Rekord DMARC

This post is also available in: Czeski Angielski

Oprócz podstawowych rekordów uwierzytelniania DNS, takich jak SPF i DKIM, w ostatnim czasie na popularności zyskuje także rekord DMARC. Poniżej znajdziesz wszystkie informacje, które mogą ci pomóc w marketingu e-mailowym i wyjaśnią, w jaki sposób omawiany rekord ustawień domeny może być dla ciebie korzystny.

Podstawowa konfiguracja DMARC

Minimalną zalecaną formę konfiguracji rekordu DMARC można znaleźć w tym artykule.

DMARC – do czego służy?

DMARC, czyli „Domain-based Message Authentication, Reporting, and Conformance”, to standard zaprojektowany w celu ochrony domen poczty elektronicznej przed atakami phishingowymi i podszywaniem się pod czyjąś domenę lub adres mailowy. Umożliwia on administratorowi zarządzanie sposobem uwierzytelnienia wiadomości email w obrębie zarządzanej domeny. Innymi słowy, jako właściciel domeny możesz utrudnić podszywanie się pod jej nazwę w celach przestępczych.

DMARC współpracuje z technologiami takimi jak SPF (Sender Policy Framework) i DKIM (Domain Keys Identified Mail). Stanowi odrębny rekord DNS zawierający zasady uwierzytelniania poczty elektronicznej i określający, w jaki sposób należy postępować z wiadomościami e-mail, które nie spełniają tych zasad.

Rekord DMARC może zawierać kilka kluczowych informacji, w tym:

  1. Polityka zarządzania: określa co powinien zrobić odbiorca z e-mailem, który nie przejdzie autentykacji (na przykład odrzucić go lub automatycznie dostarczyć do folderu ze SPAM-em).

  2. Raportowanie: określa w jaki sposób i gdzie powinny być wysyłane raporty uwierzytelniania. Te raporty mogą pomóc właścicielom domen śledzić kto próbował wysłać e-mail w imieniu ich domeny i jak często podejmował próby.

Podsumowując, dodanie rekordu DMARC do ustawień DNS Twojej domeny to jeden
ze skuteczniejszych sposobów na zwiększenie bezpieczeństwa swojej komunikacji
e-mail i zapobieżenie ewentualnym próbom wykorzystania twojej domeny do oszustwa.

DMARC – jak go ustawić?

Jako że DMARC stanowi standardowy rekord DNS typu TXT, wystarczy go wprowadzić w panelu administracyjnym domeny (zazwyczaj w interfejsie zarządzania hostingiem). Poniżej znajdziesz przykład ogólnego formatu rekordu DMARC:

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:report@example.com; ruf=mailto:forensic@example.com"

Gdzie:

  • _dmarc.example.com. to nazwa domeny, do której odnosi się rekord DMARC. Ważne jest, aby ten rekord znajdował się w DNS w odpowiednim miejscu.

  • v=DMARC1 wskazuję wersję rekordu DMARC, którego aktualnie używasz.

  • p=quarantine określa politykę dla wiadomości e-mail, które nie przejdą uwierzytelniania. W tym przypadku takie e-maile są wysyłane do kwarantanny. Istnieją następujące ustawienia dla p:

    • none – oznacza, że serwer nie podejmuje żadnej akcji wobec nieautoryzowanych e-maili, ale są one raportowane. Ta podstawowa polityka jest obecnie wymagana przez Gmail i Yahoo.
    • quarantine – nieautoryzowana wiadomość zostaje automatycznie przeniesiona do folderu SPAM.
    • reject – nieautoryzowane wiadomości email nie są akceptowane przez serwer – w konsekwencji nie zostaną w ogóle odebrane / dostarczone. Jest to najbezpieczniejszy sposób na ochronę reputacji Twojej domeny i adresów nadawczych dla poczty elektronicznej.
  • rua=mailto:report@example.com tells where aggregated authentication reports should be sent. In this case, the reports are sent to report@example.com.

  • ruf=mailto:forensic@example.com informuje, dokąd powinny być wysyłane szczegółowe raporty uwierzytelniania (tzw. logi). W powyższym przykładzie wspomniane logi są kierowane na adres forensic@example.com.

Kompletna specyfikacja logów DMARC jest dostępna tutaj: RFC 7489.

Powszechna praktyka wdrożenia DMARC

Ponieważ nadawca zazwyczaj nie jest w stanie kontrolować wszystkich wiadomości wykorzystujących nazwę domeny, zaleca się rozpoczęcie od polityki „none„. Dzięki temu nieuwierzytelnione maile będą dalej dostarczane  – jest to istotne na przykład w przypadku komunikacji korporacyjnej lub maili transakcyjnych, gdzie czasami zapomina się o odpowiednim podpisie domeny. Na podstawie pozyskanych raportów, już po kilku tygodniach, uzyskamy szczegółowy przegląd wszystkich wychodzących maili, które nie są prawidłowo uwierzytelnione. Wśród nich można znaleźć zarówno słabo zabezpieczone komunikaty korporacyjne, jak i możliwe nadużycia domeny przez osoby trzecie.

Processing Reports

Raporty DMARC muszą być przetwarzane przez zautomatyzowane narzędzia, które generują czytelne dla człowieka raporty i wykresy. W tym celu polecamy, na przykład, narzędzie Dmarcian, które oferuje również darmową wersję próbną.

Once you have fixed all the cases found, the policy can be changed to the more stringent „quarantine” or straight „reject” mode.

Google i Yahoo a DMARC

Google i Yahoo zdecydowały się na zaostrzenie polityki bezpieczeństwa i obecnie wymagają ustawień rekordu DMARC przynajmniej na poziomie p=none wobec wszystkich nadawców newsletterów od lutego 2024 roku. Więcej informacji znajdziesz na naszym blogu – w tym artykule.

Jeśli chcesz, aby twoje logo było wyświetlane obok adresu e-mail nadawcy w Gmailu, można to przykładowo ustawić przy użyciu tzw. BIMI record. W celu wdrożenia tej opcji konieczne jest między innymi ustawienie polityki DMARC na p=quarantine lub p=reject.

Potrzebujesz pomocy?

Jeśli masz jakiekolwiek pytania dotyczące rekordów DMARC, lub ogólnie dobrej dostarczalności, śmiało możesz kontaktować się z naszym wsparciem.

This post is also available in: Czeski Angielski

Zaktualizowano na 12 stycznia, 2024

Czy ten artykuł był pomocny?

Artykuły powiązane