Przejdź do głównej zawartości

Zabezpieczenie DMARC - czym jest i jak go wdrożyć?

DMARC to jedno z narzędzi do zabezpieczania poczty elektronicznej.

Weronika Kapias avatar
Napisane przez Weronika Kapias
Zaktualizowano w tym tygodniu

Czym jest DMARC?

DMARC (Domain-based Message Authentication Reporting and Conformance) działa na podstawie informacji zawartych w rekordach SPF i DKIM. Jednak DMARC w odróżnieniu od nich może sprecyzować serwerowi, czy powinien lub nie przyjąć wiadomość.

Przykładowy rekord DMARC przedstawiony jest poniżej wraz z wyjaśnieniem jego poszczególnych elementów:

v=DMARC1;p=reject;rua=mailto:dmarc-raporty@twojadomena.com;ruf=mailto:dmarc-forensic@twojadomena.com

Poszczególne elementy:

  • "v=DMARC1" to identyfikator, którego serwer odbierający szuka, aby uruchomić test DMARC; określa wersję protokołu DMARC.

  • "p=..." informuje serwer, co zrobić z wiadomościami e-mail, które nie przeszły testu DMARC. Są trzy polityki: none (brak restrykcji), quarantine (umieszczanie w spamie) i reject (odrzucanie).

  • "rua=mailto:..." wskazuje serwerowi, gdzie wysłać zbiorcze raporty o awariach DMARC.

  • "ruf=mailto:..." dotyczy szczegółowych raportów związanych z awariami DMARC. Adres e-mail musi pochodzić z domeny, dla której publikowany jest rekord DMARC.

Ten przykład zawiera tylko kilka elementów (tzw. tagów), te najbardziej rekomendowane, ale może on być bardziej złożony w zależności od potrzeb. Można dodatkowo zawrzeć także parametr “rf=...", który określa format raportu o awarii, lub "pct=...", który przekazuje informację jaki procent wiadomości, które nie przejdą DMARC, powinno być odrzucone.

Więcej tagów oraz opisy ich zastosowania możesz znaleźć tutaj: https://mxtoolbox.com/dmarc/details/what-is-a-dmarc-record

Zgodnie ze zmianami, które zostaną wprowadzone przez Google i Yahoo od lutego 2024 roku, każda domena nadawcza powinna posiadać DMARC przynajmniej z polityką p=none.

Taki wpis może wyglądać następująco:

Name: _dmarc.twojadomena.com

Type: TXT

Value: v=DMARC1; p=none

Rekomendowana konfiguracja DMARC

Zalecamy stosowanie poniższych ustawień DMARC:

  • adkim = r - relaksowane dopasowanie DKIM
    Określa, jak ściśle sprawdzany jest podpis DKIM w wiadomościach wychodzących z Twojej domeny. W trybie „relaksowanym” (r) dopasowanie jest mniej restrykcyjne – np. jeśli subdomena wysyła wiadomość, nadal może być uznana za poprawną. Dzięki temu zmniejsza się ryzyko odrzucania prawidłowych e-maili.

  • aspf = r - relaksowane dopasowanie SPF
    Określa, jak dokładnie sprawdzany jest adres nadawcy w rekordzie SPF. W trybie „relaksowanym” (r) dopasowanie nie musi być identyczne – wiadomości wysłane z subdomen też mogą przejść weryfikację. To pomaga uniknąć fałszywych blokad, szczególnie jeśli korzystasz z różnych usług do wysyłki e-maili.

  • p = none - tryb monitorowania
    Ustawienie p=none oznacza, że polityka DMARC nie blokuje ani nie oznacza wiadomości. Serwery odbiorców jedynie wysyłają raporty o tym, jak Twoje e-maile przeszły weryfikację. To pozwala obserwować ruch e-mailowy i weryfikować konfigurację, zanim zdecydujesz się na bardziej restrykcyjną politykę.

Zbyt restrykcyjne ustawienia DMARC (np. p=quarantine lub p=reject) mogą powodować problemy z dostarczalnością, jeśli wszystkie źródła wysyłki nie są poprawnie skonfigurowane.

Jak działa weryfikacja DMARC?

Pamiętaj, że aby DMARC działał poprawnie należy najpierw skonfigurować wpisy SPF oraz DKIM. Instrukcję znajdziesz poniżej:

Właściciel domeny ustawia zasady określające, jak postępować z wiadomościami, które nie spełniają wymagań SPF i DKIM. DMARC umożliwia również odbieranie raportów na temat działań podejmowanych przez serwery pocztowe odbierające wiadomości. Te zasady stają się częścią rekordów DNS danej domeny.

Gdy serwer pocztowy odbiera wiadomość, weryfikuje rekordy DNS danej domeny nadawcy, aby sprawdzić politykę DMARC i ocenia wiadomość wg trzech wytycznych:

  • czy DKIM jest prawidłowy

  • czy SPF zawiera IP serwera nadawczego

  • czy domeny w nagłówkach (from i return_path) są takie same jak domena w adresie nadawcy (w polu “od”)

Po weryfikacji, na bazie ustalonej przez nadawcę polityki DMARC, serwer “decyduje” co zrobić z wiadomością oraz przesyła raport do nadawcy.

Źródło: https://hostido.pl/blog/mechanizmy-zabezpieczajace-poczte-e-mail-spf-dkim-dmarc/

Dlaczego warto skonfigurować DMARC?

SPF i DKIM skupiają się na uwierzytelnieniu wiadomości pod względem źródła i integralności treści, a DMARC dodatkowo agreguje te mechanizmy, umożliwiając ustanowienie polityk dotyczących obsługi wiadomości oraz raportowanie działań podejmowanych przez serwery pocztowe. Skonfigurowanie SPF i DKIM zgodnie z DMARC może zwiększyć skuteczność zabezpieczeń przeciwko fałszowaniu i atakom phishingowym.

Potrzebujesz dodatkowej pomocy?

Jeśli masz jakiekolwiek dodatkowe pytania dotyczące pracy z domeną nadawcy oraz DKIM w edrone, skontaktuj się z nami na hello@edrone.me.

Artykuły powiązane
Zabezpieczenie DKIM - co to i jak je dodać do wiadomości z edrone?
Zabezpieczenie SPF - co to i jak je dodać do wiadomości z edrone?
Co to jest BIMI i za co odpowiada?
Typy zgodności DMARC
Dlaczego moja wiadomość trafia do folderu Oferty?
Czy to odpowiedziało na twoje pytanie?