DMARC (Domain-based Message Authentication, Reporting and Conformance) je špecifikácia, ktorá umožňuje prepojiť dve technológie autentifikácie SPF a DKIM a informovať server prijímajúci správu o tom, aké pravidlá má aplikovať na správy z určitej domény.
DKIM – zaoberá sa obsahom emailu, môže ho však podpísať takmer ktokoľvek. Ak sa podarí overiť DKIM podpis, zostáva ešte otázka, či sa môže veriť podpisujúcemu.
SPF – overuje odosielajúci server a vychádza z informácií odovzdaných protokolom SMTP. Tie sa však nemusia zhodovať s tým, čo je napísané v hlavičkách emailu.
DMARC na tieto dve technológie nadväzuje, kombinuje ich a má nasledujúce kľúčové vlastnosti:
- Vychádza z adresy odosielateľa uvedenej v hlavičke From emailu a snaží sa overiť, či email bol skutočne odoslaný z uvedenej domény.
- Využíva SPF a DKIM – ak bolo splnené SPF odosielateľovej domény alebo email nesie jej overený DKIM podpis, považuje ju za dôveryhodnú.
- Definuje politiku pre neúspešné emaily – ako sa zachovať k tým, ktoré DMARC overením neprejdú.
- Umožňuje nastaviť spätnú väzbu – kam a ako posielať správy o výsledkoch DMARC pre emaily (údajne) odoslané z danej domény.
- Môžete, že sa má uplatňovať len pre časť emailov a nasadzovať ich postupne.
- DMARC zverejňuje držiteľ odosielajúcej domény a overuje príjemcu emailu
Je dôležité, že DMARC nie je len samostatnou technológiou, nadväzuje práve na existujúce SPF a DKIM. Nimi si príjemca overí, či email vyhovel pravidlám pre odoslanie z domény podľa mail from z SMTP a z ktorých domén má platné podpisy. Tieto informácie sa potom zasielajú do modulu DMARC, ktorý porovnáva a skúma, či domény overené v SPF alebo DKIM majú niečo spoločné z uvedenej domény v hlavičke from. Pokiaľ aspoň jedna časť je pravdivá, tak sa podľa DMARC dá veriť tomu, že email bol naozaj odoslaný z danej domény.
Nastavenie DMARC
DMARC aktivujeme pridanim DNS zaznamu typu TXT
Záznam: _dmarc
Text: v=DMARC1; p=none; rua=mailto:reporty@vasadomena.sk
TTL: 3600
V tomto TXT záznamu môžete použiť niekoľko parametrov upravujúcich fungovanie DMARC.
„v“ – verzie protokolu, v súčastnosti môžeme použiť iba hodnotu DMARC1
„p“ – požadovaná akcia príjemcu, teda ako má príjemca naložiť so správou, ktorá neúspešne prešla kontrolou SPF a DKIM. Môžete nastaviť nasledujúce hodnoty:
none – príjemca nevykoná žiadnu akciu navyše, Štandardne si teda vykoná kontroly SPF a DKIM a na základe týchto a ďalších výsledkov potom vyhodnotí dôveryhodnosť správy a spracuje ju podľa vlastných pravidiel
quarantine – príjemca dostane správa označenú ako určenú do karantény a podľa svojích pravidiel s ňou naloží, napríklad ju presunie do nevyžiadanej pošty
reject – príjmeca v tomto prípade odmietne doručenie správy, vôbec teda nedorazí do cieľového mailboxu.
„rua“ – e-mailová adresa pre zsasielanie agregovaných reportov
Generovanie záznamu cez mxtoolbox
DMARC záznam si viete aj jednoducho vygenerovať. Na stránke mxtoolbox si zadáme názov domény pre ktorú chcete DMARC nastavit a klikneme na „Check DMARC record“. Na ľavej strane si nastavujeme jednotlivé parametre podľa výpisu vyššie a na pravej strane sa nám záznam automaticky aktualizuje podla zadaných parametrov.
Hotový „suggested record“ skopírujeme a vytvoríme nový TXT záznam vo Webadmine podľa tohto navodu.
