DMARC a jeho nastavení

K čemu slouží DMARC, a jak jej lze nastavit pro vaši doménu

Daniela Esterová avatar
Autor: Daniela Esterová
Aktualizováno před více než týdnem

DMARC záznam ověřte do února roku 2024, kdy vchází nová opatření v platnost. 👇

S rostoucím množstvím a širokou rozmanitostí podvodných e-mailů se někteří poštovní klienti (Gmail.com, Yahoo.com) rozhodli zpřísnit svá bezpečnostní opatření pro příjem pošty vyžadováním DMARC záznamu pro kompletní ověření odesílatele e-mailových zpráv. Je zřejmé, že v budoucnu se přidají i další poštovní příjemci.

V tomto článku naleznete:


Co je to DMARC záznam?

DMARC (Domain-based Message Authentication, Reporting and Conformance) je bezpečnostní protokol (metoda) navržený k ochraně e-mailové komunikace proti phishingu, podvržení identity a jiným druhům e-mailových podvodů. Tento protokol umožňuje specifikovat, jak by měly být ověřovány e-maily (prostřednictvím DKIM a SPF) příjemcem e-mailu. Prostřednictvím něho je také možné sledovat a zlepšovat ověřovací proces rozesílaných e-mailů přijímacími poštovními servery.

Cílem DMARC je snížit riziko phishingu a podvodných e-mailů tím, že poskytne více možností nastavení pro ověření e-mailové komunikace přicházející pod konkrétní doménou (@domena.cz) a umožnit sledování procesu tohoto ověření vlastníkem konkrétní domény.

DMARC záznam, který je (pokud je nastaven) součástí DNS záznamů vaší domény, poskytuje pokyny/pravidla pro e-mailové servery, které jsou příjemci e-mailů. Definuje, jak by měly tyto servery zacházet s e-maily, které jsou právě posílány jménem vaší domény. Případně v jaké formě a kam zasílat reporty o zpracování e-mailů přijatých pod vaší doménou.

V dalším kroku najdete, jak s DMARC záznamem pracovat v Ecomailu. 👇

Jak nastavím DMARC záznam?

  1. Přihlaste se do vašeho účtu v Ecomailu a přejděte do sekce Správa účtu > Domény

  2. Klikněte na tlačítko "Nová odesílací doména", anebo klikněte na tlačítko "Kontrola nastavení" v případě již existující domény:


    POZOR: V případě nové domény je třeba ověřit ještě DKIM a CNAME záznam(nápověda).​

  3. Aplikace vám nabídne název vašeho DMARC záznamu a jeho hodnotu.

  4. Tento záznam bude potřeba zadat do vašeho hostingu, kde má doména jmenné servery. Poraďte se případně s vaším technikem, anebo podporou daného hostingu.

Znění DMARC záznamu

Typ

TXT

Název
(Hostname)

_dmarc (pokud používáte subdoménu, bude název _dmarc.subdomena)

TTL

1800

Hodnota*

Vložte hodnotu vygenerovanou aplikací, viz kroky výše.

⚠️ *Možností nastavení DMARC záznamu je velké množství a záleží na vašich potřebách. Jednotlivé parametry i s vysvětlením, najdete níže.

Vysvětlení jednotlivých parametrů, s kterými lze v DMARC pracovat:

  • v – verze protokolu (nyní jen DMARC1)

  • pct – určuje procento zpráv, které budou kontrolovány (100 je pro 100 %, tj. kontrole podléhají všechny zprávy)

  • ruf – vaše e-mailová adresa/adresy, kam budou zaslány forenzní reporty

  • rua – vaše e-mailová adresa/adresy, kam budou zasílány agregované reporty

  • p – zvolená politika DMARC (určuje, jak bude příjemce zacházet se zprávami, které kontrolou neprojdou)

    • none – žádná politika, DMARC funguje pouze pro účely reportování/testování a poštu klasicky doručí

    • quarantine – příjemce na výsledek kontroly bere ohled, zpravidla zprávu, která kontrolou neprošla, může označit za spam

    • reject – příjemce zprávu, která kontrolou neprošla, odmítne a nedoručí(dojde k odražení)

  • sp – zde nastavujete, zdali se má politika uplatňovat i pro subdomény vaší domény (např. news.domena.cz), hodnoty se shodují s p

  • adkim – mód kontroly pro DKIM alignment

    • r (relaxed) – méně restriktivní; shoda nastane, pokud souhlasí mateřská doména (např. news.ecomail.cz = ecomail.cz)

    • s (strict) – striktní; shoda nastane jen pokud je doména stejná

  • aspf – mód kontroly pro SPF alignment

    • r (relaxed) – méně restriktivní; shoda nastane, pokud souhlasí mateřská doména (např. news.ecomail.cz = ecomail.cz)

    • s (strict) – striktní; shoda nastane jen pokud je doména totožná

  • rf – formát pro reporty ke zprávám, v tuto chvíli může nabývat pouze hodnot afrf

  • ri – interval pro zasílání agregovaných reportů o zprávách, které neprošly kontrolou DMARC, ve vteřinách

  • fo – mód zasílání forenzních reportů (= reporty pro každou zprávu zvlášť)

    • 0 – report je příjemcem odeslán, pokud zpráva zcela neprojde DMARC kontrolou (tzn. obě kontroly, DKIM alignment a SPF alignment, selžou); výchozí hodnota

    • 1 – report je příjemcem odeslán, pokud zpráva neprojde kontrolou SPF alignment nebo DKIM alignment (tzn. zpráva ovšem stále mohla celkově úspěšně projít DMARC kontrolou)

    • d – report je příjemcem odeslán ke každé zprávě, která neprojde DKIM shodou

    • s – report je příjemcem odeslán ke každé zprávě, která neprojde SPF shodou

Pro rozesílku na Gmail emailové adresy v tuto chvíli postačí parametr p nastavený na hodnotu none (hodnota DMARC záznamu bude vypadat následovně: v=dmarc1; p=none). Samozřejmě si ale můžete jednotlivé parametry nastavit dle vašich potřeb – v případě nejasností se obraťte na vaše techniky, či IT správce - možností nastavení DMARC záznamu je velké množství.


💡 V aplikaci Ecomail vám nabízíme do začátku konkrétní hodnotu, která vyhoví aktuálním potřebám nastavení DMARC, reporty budou chodit do Ecomailu a my vám budeme moci vizualizovat výstupy těchto reportů.

Jak poznám, že je DMARC správně nastavený?

Jakmile DMARC záznam v hostingu domény ověříte, nemusíte již v Ecomailu provádět další nastavení. Správnost nastavení DMARC záznamu si můžete ověřit na webu, v rámci nástrojů typu MxToolBox, Dmarcian.

Vizualizace reportů(WIP)

❗FUNKCE JE V PŘÍPRAVÁCH: Ecomail bude poskytovat těm, kteří budou chtít zpracovávat reporty přijímacích serverů na základě zpracování DMARC záznamu, jednoduchý nástroj pro jejich zpracování a vizualizaci.

V tuto chvíli vám s vizualizací reportů z DMARC může pomoci nástroj od MXToolbox, kam postačí nahrát XML reportu.

Časté dotazy (FAQ)

  1. Proč mi na e-mail chodí automatické e-maily s reporty?
    V případě, že jste si do hodnoty ruf a rua vložili vlastní e-mailovou adresu, bude vám hosting posílat reporty na zadanou adresu. Je tedy třeba si určit jinou adresu, anebo nastavit vygenerovaný záznam dle naší nápovědy.

  2. Proč je DMARC záznam ve stavu neověřeno?

    DMARC záznam může být neověřený ze 3 důvodů:

    • DMARC záznam pro vaši doménu není nastaven.

    • DMARC záznam pro vaši doménu je nastaven, ale je v něm chyba.

    • Pro vaši doménu máte nastaveno více DMARC záznamů.

☝️ Jedna doména (subdoména) může mít pouze jeden DMARC záznam (pro doménu vasedomena.cz jeden DMARC záznam, pro doménu novinky.vasedomena.cz také jeden DMARC záznam, apod.).

💡Potřebujete zasílat reporty na více adres? Zadejte více e-mailových adres oddělených čárkou ve tvaru:
rua = mailto: adresa1@vasedomena.cz, mailto: adresa2@vasedomena.cz;


💭 Nenašli jste odpověď? Napište nám na chat nebo e-mail support@ecomail.cz. 😊

Dostali jste odpověď na svou otázku?