DMARC záznam

This post is also available in: Angličtina Polský

Kromě základních autentizačních DNS záznamů jako je SPF a DKIM získává v poslední době stále více na popularitě tzv. DMARC záznam. Níže naleznete všechny potřebné informace, jak vám může v emailovém marketingu pomoci.

Základní nastavení DMARC

Minimální doporučenou podobu nastavení DMARC záznamu naleznete v tomto článku.

K čemu slouží

DMARC, což znamená „Domain-based Message Authentication, Reporting, and Conformance,“ je standard navržený k ochraně e-mailových domén před phishingovými útoky a falešným zastupováním. Tento standard umožňuje vlastníkům domény specifikovat, jak by měly e-maily, které vypadají, že pocházejí z jejich domény, být ověřeny.

DMARC funguje společně s technologiemi jako SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail). Záznam DMARC je DNS záznam, který obsahuje pravidla pro ověření e-mailů a definuje, jak by měly být zpracovávány e-maily, které nejsou v souladu s těmito pravidly.

Záznam DMARC může obsahovat několik klíčových informací, včetně:

  1. Politika (Policy): Specifikuje, co by měl příjemce udělat s e-mailem, který neprošel ověřením (například jej odmítnout nebo doručit automaticky do složky SPAM).

  2. Reportování (Reporting): Určuje, jak a kam mají být zaslány zprávy o ověření. Tyto zprávy mohou pomoci doménovým vlastníkům sledovat, kdo a jak často se pokoušel poslat e-maily jménem jejich domény.

Přidání DMARC záznamu do DNS nastavení domény je jedním z kroků, které organizace mohou podniknout k posílení bezpečnosti svých e-mailových komunikací a prevenci před falešným zastupováním.

Jak jej nastavit

Protože se jedná o standardní DNS záznam typu TXT, zanesete jej jednoduše v administraci vaší domény (typicky v rozhraní správy hostingu). Níže je ukázka obecného formátu DMARC záznamu:

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:report@example.com; ruf=mailto:forensic@example.com"

Kde:

  • _dmarc.example.com. je doména, ke které se DMARC záznam vztahuje. Je důležité, aby byl tento záznam umístěn v DNS na příslušném místě pro danou doménu.

  • v=DMARC1 označuje verzi DMARC, kterou používáte.

  • p=quarantine specifikuje politiku pro e-maily, které neprojdou ověřením. V tomto případě jsou takové e-maily poslány do karantény (quarantine). Existují tyto možnosti nastavení pro parametr p

    • none – nic se nestane, e-mail se selhaným ověřením je standardně doručen a jen je zalogován v reportech. Toto nastavení aktuálně vyhovuje podmínkám Google a Yahoo.
    • quarantine – e-mail je automaticky umístěn do složky Spam
    • reject – e-mail není serverem přijat a tedy není doručen. Jedná se o nejbezpečnější variantu z hlediska ochrany reputace odesílatele.
  • rua=mailto:report@example.com říká, kam mají být posílány agregované zprávy o ověření (reports). V tomto případě jsou zprávy zasílány na adresu report@example.com.

  • ruf=mailto:forensic@example.com určuje místo, kam mají být posílány forenzní zprávy (detailní logy) pro jednotlivé e-maily, které neprošly ověřením. Adresa forensic@example.com je v tomto případě ukázková adresa pro příjem forenzních zpráv. 

Kompletní specifikaci DMARC záznamu lze nalézt v RFC 7489.

Běžný postup se zaváděním DMARC

Protože zpravidla odesílatel nemá pod kontrolou všechny zprávy, které z dané domény odchází, doporučuje se začít s politikou „none“. Tím zajistíme, že i nadále bude doručována nedobře autentizovaná pošta např. z firemní komunikace nebo transakčních e-mailů, u kterých se občas zapomíná na řádný podpis domény. Díky reportům z logů získáme po několika týdnech podrobný přehled o veškeré odchozí poště, která není správně autentizována. Mezi ní můžete nalézt jak nedobře zabezpečenou firemní komunikaci, tak případné zneužití vaší domény třetími subjekty. 

Zpracování reportingu

DMARC reporty je třeba zpracovat automatickými nástroji, které z nich vyprodukují lidsky čitelné přehledy a grafy. K tomuto účelu doporučujeme například nástroj Dmarcian, který poskytuje i bezplatné vyzkoušení.

Jakmile opravíte všechny nalezené případy, lze změnit politiku na přísnější režim „quarantine“ nebo rovnou „reject“.

Aktuální situace

Google a Yahoo se rozhodli v roce 2024 začít vyžadovat nastavení DMARC záznamu minimálně s politikou p=none u hromadných odesílatelů newsletterů. Více informací naleznete v článku na našem blogu.

Pokud byste chtěli mít například v Gmailu vedle e-mailu odesílatele zobrazené vaše logo, lze tak zařídit pomocí tzv. BIMI záznamu. K tomu, aby se zpracoval, je mimojiné vyžadováno mít nastavenou DMARC politiku na p=quarantine nebo p=reject.

Potřebujete pomoci?

V případě jakýchkoli dotazů ohledně DMARC záznamu nebo dobré doručitelnosti obecně, se neváhejte obrátit na naší podporu.

This post is also available in: Angličtina Polský

Upraveno 12 ledna, 2024

Byl pro vás tento článek užitečný?

Mohlo by vás zajímat