Co je DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) je řešení pro validaci e-mailových zpráv, které umožňuje detekovat a předcházet podvrženým e-mailům (například s falešným odesílatelem). DMARC je postaven na mechanismech SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) a stanovuje, jak se mají příjemci zpráv zachovat v případě, že SPF a/nebo DKIM kontrola selže. Kromě toho nabízí možnost získávat přehled o těchto situacích. Koordinuje tedy výsledek DKIM a SPF kontrol a specifikuje, za jakých podmínek má být adresa odesílatele v e-mailu (hlavička From:) považována za důvěryhodnou.
Nastavení DMARC
DMARC je speciální TXT záznam, nastavit jej můžete v klientské sekci ve správě své domény v části DNS → Přidat TXT záznam. S návrhem základního záznamu Vám pomůže generátor umístěný tamtéž. Pokud má DMARC platit pro "hlavní" doménu (např. example.com), nastavuje se jako doména 3. řádu s názvem _dmarc (tedy _dmarc.example.com). Pokud má platit pro subdoménu (např. sub.example.com), nastaví se jako doména 4. řádu _dmarc.subdoména (např. _dmarc.sub.example.com).
Pro fungování DMARC je třeba mít aktivní SPF a DKIM.
Konkrétní nastavení záznamu záleží na Vašich preferencích, jak se mají přijímací servery ke zprávám zasílaným jménem Vaší domény chovat. Informace o možných parametrech záznamu najdete níže.
Nastavení DMARC pro Google
Od 1. února 2024 zavádí Google změny pro odesílatele, kteří na účty Gmail (@gmail.com nebo @googlemail.com) odesílají více než 5000 zpráv denně. Nově bude podmínkou úspěšného přijetí zprávy kromě správné konfigurace SPF a DKIM i nastavení DMARC.
Podle dostupných informací by mělo stačit doméně nastavit neutrální DMARC, tedy záznam například ve tvaru v=DMARC1; p=none; rua=mailto:[email protected].
Parametry DMARC záznamu
DMARC záznam se skládá z různých parametrů oddělených středníkem a mezerou. Prvním z parametrů je identifikace v=DMARC1;. Následuje přehled dalších možností.
| Parametr | Popis | Možné hodnoty |
|---|---|---|
| p | Zvolená politika DMARC, tedy jak má příjemce naložit se zprávou, která neprojde kontrolou. | none - výsledek kontroly nemá vliv na doručení; jen reportováníquarantine - příjemce zohlední výsledek kontroly, obvykle zprávu označí jako spamreject - příjemce zprávu odmítne |
| sp | Zvolená politika DMARC pro subdomény. | stejné jako u p |
| rua | E-mailová adresa pro zasílání agregovaných (souhrnných) reportů. Report obsahuje informace o zprávách za nějaké období (standardně 1 den). Zahrnuty jsou jak zprávy, které kontrolou prošly, tak ty, co neprošly. | mailto:[email protected] |
| ri | Interval pro zasílání agregovaných reportů v sekundách. | kladné celé číslo |
| ruf | E-mailová adresa pro zasílání forenzních (chybových) reportů. Report obsahuje informace o jedné zprávě, která neprošla kontrolou. | mailto:[email protected] |
| fo | Podmínky zasílání forenzních reportů. |
|
| pct | Procento zpráv, které bude zkontrolováno (100 znamená 100%, tedy všechny zprávy). | kladné celé číslo do 100 |
| adkim | Způsob kontroly DKIM. | r (relaxed) - shoda nastane, souhlasí-li hlavní doména (tzn. zahrnuje i subdomény)s (strict) - doména musí být totožná |
| aspf | Způsob kontroly SPF. | stejné jako u adkim |
Pokud je e-mailová adresa/adresy pro zasílání reportů na jiné doméně, musí tato mít tato jiná doména nastavený speciální TXT záznam, který přijímání reportů povolí. Například pro přijímání reportů pro doménu example.com na adrese [email protected] se bude jednat o záznam example.com._report._dmarc.example.net, hodnota záznamu je jednoduše v=DMARC1.
Příklady hodnot DMARC záznamu
v=DMARC1; p=none - do doručení zprávy není nijak zasahováno, bez reportování
v=DMARC1; p=quarantine; rua=mailto:[email protected]; ri=86400 - v případě selhání DMARC kontroly je zpráva označena jako spam, na e-mail [email protected] jsou zasílány souhrnné reporty maximálně jednou za den
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; adkim=s; aspf=s - v případě selhání DMARC kontroly je zpráva odmítnuta, na e-mail [email protected] jsou zasílány souhrnné i forenzní reporty, kontroly DKIM a SPF jsou striktní