S rostoucím množstvím a širokou rozmanitostí podvodných e-mailů se někteří poštovní klienti (Gmail.com, Yahoo.com) rozhodli zpřísnit svá bezpečnostní opatření pro příjem pošty vyžadováním DMARC záznamu pro kompletní ověření odesílatele e-mailových zpráv. Je zřejmé, že v budoucnu se přidají i další poštovní příjemci.
V tomto článku naleznete:
Co je to DMARC záznam?
DMARC (Domain-based Message Authentication, Reporting and Conformance) je bezpečnostní protokol (metoda) navržený k ochraně e-mailové komunikace proti phishingu, podvržení identity a jiným druhům e-mailových podvodů. Tento protokol umožňuje specifikovat, jak by měly být ověřovány e-maily (prostřednictvím DKIM a SPF) příjemcem e-mailu. Prostřednictvím něho je také možné sledovat a zlepšovat ověřovací proces rozesílaných e-mailů přijímacími poštovními servery.
Cílem DMARC je snížit riziko phishingu a podvodných e-mailů tím, že poskytne více možností nastavení pro ověření e-mailové komunikace přicházející pod konkrétní doménou (@domena.cz) a umožnit sledování procesu tohoto ověření vlastníkem konkrétní domény.
DMARC záznam, který je (pokud je nastaven) součástí DNS záznamů vaší domény, poskytuje pokyny/pravidla pro e-mailové servery, které jsou příjemci e-mailů. Definuje, jak by měly tyto servery zacházet s e-maily, které jsou právě posílány jménem vaší domény. Případně v jaké formě a kam zasílat reporty o zpracování e-mailů přijatých pod vaší doménou.
V dalším kroku najdete, jak s DMARC záznamem pracovat v Ecomailu. 👇
Jak nastavím DMARC záznam?
Přihlaste se do vašeho účtu v Ecomailu a přejděte do sekce Správa účtu > Domény
Klikněte na tlačítko "Nová odesílací doména", anebo klikněte na tlačítko "Kontrola nastavení" v případě již existující domény:
POZOR: V případě nové domény je třeba ověřit ještě DKIM a CNAME záznam(nápověda).
Aplikace vám nabídne název vašeho DMARC záznamu a jeho hodnotu.
Tento záznam bude potřeba zadat do vašeho hostingu, kde má doména jmenné servery. Poraďte se případně s vaším technikem, anebo podporou daného hostingu.
Znění DMARC záznamu
Typ | TXT |
Název | _dmarc (pokud používáte subdoménu, bude název _dmarc.subdomena) |
TTL | 1800 |
Hodnota* | Vložte hodnotu vygenerovanou aplikací, viz kroky výše. |
⚠️ *Možností nastavení DMARC záznamu je velké množství a záleží na vašich potřebách. Jednotlivé parametry i s vysvětlením, najdete níže.
Vysvětlení jednotlivých parametrů, s kterými lze v DMARC pracovat:
v – verze protokolu (nyní jen DMARC1)
pct – určuje procento zpráv, které budou kontrolovány (100 je pro 100 %, tj. kontrole podléhají všechny zprávy)
ruf – vaše e-mailová adresa/adresy, kam budou zaslány forenzní reporty
rua – vaše e-mailová adresa/adresy, kam budou zasílány agregované reporty
p – zvolená politika DMARC (určuje, jak bude příjemce zacházet se zprávami, které kontrolou neprojdou)
none – žádná politika, DMARC funguje pouze pro účely reportování/testování a poštu klasicky doručí
quarantine – příjemce na výsledek kontroly bere ohled, zpravidla zprávu, která kontrolou neprošla, může označit za spam
reject – příjemce zprávu, která kontrolou neprošla, odmítne a nedoručí(dojde k odražení)
sp – zde nastavujete, zdali se má politika uplatňovat i pro subdomény vaší domény (např. news.domena.cz), hodnoty se shodují s p
adkim – mód kontroly pro DKIM alignment
r (relaxed) – méně restriktivní; shoda nastane, pokud souhlasí mateřská doména (např. news.ecomail.cz = ecomail.cz)
s (strict) – striktní; shoda nastane jen pokud je doména stejná
aspf – mód kontroly pro SPF alignment
r (relaxed) – méně restriktivní; shoda nastane, pokud souhlasí mateřská doména (např. news.ecomail.cz = ecomail.cz)
s (strict) – striktní; shoda nastane jen pokud je doména totožná
rf – formát pro reporty ke zprávám, v tuto chvíli může nabývat pouze hodnot afrf
ri – interval pro zasílání agregovaných reportů o zprávách, které neprošly kontrolou DMARC, ve vteřinách
fo – mód zasílání forenzních reportů (= reporty pro každou zprávu zvlášť)
0 – report je příjemcem odeslán, pokud zpráva zcela neprojde DMARC kontrolou (tzn. obě kontroly, DKIM alignment a SPF alignment, selžou); výchozí hodnota
1 – report je příjemcem odeslán, pokud zpráva neprojde kontrolou SPF alignment nebo DKIM alignment (tzn. zpráva ovšem stále mohla celkově úspěšně projít DMARC kontrolou)
d – report je příjemcem odeslán ke každé zprávě, která neprojde DKIM shodou
s – report je příjemcem odeslán ke každé zprávě, která neprojde SPF shodou
Pro rozesílku na Gmail emailové adresy v tuto chvíli postačí parametr p nastavený na hodnotu none (hodnota DMARC záznamu bude vypadat následovně: v=dmarc1; p=none). Samozřejmě si ale můžete jednotlivé parametry nastavit dle vašich potřeb – v případě nejasností se obraťte na vaše techniky, či IT správce - možností nastavení DMARC záznamu je velké množství.
💡 V aplikaci Ecomail vám nabízíme do začátku konkrétní hodnotu, která vyhoví aktuálním potřebám nastavení DMARC.
Jak poznám, že je DMARC správně nastavený?
Jakmile DMARC záznam v hostingu domény ověříte, nemusíte již v Ecomailu provádět další nastavení. Správnost nastavení DMARC záznamu si můžete ověřit na webu, v rámci nástrojů typu MxToolBox, Dmarcian.
Časté dotazy (FAQ)
Proč mi na e-mail chodí automatické e-maily s reporty?
V případě, že jste si do hodnoty ruf a rua vložili vlastní e-mailovou adresu, bude vám hosting posílat reporty na zadanou adresu. Je tedy třeba si určit jinou adresu, anebo nastavit vygenerovaný záznam dle naší nápovědy.Proč je DMARC záznam ve stavu neověřeno?
DMARC záznam může být neověřený ze 3 důvodů:
DMARC záznam pro vaši doménu není nastaven.
DMARC záznam pro vaši doménu je nastaven, ale je v něm chyba.
Pro vaši doménu máte nastaveno více DMARC záznamů.
☝️ Jedna doména (subdoména) může mít pouze jeden DMARC záznam (pro doménu vasedomena.cz jeden DMARC záznam, pro doménu novinky.vasedomena.cz také jeden DMARC záznam, apod.).
💡Potřebujete zasílat reporty na více adres? Zadejte více e-mailových adres oddělených čárkou ve tvaru:
rua = mailto: adresa1@vasedomena.cz, mailto: adresa2@vasedomena.cz;
💭 Nenašli jste odpověď? Napište nám na chat nebo e-mail support@ecomail.cz. 😊