Princip DMARC a jeho nastavení¶
DMARC (Domain-based Message Authentication, Reporting, and Conformance) je bezpečnostní protokol v emailové komunikaci, který pomáhá chránit před podvodnými emaily a phishingem. Slouží především k:
- Ověřování pravosti emailových odesílatelů
- Ochraně před falšováním emailových adres
- Nastavení pravidel pro handling podezřelých zpráv
Funguje tak, že rozšiřuje dva předchozí ověřovací protokoly (SPF a DKIM) a umožňuje vlastníkovi domény:
- Definovat, jak mají být zpracovány emaily, které neprojdou autentizací
- Nastavit, zda mají být takové emaily odmítnuty, umístěny do spamu nebo přijaty
- Získávat reporty o pokusech o zneužití domény
DMARC tak významně zvyšuje bezpečnost elektronické komunikace tím, že brání podvodníkům v zneužívání firemních nebo organizačních domén.
Struktura DMARC záznamu se skládá z několika klíčových parametrů:¶
Verze protokolu:
- Vždy začíná
v=DMARC1
Politika pro domény (p
):
p=none
- žádná akcep=quarantine
- podezřelé emaily do karantényp=reject
- kompletní zamítnutí podezřelých emailů
Subdoménová politika (sp
):
- Umožňuje nastavit specifickou politiku pro subdomény
- Hodnoty stejné jako pro parametr
p
Reporting (rua
):
- Definuje emailovou adresu pro zasílání souhrnných reportů o autentizaci
- Příklad:
rua=mailto:dmarc-reports@domena.tld
Procento vyhodnocování (pct
):
- Určuje procento zpráv, na které se DMARC pravidla aplikují
- Rozsah 0-100
Příklad kompletního DMARC DNS záznamu:
Název | Typ | Obsah |
---|---|---|
_dmarc.domena.tld |
TXT |
v=DMARC1; p=reject; rua=mailto:dmarc-reports@domena.tld; pct=100 |
Doporučený postup nasazení DMARC je zpravidla následující:¶
Počáteční fáze - monitoring:
- Nastavit politiku
p=none
- Zapnout reporting
- Analyzovat přicházející reporty
- Identifikovat legitimní odesílatele
Přechodová fáze - karanténa:
- Změnit na
p=quarantine
- Postupně omezovat podezřelé emaily
- Ověřit, že nejsou blokováni legitimní odesílatelé
Finální fáze - striktní ochrana:
- Nastavit
p=reject
- Kompletně zamítat falešné emaily
Klíčová doporučení:
- Postupovat pozvolna
- Pečlivě vyhodnocovat reporty
- Pravidelně ověřovat nastavení všech emailových služeb
Ideální je mít nejprve nastavenou politiku na none
a sledovat reporty minimálně 30-60 dní před dalšími kroky.