šablony a DNS změny; validace MX/SPF/DKIM/DMARC před nasazením.

Strategie adresního prostoru a subdomén

Vytvořte jasnou politiku: txn.example.cz pro transakční, mktg.example.cz pro marketing, notify.example.cz pro notifikace. Každá subdoména má vlastní SPF, DKIM selektory a DMARC politiku (sp=), případně i vlastní IP pool.

Bezpečnost a ochrana značky

• Detekce spoofingu: analyzujte DMARC reporty, zavádějte p=reject po validaci legitimních toků.
• Omezení přístupů: odesílací klíče a přístupy k ESP/MTA v trezoru, rotace a minimální oprávnění.
• Phishing simulace a školení: vnitřní testy zvyšují bezpečnost a zároveň odhalí filtrační mezery.

Nejčastější příčiny pádu do spamu

• Neshoda From domény s DKIM/SPF (misalignment) nebo chybějící podpisy.
• Špatná reputace IP/domény (spam-trap hity, stížnosti, náhlé objemové skoky).
• URL s nízkou reputací, podezřelé přesměrování, zkracovače.
• Nevyvážený obsah, příliš agresivní prodejní jazyk, zavádějící předmět.
• Neaktuální databáze, vysoký podíl tvrdých odskoků.

Závěr

Úspěšná filtrace spamu a správa doručitelnosti je průsečík technické disciplíny, reputační hygieny a práce s publikem. Vytvořte stabilní identitu a infrastrukturu (SPF/DKIM/DMARC, TLS, MTA-STS, rDNS), veďte data-driven procesy (hygiena, segmentace, feedback loops), hlídejte obsah a frekvenci a opírejte se o telemetrii a postmaster nástroje. Doručitelnost není náhoda – je to výsledek konzistentní strategie a pečlivého provozu.