DMARC - Domain-based Message Authentication, Reporting and Conformance
DMARC (Domain-based Message Authentication, Reporting and Conformance) je doplnok k technologiám DKIM a SPF, ktorý zvyšuje dôveryhodnosť Vašej e-mailovej komunikácie. Umožňuje nastaviť požadované chovanie sa poštového servera príjemcu v prípade, že z Vašej domény obdrží podozrový e-mail. Je možné tiež aktivovať zasielanie reportov o odosielaných e-mailoch a chování príjemcov.
Ako DMARC funguje
DMARC zaisťuje kontrolu zhody DKIM a SPF (DKIM alignment a SPF alignment). To sa vykonáva porovnaním, toho či pri prijatom e-maily súhlasí doména odosieľatela uvedená v rôzných častiach e-mailu (napr. doména v DKIM podpise, v hlavičke e-mailu, SMTP komunikácii):
Pozitivny výsledok kontroly DKIM alignment teda znamená, že sa zhoduje doména v DKIM podpise správy s doménou odosieľatela v hlavičke správy.
SPF alignment porovnáva doménu odosieľatela z hlavičky správy s odosieľatelom uvedeným v SMTP komunikácii (MAIL FROM, teda odosieľatel uvedený v prijatom e-maily) a zároveň či e-mail prišiel z autorizovanej IP adresy v SPF zázname na DNS.
Ako aktivovať DMARC na Vaše doméne
Aktivácia DMARC sa vykonáva pridaním DNS záznamu typu TXT, kam uvediete vaše preferencie, ktoré môžu vyzerať následovne
Záznam | TTL | Text |
@ | 3600 | v=DMARC1; p=none; rua=mailto:reporty@vasadomena.sk |
Toto je asi nejjednoduchšie nastavenie, ktoré aktivuje použitie DMARC na doméne a zasielanie súhrnných reportov na adresu reporty@vasadomena.sk. Voľba p=none určuje akciu, ktorú má server príjemcu vykonať s e-mailom, pri ktorom nesúhlasí overenie cez DKIM alebo SPF.
Nastavenie DMARC
V tomto TXT zázname je možné použiť niekoľko parametrov upravujúcich fungovanie DMARC. Tu uvádzate všetky, ktoré sú aktuálne podporované:
"v" - verzia protokolu, v súčasnosti je možné použiť iba hodnotu DMARC1
"p" - požadovaná akcia príjemcu, teda ako má príjemca naložiť so správou, ktorá neúspešne prešla kontrolou SPF a DKIM. Je možné nastaviť nasledujúce hodnoty:
- none - príjemca nevykoná žiadnu akciu navyšše, štandardne si teda vykoná kontroly SPF a DKIM (pokiaľ je vykonáva) a na základe týchto a ďalších výsledkov potom vyhodnotí dôveryhodnosť správy a spracuje ju podľa vlastných pravidiel
- quarantine - príjemca dostane správu označenú ako určenú do karantény a podľa svojích pravidiel s ňou naloží, napríklad ju presunie do nevyžiadanej pošty
- reject - príjemce v tomto prípade odmietne doručenie správy, vôbec teda nedorazí do cieľového mailboxu
"sp" - požadovaná akcia príjemcu správ odosielaných napr. zo subdomén, je možné voliť z rovnakých hodnôt ako pri parametroch "p"
"rua" - e-mailová adresa pre zasielanie agregovaných reportov