DMARC a jeho nastavení

K čemu slouží DMARC, a jak jej lze nastavit pro vaši doménu

Daniela Esterová avatar
Autor: Daniela Esterová
Aktualizováno před více než týdnem

DMARC záznam ověřte do února roku 2024, kdy vchází nová opatření v platnost. 👇

S rostoucím množstvím a širokou rozmanitostí podvodných e-mailů se někteří poštovní klienti (Gmail.com, Yahoo.com) rozhodli zpřísnit svá bezpečnostní opatření pro příjem pošty vyžadováním DMARC záznamu pro kompletní ověření odesílatele e-mailových zpráv. Je zřejmé, že v budoucnu se přidají i další poštovní příjemci.

V tomto článku naleznete:


Co je to DMARC záznam?

DMARC (Domain-based Message Authentication, Reporting and Conformance) je bezpečnostní protokol (metoda) navržený k ochraně e-mailové komunikace proti phishingu, podvržení identity a jiným druhům e-mailových podvodů. Tento protokol umožňuje specifikovat, jak by měly být ověřovány e-maily (prostřednictvím DKIM a SPF) příjemcem e-mailu. Prostřednictvím něho je také možné sledovat a zlepšovat ověřovací proces rozesílaných e-mailů přijímacími poštovními servery.

Cílem DMARC je snížit riziko phishingu a podvodných e-mailů tím, že poskytne více možností nastavení pro ověření e-mailové komunikace přicházející pod konkrétní doménou (@domena.cz) a umožnit sledování procesu tohoto ověření vlastníkem konkrétní domény.

DMARC záznam, který je (pokud je nastaven) součástí DNS záznamů vaší domény, poskytuje pokyny/pravidla pro e-mailové servery, které jsou příjemci e-mailů. Definuje, jak by měly tyto servery zacházet s e-maily, které jsou právě posílány jménem vaší domény. Případně v jaké formě a kam zasílat reporty o zpracování e-mailů přijatých pod vaší doménou.

V dalším kroku najdete, jak s DMARC záznamem pracovat v Ecomailu. 👇

Jak nastavím DMARC záznam?

  1. Přihlaste se do vašeho účtu v Ecomailu a přejděte do sekce Správa účtu > Domény

  2. Klikněte na tlačítko "Nová odesílací doména", anebo klikněte na tlačítko "Kontrola nastavení" v případě již existující domény:


    POZOR: V případě nové domény je třeba ověřit ještě DKIM a CNAME záznam(nápověda).​

  3. Aplikace vám nabídne název vašeho DMARC záznamu a jeho hodnotu.

  4. Tento záznam bude potřeba zadat do vašeho hostingu, kde má doména jmenné servery. Poraďte se případně s vaším technikem, anebo podporou daného hostingu.

Znění DMARC záznamu

Typ

TXT

Název
(Hostname)

_dmarc (pokud používáte subdoménu, bude název _dmarc.subdomena)

TTL

1800

Hodnota*

Vložte hodnotu vygenerovanou aplikací, viz kroky výše.

⚠️ *Možností nastavení DMARC záznamu je velké množství a záleží na vašich potřebách. Jednotlivé parametry i s vysvětlením, najdete níže.

Vysvětlení jednotlivých parametrů, s kterými lze v DMARC pracovat:

  • v – verze protokolu (nyní jen DMARC1)

  • pct – určuje procento zpráv, které budou kontrolovány (100 je pro 100 %, tj. kontrole podléhají všechny zprávy)

  • ruf – vaše e-mailová adresa, kam budou zaslány forenzní reporty

  • rua – vaše e-mailová adresa, kam budou zasílány agregované reporty

  • p – zvolená politika DMARC (určuje, jak bude příjemce zacházet se zprávami, které kontrolou neprojdou)

    • none – žádná politika, DMARC funguje pouze pro účely reportování/testování a poštu klasicky doručí

    • quarantine – příjemce na výsledek kontroly bere ohled, zpravidla zprávu, která kontrolou neprošla, může označit za spam

    • reject – příjemce zprávu, která kontrolou neprošla, odmítne a nedoručí(dojde k odražení)

  • sp – zde nastavujete, zdali se má politika uplatňovat i pro subdomény vaší domény (např. news.domena.cz), hodnoty se shodují s p

  • adkim – mód kontroly pro DKIM alignment

    • r (relaxed) – méně restriktivní; shoda nastane, pokud souhlasí mateřská doména (např. news.ecomail.cz = ecomail.cz)

    • s (strict) – striktní; shoda nastane jen pokud je doména stejná

  • aspf – mód kontroly pro SPF alignment

    • r (relaxed) – méně restriktivní; shoda nastane, pokud souhlasí mateřská doména (např. news.ecomail.cz = ecomail.cz)

    • s (strict) – striktní; shoda nastane jen pokud je doména totožná

  • rf – formát pro reporty ke zprávám, v tuto chvíli může nabývat pouze hodnot afrf

  • ri – interval pro zasílání agregovaných reportů o zprávách, které neprošly kontrolou DMARC, ve vteřinách

  • fo – mód zasílání forenzních reportů (= reporty pro každou zprávu zvlášť)

    • 0 – report je příjemcem odeslán, pokud zpráva zcela neprojde DMARC kontrolou (tzn. obě kontroly, DKIM alignment a SPF alignment, selžou); výchozí hodnota

    • 1 – report je příjemcem odeslán, pokud zpráva neprojde kontrolou SPF alignment nebo DKIM alignment (tzn. zpráva ovšem stále mohla celkově úspěšně projít DMARC kontrolou)

    • d – report je příjemcem odeslán ke každé zprávě, která neprojde DKIM shodou

    • s – report je příjemcem odeslán ke každé zprávě, která neprojde SPF shodou

Pro rozesílku na Gmail emailové adresy v tuto chvíli postačí parametr p nastavený na hodnotu none (hodnota DMARC záznamu bude vypadat následovně: v=dmarc1; p=none). Samozřejmě si ale můžete jednotlivé parametry nastavit dle vašich potřeb – v případě nejasností se obraťte na vaše techniky, či IT správce - možností nastavení DMARC záznamu je velké množství.


💡 V aplikaci Ecomail vám nabízíme do začátku konkrétní hodnotu, která vyhoví aktuálním potřebám nastavení DMARC, reporty budou chodit do Ecomailu a my vám budeme moci vizualizovat výstupy těchto reportů.

Jak poznám, že je DMARC správně nastavený?

Jakmile DMARC záznam v hostingu domény ověříte, nemusíte již v Ecomailu provádět další nastavení. Správnost nastavení DMARC záznamu si můžete ověřit na webu, v rámci nástrojů typu MxToolBox, Dmarcian.

Vizualizace reportů(WIP)

❗FUNKCE JE V PŘÍPRAVÁCH: Ecomail bude poskytovat těm, kteří budou chtít zpracovávat reporty přijímacích serverů na základě zpracování DMARC záznamu, jednoduchý nástroj pro jejich zpracování a vizualizaci.

Časté dotazy(FAQ)

  1. Proč mi na e-mail chodí automatické e-maily s reporty?
    V případě, že jste si do hodnoty ruf a rua vložili vlastní e-mailovou adresu, bude vám hosting posílat reporty na zadanou adresu. Je tedy třeba si určit jinou adresu, anebo nastavit vygenerovaný záznam dle naší nápovědy.


💭 Nenašli jste odpověď? Napište nám na chat nebo e-mail support@ecomail.cz. 😊

Dostali jste odpověď na svou otázku?