DMARC - Domain-based Message Authentication, Reporting and Conformance
DMARC (Domain-based Message Authentication, Reporting and Conformance) je doplnok k technológiám DKIM a SPF, ktorý zvyšuje dôveryhodnosť Vašej e-mailovej komunikácie. Umožňuje nastaviť požadované chovanie poštového serveru príjemcu v prípade, že z Vašej domény obdrží podozrivý e-mail. Je možné tiež aktivovať zasielanie reportov o odosielananí e-mailoch a chování príjemcov.
Ako DMARC funguje
DMARC zaisťuje kontrolu zhody DKIM a SPF (DKIM alignment a SPF alignment). To sa vykonáva porovnávaním, či pri prijatom e-mailu súhlasí odosielajúca doména uvedená v rôznych častiach e-mailov (napr. doména v DKIM podpisu, v hlavičke e-mailu, SMTP komunikácii):
Pozitivny výsledok kontroly DKIM alignment teda znamená, že sa zhoduje doména v DKIM podpisu správy s doménou odosielateľa v hlavičke správy.
SPF alignment porovnává doménu odosielateľa z hlavičky správy s odosielateľom uvedeným v SMTP komunikácii (MAIL FROM, teda odosielateľ uvedený v prijatom e-maily) a zároveň či e-mail přišiel z autorizovanej IP adresy v SPF záznamu na DNS.
Ako aktivovať DMARC na Vašej doméne
Aktivácie DMARC sa vykonáva pridaním DNS záznamu typu TXT, kam uvediete vaše preferencie, ktorý môže vyterať nasledovne:
Záznam | Text | TTL |
_dmarc | v=DMARC1; p=none; rua=mailto:reporty@vasadomena.sk | 3600 |
Toto je asi najjednoduchšie nastavenie, ktoré aktivuje použitie DMARC na doméne a zasielanie súhrnných reportov na adresu reporty@vasadomena.sk. Voľba p=none určuje akciu, ktorú má server príjemcu vykonať s e-mailom, u ktorého nesúhlasí overenie cez DKIM alebo SPF. Môžete tak jednoducho prísť na možné problémy v doručovaní.
Pokiaľ sú prichádzajúce reporty určitou dobu v poriadku, môžeme politiku “none” zmeniť na “reject” a server príjemcu bude chybné správy odmietať. V takom prípade by zápis vyzeral takto:
Záznam | Text | TTL |
_dmarc | v=DMARC1; p=reject; rua=mailto:reporty@vasadomena.sk | 3600 |
Nastavenie DMARC
V tomto TXT záznamu je možné použiť niekoľko parametrov upravujúcixh fungkovanie DMARC. Tu uvádzame všetky, ktoré sú aktuálne podporované:
"v" - verzie protokolu, v súčastnosti je možné použiť iba hodnotu DMARC1
"p" - požadovaná akcia príjemcu, teda ako má príjemca naložiť so správou, ktorá neúspešne prešla kontrolou SPF a DKIM. Je možné nastaviť nasledujúce hodnoty:
- none - prijemca nevykoná žiadnu akciu navyše, štandardne si teda vykoná kontroly SPF a DKIM (pokiaľ ich vykonáva) a na základe týchto a ďalších výsledkov potom vyhodnotí dôveryhodnosť správy a spracuje ju podľa vlastných pravidiel
- quarantine - príjemca dostane správa označenú ako určenú do karantény a podľa svojích pravidiel s ňou naloží, napríklad ju presunie do nevyžiadanej pošty
- reject - príjmeca v tomto prípade odmietne doručenie správy, vôbec teda nedorazí do cieľového mailboxu - viď príklad v 2. tabulke
"sp" - požadovaná akcia príjemcu správ odosielaných napr. zo subdomén, je možné voliť z rovnakých hodnôt ako pri parametroch "p"
"rua" - e-mailová adresa pre zsasielanie agregovaných reportov