DMARC (Domain-based Message Authentication, Reporting and Conformance) je specifikace, která umožňuje propojit dvě technologie autentifikace SPF a DKIM a informovat server přijímající zprávu o tom, jaká pravidla má aplikovat na zprávy z určité domény.
DKIM – zaobírá se obsahem emailu, může ho však podepsat téměř kdokoliv. Pokud se podaří ověřit DKIM podpis, zůstává ještě otázka, jestli se může věřit podepisujícímu.
SPF – ověřuje odesílací server a vychází z informací odevzdaných protokolem SMTP. Ty se však nemusí shodovat s tím, co je napsané v hlavičkách emailu.
DMARC na tyto dvě technologie navazuje, kombinuje je a má následující klíčové vlastnosti:
- Vychází z adresy odesilatele uvedené v hlavičce From emailu a snaží se ověřit, jestli email byl skutečně odeslaný z uvedené domény.
- Využívá SPF a DKIM – pokud bylo splněné SPF odesilatelovy domény nebo email nese její ověřený DKIM podpis, považuje ji za důvěryhodnou.
- Definuje politiku pro neúspěšné emaily – jak se zachovat k těm, které DMARC ověřením neprojdou.
- Umožňuje nastavit zpětnou vazbu – kam a jak posílat zprávy o výsledcích DMARC pro emaily (údajně) odeslané z dané domény.
- Můžete nastavit, že se má uplatňovat jen pro část emailů a nasazovat je postupně.
- DMARC zveřejňuje držitel odesílací domény a ověřuje příjemce emailu
Je důležité, že DMARC není jen samostatnou technologií, navazuje právě na existující SPF a DKIM. Těmi si příjemce ověří, jestli email vyhověl pravidlům pro odeslání z domény podle mail from z SMTP a ze kterých domén má platné podpisy. Tyto informace se potom zasílají do modulu DMARC, který porovnává a zkoumá, jestli domény ověřené v SPF nebo DKIM mají něco společného z uvedené domény v hlavičce from. Pokud alespoň jedna část je pravdivá, tak se podle DMARC dá věřit tomu, že email byl opravdu odeslaný z dané domény.
Nastavení DMARC
DMARC aktivujeme přidáním DNS záznamu typu TXT
Záznam: _dmarc
Text: v=DMARC1; p=none; rua=mailto:reporty@vasedomena.cz
TTL: 3600
V tomto TXT záznamu můžete použít několik parametrů upravujících fungování DMARC.
„v“ – verze protokolu, v současnosti můžeme použít pouze hodnotu DMARC1
„p“ – požadovaná akce příjemce, tedy jak má příjemce naložit se zprávou, která neúspěšně prošla kontrolou SPF a DKIM. Můžete nastavit následující hodnoty:
none – příjemce nevykoná žádnou akci navíc, standardně si tedy vykoná kontroly SPF a DKIM a na základě těchto a dalších výsledků potom vyhodnotí důvěryhodnost zprávy a zpracuje ji podle vlastních pravidel
quarantine – příjemce dostane zprávu označenou jako určenou do karantény a podle svých pravidel s ní naloží, například ji přesune do nevyžádané pošty
reject – příjemce v tomto případě odmítne doručení zprávy, vůbec tedy nedorazí do cílového mailboxu.
„rua“ – e-mailová adresa pro zasílání agregovaných reportů
Generování záznamu přes mxtoolbox
DMARC záznam si můžete i jednoduše vygenerovat. Na stránce mxtoolbox si zadáme název domény pro kterou chcete DMARC nastavit a klikneme na „Check DMARC record“. Na levé straně si nastavujeme jednotlivé parametry podle výpisu výše a na pravé straně se nám záznam automaticky aktualizuje podle zadaných parametrů.
Hotový „suggested record“ zkopírujeme a vytvoříme nový TXT záznam ve Webadminu podle tohoto návodu.