Czym jest DMARC?
DMARC (Domain-based Message Authentication Reporting and Conformance) działa na podstawie informacji zawartych w rekordach SPF i DKIM. Jednak DMARC w odróżnieniu od nich może sprecyzować serwerowi, czy powinien lub nie przyjąć wiadomość.
Przykładowy rekord DMARC przedstawiony jest poniżej wraz z wyjaśnieniem jego poszczególnych elementów:
v=DMARC1;p=reject;rua=mailto:dmarc-raporty@twojadomena.com;ruf=mailto:dmarc-forensic@twojadomena.com
Poszczególne elementy:
"v=DMARC1" to identyfikator, którego serwer odbierający szuka, aby uruchomić test DMARC; określa wersję protokołu DMARC.
"p=..." informuje serwer, co zrobić z wiadomościami e-mail, które nie przeszły testu DMARC. Są trzy polityki: none (brak restrykcji), quarantine (umieszczanie w spamie) i reject (odrzucanie).
"rua=mailto:..." wskazuje serwerowi, gdzie wysłać zbiorcze raporty o awariach DMARC.
"ruf=mailto:..." dotyczy szczegółowych raportów związanych z awariami DMARC. Adres e-mail musi pochodzić z domeny, dla której publikowany jest rekord DMARC.
Ten przykład zawiera tylko kilka elementów (tzw. tagów), te najbardziej rekomendowane, ale może on być bardziej złożony w zależności od potrzeb. Można dodatkowo zawrzeć także parametr “rf=...", który określa format raportu o awarii, lub "pct=...", który przekazuje informację jaki procent wiadomości, które nie przejdą DMARC, powinno być odrzucone.
Więcej tagów oraz opisy ich zastosowania możesz znaleźć tutaj: https://mxtoolbox.com/dmarc/details/what-is-a-dmarc-record
Zgodnie ze zmianami, które zostaną wprowadzone przez Google i Yahoo od lutego 2024 roku, każda domena nadawcza powinna posiadać DMARC przynajmniej z polityką p=none.
Taki wpis może wyglądać następująco:
Name: _dmarc.twojadomena.com
Type: TXT
Value: v=DMARC1; p=none
Jak działa weryfikacja DMARC?
Pamiętaj, że aby DMARC działał poprawnie należy najpierw skonfigurować wpisy SPF oraz DKIM. Instrukcję znajdziesz poniżej:
Właściciel domeny ustawia zasady określające, jak postępować z wiadomościami, które nie spełniają wymagań SPF i DKIM. DMARC umożliwia również odbieranie raportów na temat działań podejmowanych przez serwery pocztowe odbierające wiadomości. Te zasady stają się częścią rekordów DNS danej domeny.
Gdy serwer pocztowy odbiera wiadomość, weryfikuje rekordy DNS danej domeny nadawcy, aby sprawdzić politykę DMARC i ocenia wiadomość wg trzech wytycznych:
czy DKIM jest prawidłowy
czy SPF zawiera IP serwera nadawczego
czy domeny w nagłówkach (from i return_path) są takie same jak domena w adresie nadawcy (w polu “od”)
Po weryfikacji, na bazie ustalonej przez nadawcę polityki DMARC, serwer “decyduje” co zrobić z wiadomością oraz przesyła raport do nadawcy.
Dlaczego warto skonfigurować DMARC?
SPF i DKIM skupiają się na uwierzytelnieniu wiadomości pod względem źródła i integralności treści, a DMARC dodatkowo agreguje te mechanizmy, umożliwiając ustanowienie polityk dotyczących obsługi wiadomości oraz raportowanie działań podejmowanych przez serwery pocztowe. Skonfigurowanie SPF i DKIM zgodnie z DMARC może zwiększyć skuteczność zabezpieczeń przeciwko fałszowaniu i atakom phishingowym.
Potrzebujesz dodatkowej pomocy?
Jeśli masz jakiekolwiek dodatkowe pytania dotyczące pracy z domeną nadawcy oraz DKIM w edrone, skontaktuj się z nami na hello@edrone.me.