Co je DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) je řešení pro validaci e-mailových zpráv, které umožňuje detekovat a předcházet podvrženým e-mailům (například s falešným odesílatelem). DMARC je postaven na mechanismech SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) a stanovuje, jak se mají příjemci zpráv zachovat v případě, že SPF a/nebo DKIM kontrola selže. Kromě toho nabízí možnost získávat přehled o těchto situacích. Koordinuje tedy výsledek DKIM a SPF kontrol a specifikuje, za jakých podmínek má být adresa odesílatele v e-mailu (hlavička From:) považována za důvěryhodnou.
Nastavení DMARC
DMARC je speciální TXT záznam, nastavit jej můžete v klientské sekci ve správě své domény v části DNS → Přidat TXT záznam. S návrhem základního záznamu Vám pomůže generátor umístěný tamtéž. Pokud má DMARC platit pro "hlavní" doménu (např. example.com), nastavuje se jako doména 3. řádu s názvem _dmarc (tedy _dmarc.example.com). Pokud má platit pro subdoménu (např. sub.example.com), nastaví se jako doména 4. řádu _dmarc.subdoména (např. _dmarc.sub.example.com).
Pro fungování DMARC je třeba mít aktivní SPF a DKIM.
Konkrétní nastavení záznamu záleží na Vašich preferencích, jak se mají přijímací servery ke zprávám zasílaným jménem Vaší domény chovat. Informace o možných parametrech záznamu najdete níže.
Nastavení DMARC pro Google
Od 1. února 2024 zavádí Google změny pro odesílatele, kteří na účty Gmail (@gmail.com nebo @googlemail.com) odesílají více než 5000 zpráv denně. Nově bude podmínkou úspěšného přijetí zprávy kromě správné konfigurace SPF a DKIM i nastavení DMARC.
Podle dostupných informací by mělo stačit doméně nastavit neutrální DMARC, tedy záznam například ve tvaru v=DMARC1; p=none; rua=mailto:vas-email@vasedomena.cz.
Parametry DMARC záznamu
DMARC záznam se skládá z různých parametrů oddělených středníkem a mezerou. Prvním z parametrů je identifikace v=DMARC1;. Následuje přehled dalších možností.
| Parametr | Popis | Možné hodnoty |
|---|---|---|
| p | Zvolená politika DMARC, tedy jak má příjemce naložit se zprávou, která neprojde kontrolou. | none - výsledek kontroly nemá vliv na doručení; jen reportováníquarantine - příjemce zohlední výsledek kontroly, obvykle zprávu označí jako spamreject - příjemce zprávu odmítne |
| sp | Zvolená politika DMARC pro subdomény. | stejné jako u p |
| rua | E-mailová adresa pro zasílání agregovaných (souhrnných) reportů. Report obsahuje informace o zprávách za nějaké období (standardně 1 den). Zahrnuty jsou jak zprávy, které kontrolou prošly, tak ty, co neprošly. | mailto:mail@example.com |
| ri | Interval pro zasílání agregovaných reportů v sekundách. | kladné celé číslo |
| ruf | E-mailová adresa pro zasílání forenzních (chybových) reportů. Report obsahuje informace o jedné zprávě, která neprošla kontrolou. | mailto:mail@example.com |
| fo | Podmínky zasílání forenzních reportů. |
|
| pct | Procento zpráv, které bude zkontrolováno (100 znamená 100%, tedy všechny zprávy). | kladné celé číslo do 100 |
| adkim | Způsob kontroly DKIM. | r (relaxed) - shoda nastane, souhlasí-li hlavní doména (tzn. zahrnuje i subdomény)s (strict) - doména musí být totožná |
| aspf | Způsob kontroly SPF. | stejné jako u adkim |
Pokud je e-mailová adresa/adresy pro zasílání reportů na jiné doméně, musí tato mít tato jiná doména nastavený speciální TXT záznam, který přijímání reportů povolí. Například pro přijímání reportů pro doménu example.com na adrese report@example.net se bude jednat o záznam example.com._report._dmarc.example.net, hodnota záznamu je jednoduše v=DMARC1.
Příklady hodnot DMARC záznamu
v=DMARC1; p=none - do doručení zprávy není nijak zasahováno, bez reportování
v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ri=86400 - v případě selhání DMARC kontroly je zpráva označena jako spam, na e-mail dmarc@example.com jsou zasílány souhrnné reporty maximálně jednou za den
v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; adkim=s; aspf=s - v případě selhání DMARC kontroly je zpráva odmítnuta, na e-mail dmarc@example.com jsou zasílány souhrnné i forenzní reporty, kontroly DKIM a SPF jsou striktní