Přeskočit obsah

Princip DMARC a jeho nastavení

DMARC, což je zkrácená forma výrazu Domain-based Message Authentication, Reporting, and Conformance (ověřování, hlášení a shoda zpráv na bázi domény), je záznam TXT přidaný do záznamů DNS vaší domény, který umožňuje detekovat a předcházet podvrženým e-mailům (například s falešným odesílatelem). Zásada DMARC říká přijímajícímu e-mailovému serveru, co má udělat po kontrole záznamů SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail), což jsou další metody ověřování e-mailů.

Princip

Záznam DMARC ukládá zásady DMARC domény. Záznamy DMARC jsou uloženy v systému DNS (Domain Name System) jako záznamy DNS TXT. Záznam DNS TXT může obsahovat téměř jakýkoli text, který chce správce domény spojit se svou doménou. Jedním ze způsobů, jak se záznamy DNS TXT používají, je ukládání zásad DMARC.

Příkladný DMARC záznam domény může vypadat například takto:

Název Typ Obsah
_dmarc.domena.tld TXT v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:postmaster@domena.tld;

Zásady DMARC určují, co se stane s e-mailem po kontrole záznamů SPF a DKIM. E-mail buď projde, nebo neprojde kontrolami SPF a DKIM. Zásady DMARC určují, zda neúspěch povede k tomu, že e-mail bude označen jako spam, bude zablokován nebo bude doručen zamýšlenému příjemci. Později může příjemce e-mailu odeslat zprávu o těchto incidentech vlastníkovi domény.

Poznámka: E-mailové servery mohou e-maily označit jako spam i v případě, že neexistuje záznam DMARC, ale DMARC poskytuje jasnější pokyny, kdy tak učinit.

Nasazení

Zásady domény domena.tld mohou být následující:

"Pokud e-mail nevyhoví testům DKIM a SPF, označte jej jako spam."

Tyto zásady se nezaznamenávají jako věty čitelné pro člověka, ale spíše jako strojově čitelné příkazy, aby je e-mailové služby mohly automaticky interpretovat. Tato zásada DMARC by ve skutečnosti vypadala takto:

v=DMARC1; p=quarantine; adkim=s; aspf=s;

Co to znamená?

  • v=DMARC1 znamená, že tento záznam TXT obsahuje zásady DMARC a jako takové by je měly e-mailové servery interpretovat.
  • p=quarantine označuje, že e-mailové servery by měly e-maily, které nevyhoví DKIM a SPF, dát do karantény - považují je za potenciální spam. Mezi další možná nastavení patří p=none, které umožňuje, aby e-maily, které selžou, prošly, a p=reject, které dává e-mailovým serverům pokyn, aby zablokovaly e-maily, které selžou.
  • adkim=s znamená, že kontroly DKIM jsou "přísné". Tuto možnost lze také nastavit na "uvolněnou" změnou "s" na "r", například adkim=r.
  • aspf=s je totéž jako adkim=s, ale pro SPF.

"aspf" a "adkim" jsou volitelná nastavení. Atribut "p=" určuje, co mají e-mailové servery dělat s e-maily, které nevyhoví požadavkům SPF a DKIM. Pokud by správce domena.tld chtěl tuto zásadu ještě zpřísnit a důrazněji signalizovat e-mailovým serverům, aby považovaly neautorizované zprávy za spam, upravil by atribut "p=" takto:

v=DMARC1; p=reject; adkim=s; aspf=s;

To v podstatě říká: "Pokud e-mail nevyhoví testům DKIM a SPF, nedoručujte jej."

Zásady DMARC mohou obsahovat pokyny pro odesílání zpráv o e-mailech, které vyhovují nebo nevyhovují DKIM nebo SPF. Hlášení DMARC jsou nesmírně důležitá, protože poskytují správci domény informace, které potřebují k rozhodnutí, jak upravit své zásady DMARC (například pokud jejich legitimní e-maily nevyhovují SPF a DKIM nebo pokud se spammer pokouší odesílat nelegitimní e-maily).

Správce domena.tld může přidat část rua zásady DMARC, aby odesílal pravidelná oznámení o jejich využití:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:postmaster@domena.tld;

Domény, které neodesílají e-maily, by přesto měly mít záznam DMARC, aby se zabránilo použití domény spammery. Záznam DMARC by měl obsahovat zásady DMARC, které odmítnou všechny e-maily, které nevyhoví požadavkům SPF a DKIM (což by měly být všechny e-maily odeslané danou doménou).