DMARC - Domain-based Message Authentication, Reporting and Conformance
DMARC (Domain-based Message Authentication, Reporting and Conformance) je doplněk k technologiím DKIM a SPF, který zvyšuje důvěryhodnost Vaší e-mailové komunikace. Umožňuje nastavit požadované chování poštovního serveru příjemce v případě, že z Vaší domény obdrží podezřelý e-mail. Lze také aktivovat zasílání reportů o odesílaných e-mailech a chování příjemců.
Jak DMARC funguje
DMARC zajišťuje kontrolu shody DKIM a SPF (DKIM alignment a SPF alignment). To se provádí porovnáním, zda u přijatého e-mailu souhlasí odchozí doména uvedená v různých částech e-mailu (např. doména v DKIM podpisu, v hlavičce e-mailu, SMTP komunikaci):
Pozitivní výsledek kontroly DKIM alignment tedy znamená, že se shoduje doména v DKIM podpisu zprávy s doménou odesilatele v hlavičce zprávy.
SPF alignment porovnává doménu odesilatele z hlavičky zprávy s odesilatelem uvedeným v SMTP komunikaci (MAIL FROM, tedy odesilatel uvedený v přijatém e-mailu) a zároveň zda e-mail přišel z autorizované IP adresy v SPF záznamu na DNS.
Jak aktivovat DMARC na Vaší doméně
Aktivace DMARC se provádí přidáním DNS záznamu typu TXT, kam uvedete vaše preference, který může vypadat následovně:
Záznam | Text | TTL |
_dmarc | v=DMARC1; p=none; rua=mailto:reporty@vasedomena.cz | 3600 |
Toto je asi nejjednodušší nastavení, které aktivuje použití DMARC na doméně a zasílání souhrnných reportů na adresu reporty@vasedomena.cz. Volba p=none určuje akci, kterou má server příjemce provést s e-mailem, u kterého nesouhlasí ověření přes DKIM nebo SPF. Můžeme tak jednoduše přijít na možné problémy v doručování.
Pokud jsou přicházející reporty určitou dobu v pořádku, můžeme politiku “none” změnit na “reject” a server příjemce bude chybné zprávy odmítat. V takovém případě by zápis vypadal takto:
Záznam | Text | TTL |
_dmarc | v=DMARC1; p=reject; rua=mailto:reporty@vasedomena.cz | 3600 |
Nastavení DMARC
V tomto TXT záznamu je možné použít několik parametrů upravujících fungování DMARC. Zde uvádíme všechny, které jsou aktuálně podporované:
"v" - verze protokolu, v současnosti lze použít pouze hodnotu DMARC1
"p" - požadovaná akce příjemce, tedy jak má příjemce naložit se zprávou, která neúspěšně prošla kontrolou SPF a DKIM. Lze nastavit následující hodnoty:
- none - příjemce neprovede žádnou akci navíc, standardně si tedy provede kontroly SPF a DKIM (pokud je prování) a na základě těchto a dalších výsledků poté vyhodnotí důvěryhodnost zprávy a zpracuje ji podle vlastních pravidel
- quarantine - příjemce dostane zprávu označenou jako určenou do karantény a podle svých pravidel s ní naloží, například ji přesune do nevyžádané pošty
- reject - příjemce v tomto případě odmítne doručení zprávy, vůbec tedy nedorazí do cílového mailboxu - viz příklad v 2. tabulce
"sp" - požadovaná akce příjemce zpráv odesílaných např. ze subdomén, lze volit ze stejných hodnot jako u parametru "p"
"rua" - e-mailová adresa pro zasílání agregovaných reportů