DMARC - Domain-based Message Authentication, Reporting and Conformance
DMARC (Domain-based Message Authentication, Reporting and Conformance) je doplněk k technologiím DKIM a SPF, který zvyšuje důvěryhodnost Vaší e-mailové komunikace. Umožňuje nastavit požadované chování poštovního serveru příjemce v případě, že z Vaší domény obdrží podezřelý e-mail. Lze také aktivovat zasílání reportů o odesílaných e-mailech a chování příjemců.
Jak DMARC funguje
DMARC zajišťuje kontrolu autentičnosti DKIM a SPF skrze tzv. DKIM alignment a SPF alignment. To se provádí porovnáním domén uvedených v různých částech e-mailu (doména ve From: adrese, Return-path/Mfrom, DKIM podpisu):
Pozitivní výsledek kontroly DKIM alignment znamená, že se shoduje doména v DKIM podpisu zprávy s doménou odesilatele v hlavičce zprávy (From: adresa).
SPF alignment kontroluje shodu domény odesilatele z hlavičky zprávy (adresa From:) s doménou odesilatele uvedené v SMTP komunikaci (Return-path/MAIL FROM/HELO).
Jak aktivovat DMARC na Vaší doméně
Aktivace DMARC se provádí přidáním DNS záznamu typu TXT, kam uvedete vaše preference, který může vypadat následovně:
Záznam | Text | TTL |
_dmarc | v=DMARC1; p=none; rua=mailto:reporty@vasedomena.cz | 3600 |
Toto je asi nejjednodušší nastavení, které aktivuje použití DMARC na doméně a zasílání souhrnných reportů na adresu reporty@vasedomena.cz. Část za symbolem p= (což může být none, quarantine nebo reject) určuje akci, kterou má server příjemce provést s e-mailem, u kterého nesouhlasí ověření přes DKIM nebo SPF (v defaultním nastavení stačí, aby alespoň jeden z alignmentů byl v pořádku). Můžeme tak jednoduše přijít na možné problémy v doručování.
Pokud jsou přicházející reporty určitou dobu v pořádku, můžeme politiku “none” změnit na “reject” (zprávy by měl server adresáta odmítat) nebo "quarantine" (zprávy by měl server adresáta zařazovat do spamové složky). V případě politiky reject by DMARC záznam vypadal například takto:
Záznam | Text | TTL |
_dmarc | v=DMARC1; p=reject; rua=mailto:reporty@vasedomena.cz | 3600 |
Nastavení DMARC
V tomto TXT záznamu je možné použít několik parametrů upravujících fungování DMARC. Zde uvádíme všechny, které jsou aktuálně podporované:
"v" - verze protokolu, v současnosti lze použít pouze hodnotu DMARC1
"p" - požadovaná akce příjemce, tedy jak má příjemce naložit se zprávou, která neúspěšně prošla kontrolou SPF a DKIM. Lze nastavit následující hodnoty:
- none - příjemce neprovede žádnou akci navíc, standardně si tedy provede kontroly SPF a DKIM (pokud je prování) a na základě těchto a dalších výsledků poté vyhodnotí důvěryhodnost zprávy a zpracuje ji podle vlastních pravidel
- quarantine - příjemce dostane zprávu označenou jako určenou do karantény a podle svých pravidel s ní naloží, například ji přesune do nevyžádané pošty
- reject - příjemce v tomto případě odmítne doručení zprávy, vůbec tedy nedorazí do cílového mailboxu - viz příklad v 2. tabulce
"sp" - požadovaná akce příjemce zpráv odesílaných např. ze subdomén, lze volit ze stejných hodnot jako u parametru "p"
"rua" - e-mailová adresa pro zasílání agregovaných reportů