Přeskočit obsah

Princip DMARC a jeho nastavení

DMARC (Domain-based Message Authentication, Reporting, and Conformance) je bezpečnostní protokol v emailové komunikaci, který pomáhá chránit před podvodnými emaily a phishingem. Slouží především k:

  • Ověřování pravosti emailových odesílatelů
  • Ochraně před falšováním emailových adres
  • Nastavení pravidel pro handling podezřelých zpráv

Funguje tak, že rozšiřuje dva předchozí ověřovací protokoly (SPF a DKIM) a umožňuje vlastníkovi domény:

  • Definovat, jak mají být zpracovány emaily, které neprojdou autentizací
  • Nastavit, zda mají být takové emaily odmítnuty, umístěny do spamu nebo přijaty
  • Získávat reporty o pokusech o zneužití domény

DMARC tak významně zvyšuje bezpečnost elektronické komunikace tím, že brání podvodníkům v zneužívání firemních nebo organizačních domén.

Struktura DMARC záznamu se skládá z několika klíčových parametrů:

Verze protokolu:

  • Vždy začíná v=DMARC1

Politika pro domény (p):

  • p=none - žádná akce
  • p=quarantine - podezřelé emaily do karantény
  • p=reject - kompletní zamítnutí podezřelých emailů

Subdoménová politika (sp):

  • Umožňuje nastavit specifickou politiku pro subdomény
  • Hodnoty stejné jako pro parametr p

Reporting (rua):

  • Definuje emailovou adresu pro zasílání souhrnných reportů o autentizaci
  • Příklad: rua=mailto:dmarc-reports@domena.tld

Procento vyhodnocování (pct):

  • Určuje procento zpráv, na které se DMARC pravidla aplikují
  • Rozsah 0-100

Příklad kompletního DMARC DNS záznamu:

Název Typ Obsah
_dmarc.domena.tld TXT v=DMARC1; p=reject; rua=mailto:dmarc-reports@domena.tld; pct=100

Doporučený postup nasazení DMARC je zpravidla následující:

Počáteční fáze - monitoring:

  • Nastavit politiku p=none
  • Zapnout reporting
  • Analyzovat přicházející reporty
  • Identifikovat legitimní odesílatele

Přechodová fáze - karanténa:

  • Změnit na p=quarantine
  • Postupně omezovat podezřelé emaily
  • Ověřit, že nejsou blokováni legitimní odesílatelé

Finální fáze - striktní ochrana:

  • Nastavit p=reject
  • Kompletně zamítat falešné emaily

Klíčová doporučení:

  • Postupovat pozvolna
  • Pečlivě vyhodnocovat reporty
  • Pravidelně ověřovat nastavení všech emailových služeb

Ideální je mít nejprve nastavenou politiku na none a sledovat reporty minimálně 30-60 dní před dalšími kroky.