Co to jest rekord DMARC, jak działa i jak go dodać w Panelu Klienta?


DMARC może zabezpieczyć twoją domenę przed fałszowaniem e-maili oraz phishingiem. Z tego artykułu dowiesz się, czym jest i jak działa oraz jak stworzyć rekord DMARC i dodać go w Panelu Klienta.

SPIS TREŚCI

Czym jest DMARC?

DMARC to protokół uwierzytelniania, zasad i raportowania poczty e-mail. Jest rekordem zapisywanym w tzw. pliku strefy serwera DNS.

Rozwinięcie skrótu DMARC to Domain-based Authentication Reporting and Conformance.

Dzięki niemu właściciel domeny wskazuje, co ma stać się ze sfałszowanymi wiadomościami e-mail. Mogą one np. trafić do folderu spam bądź zostać całkowicie odrzucone. Dodatkowo DMARC umożliwia wysyłanie do właściciela domeny raportu o wiadomościach, które przeszły pomyślnie lub negatywnie ocenę protokołu.

Fałszywe e-maile wysyłane przez kogoś, kto podszywa się pod twoją domenę, mogą zaszkodzić nie tylko twojemu wizerunkowi, ale także osobom, do których trafią (np. jeśli zawierają niebezpieczne linki lub załączniki). Dzięki DMARC takie wiadomości mogą zostać odrzucone bądź od razu trafiać do spamu, a ty dowiesz się o tym z raportów.

Jak działa rekord DMARC?

Rekord DMARC może ochronić twoją domenę przed wysyłką sfałszowanych e-maili oraz phishingiem. Dotyczy to jednak tylko tych sytuacji, w których ktoś próbuje wysłać e-maila ze skrzynki z nazwą twojej domeny. DMARC nie może zadziałać, gdy ktoś podszywa się pod ciebie, wysyłając e-maile z domeny o adresie łudząco podobnym do twojej domeny. Rekord nie zajmuje się też sytuacjami, w których ktoś modyfikuje pole „Od” tak, by sprawiało wrażenie, że to ty wysłałeś wiadomość.

Np. jeśli twój e-mail to janek@mojastrona.pl, DMARC nie zadziała, gdy ktoś będzie rozsyłać maile z adresu janek@m0jastrona.pl.

Jeżeli ustawiłeś rekord DMARC, oto co wydarzy się, gdy nastąpi wysyłka wiadomości e-mail z twojej domeny:

  1. E-maila otrzymuje serwer poczty przychodzącej. Używając DNS, sprawdza, jaka polityka DMARC obowiązuje dla twojej domeny.
  2. E-mail jest sprawdzany pod kątem prawidłowego podpisu DKIM, zgodności domen w nagłówkach wiadomości oraz uwzględniania adresu IP nadawcy w rekordzie SPF.
  3. W przypadku pozytywnej oceny, e-mail trafia do skrzynki odbiorczej. W przeciwnym razie to, co się z nim stanie, zależy od polityki DMARC, jaką ustaliłeś dla swojej domeny. Wiadomość może trafić do skrzynki odbiorczej lub folderu spam albo zostać zablokowana.
  4. Otrzymujesz raport.
Jak wygląda przykładowy mail z raportem DMARC dla domeny w AZ.pl?
Adres nadawcy: no-reply@dmarc-report.online.pro

Temat: Report Domain: twojadomena.pl Submitter: online.pro

Treść: This is a DMARC aggregate report for twojadomena.pl generated at 15.03.2023

W załączniku znajduje się raport.

Budowa DMARC: tagi wymagane

Rekord DMARC może zawierać wiele informacji w tagach, ale większość z nich jest opcjonalna. Obowiązkowo należy użyć tylko dwóch tagów: v oraz p.

Tag v określa wersję protokołu DMARC. Dzięki temu serwer może w ogóle rozpocząć ocenę wiadomości. Wartość tego tagu to DMARC1.

Przykład:
v=DMARC1

Tag p określa, jak serwer ma postąpić z wiadomościami, które nie przeszły walidacji DMARC. Możliwe wartości to:

  • none – wobec wiadomości nie zostaną podjęte żadne działania, trafi ona do skrzynki odbiorczej
  • quarantine – wiadomość trafi do folderu spam
  • reject – wiadomość zostanie odrzucona
Przykład:
p=reject

Najprostszy rekord DMARC zawierający wyłącznie tagi wymagane może wyglądać następująco:

v=DMARC1; p=none

Budowa DMARC: tagi opcjonalne

Rekord DMARC może składać się jednak z większej liczby tagów i chociaż są one opcjonalne, to warto ich używać. Dzięki temu można lepiej wykorzystywać możliwości rekordu.

Tagi powiązane z SPF i DKIM

W rekordzie DMARC mogą pojawić się dwa tagi mające związek z SPF i DKIM. To tagi aspf i adkim.

Tag aspf określa, jakie powinno być dopasowanie do SPF. Porównywana jest domena uwierzytelniona za pomocą SPF z domeną z adresu nadawcy w nagłówku wiadomości. Możliwe wartości to:

  • r – dopasowanie luźne; ta wartość dopuszcza częściowe dopasowania, a wszystkie prawidłowe subdomeny domeny podanej jako wartość są akceptowane
  • s – dopasowanie ścisłe; w tym przypadku nazwa domeny z polecenia SMTP MAIL FROM i domena z adresu nadawcy w nagłówku wiadomości muszą być takie same.
Przykład:
aspf=r

Tag adkim określa, jakie powinno być dopasowanie do identyfikatora DKIM. Porównywany jest nagłówek wiadomości z domeną w nagłówku wiadomości oraz wartość w polu domeny z podpisem DKIM. Możliwe wartości to:

  • r – dopasowanie luźne; możliwe są częściowe dopasowania, a wszystkie prawidłowe subdomeny domeny podanej jako wartość d= w nagłówkach DKIM są akceptowane
  • s – dopasowanie ścisłe; w tym przypadku nazwa domeny nadawcy i wartość d= w nagłówkach DKIM muszą być takie same.
Przykład: 
adkim=s
Czym są rekordy SPF i DKIM?

Celem rekordu SPF (Sendler Policy Framework) jest poprawna identyfikacja serwera pocztowego uprawnionego do wysyłania wiadomości e-mail w imieniu danej domeny. Dzięki zabezpieczeniu serwerów pocztowych (SMTP) przed przyjmowaniem poczty z niedozwolonych źródeł, pomaga ograniczać liczbę wiadomości będących spamem.

Rekord DKIM (DomainKeys Identified Mail) uwierzytelnia pocztę e-mail, dodając podpis cyfrowy do wiadomości wychodzących. Dzięki temu serwer odbierający pocztę może zweryfikować, czy wiadomość została wysłana faktycznie przez nadawcę, czy ktoś się pod niego podszywa.

Tagi dotyczące raportów

Dzięki raportom DMARC dowiesz się, co stało się z wiadomościami wysyłanymi z twojej domeny i jaka ich część nie przechodzi walidacji, a także które serwery/usługi wysyłają wiadomości, których DMARC nie uwierzytelnia. Jeśli ktoś próbował podszyć się pod twoją domenę, to również ci nie umknie, pod warunkiem, że zapoznajesz się na bieżąco z treścią raportów. Dzięki odpowiednim tagom możesz doprecyzować w rekordzie DMARC najważniejsze kwestie związane z raportami. Tagi dotyczące raportów to:

Żebyś otrzymywał raporty, rekord DMARC powinien zawierać tag rua.

Tag rua określa, na jaki adres lub adresy e-mail mają trafiać zbiorcze raporty DMARC. Wartość tagu to mailto:twój adres e-mail, a jeśli chcesz, by raporty trafiały jeszcze na inne skrzynki, po przecinku podaj ich adresy.

Przykład:
rua=mailto:janek@mojadomena.pl,admin@mojadomena.pl

Tag ri określa pożądany interwał pomiędzy raportami zbiorczymi. Implementacje DMARC muszą być w stanie dostarczać dzienne raporty nawet wtedy, gdy tag ri nie jest zastosowany. Wartość tagu ri jest wyrażana w sekundach, a domyślnie wynosi 86400.

Przykład:
ri=86400

Tag ruf określa, na jaki adres e-mail mają trafiać szczegółowe raporty o wiadomościach, które nie przeszły walidacji DMARC. Wartość tagu to mailto:twój adres e-mail.

Przykład:
ruf=mailto:janek@mojadomena.pl

Tag rf określa, jaki format ma być używany w szczegółowych raportach. Wartość domyślna to afrf.

Przykład:
rf=afrf

Tag fo określa pożądane opcje raportowania błędów. Jeśli nie ustawisz tagu ruf, ten znacznik zostanie zignorowany. Tag fo może zawierać jedną lub więcej wartości – jeśli jest ich więcej, kolejne rozdziela się dwukropkami. Możliwe wartości to:

  • 0 – jeśli wszystkie bazowe mechanizmy uwierzytelniania nie dały wyniku „zaliczono”, wygeneruj raport o błędzie DMARC
  • 1 – jeśli dowolny bazowy mechanizm uwierzytelniania dał wynik inny niż „zaliczono”, wygeneruj raport o błędzie DMARC
  • d – jeśli wiadomość miała podpis, który nie przeszedł oceny, wygeneruj raport o błędzie DKIM
  • s – jeśli wiadomość nie przeszła oceny SPF, wygeneruj raport o błędzie SPF
Przykład:
fo=1:s

Pozostałe tagi

To, że wymieniamy tagi pct i sp na końcu, nie znaczy, że są mniej ważne. Dzięki nim również można doprecyzować działanie rekordu DMARC tak, by najlepiej spełniał swoją rolę.

Tag pct określa procent wiadomości e-mail, do jakiego ma być stosowana polityka DMARC. W ten sposób właściciel domeny może powoli wdrażać egzekwowanie mechanizmu. Wartością może być liczba całkowita od 1 do 100. W przypadku, gdy wartość tagu pct wynosi 100, oznacza to, że 100% wiadomości, które nie przejdą oceny DMARC, zostanie potraktowanych zgodnie z wartością tagu p.

Przykład:
pct=100

Tag sp jest podobny do tagu p, ale dotyczy subdomeny domeny podstawowej. Użyj tagu sp, jeżeli chcesz, by dla subdomeny obowiązywały inne niż dla domeny zasady DMARC. W przeciwnym razie subdomeny będą objęte polityką ustaloną w tagu p. Możliwe wartości to:

  • none – wobec wiadomości nie zostaną podjęte żadne działania, trafi ona do skrzynki odbiorczej
  • quarantine – wiadomość trafi do folderu spam
  • reject – wiadomość zostanie odrzucona
Przykład:
sp=none

Jak stworzyć rekord DMARC?

Tworząc rekord DMARC musisz użyć tagów wymaganych oraz możesz użyć dowolną liczbę tagów opcjonalnych. Po każdym tagu wpisz znak „=” i określ wartość (nie używaj spacji), a kolejne tagi rozdzielaj średnikiem i spacją.

Przykładowy tag DMARC:

v=DMARC1; p=quarantine; rua=mailto:janek@mojadomena.pl,admin@mojadomena.pl; pct=100

Zgodnie z tym tagiem 100% wiadomości, które nie przejdą walidacji DMARC, trafi do folderu spam, a raporty zbiorcze będą wysyłane na adresy janek@mojadomena.pl i admin@mojadomena.pl.

Treść rekordu DMARC możesz stworzyć ręcznie w oparciu o podane wyżej informacje, ale możesz też skorzystać z generatora, np. MXToolBox.

Jak dodać rekord DMARC w Panelu Klienta?

  1. Zaloguj się do Panelu Klienta
  2. Kliknij w Domeny
    Panel Klienta - Domeny
  3. Kliknij w Działania przy domenie, dla której chcesz ustawić rekord DMARC, a następnie wybierz Zarządzaj rekordami DNS
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS
  4. Kliknij Dodaj nowy rekord
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS - Dodaj nowy rekord
  5. Wybierz Typ rekordu: TXT.
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS - Dodaj nowy rekord - Typ rekordu: TXT
  6. W polu Wartość tekstowa wpisz lub wklej przygotowany wcześniej rekord DMARC.
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS - Dodaj nowy rekord - Typ rekordu: TXT - Wartość tekstowa: wklej rekord DMARC
  7. W polu Host wpisz _DMARC. W polu TTL możesz uzupełnić informacje o czasie odświeżania rekordu. Zalecamy pozostawić pole puste.
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS - Dodaj nowy rekord - Typ rekordu: TXT - Wartość tekstowa: wklej rekord DMARC - Host: wpisz: _DMARC - TTL: zostaw puste - OK
  8. Kliknij OK, by dodać nowy rekord.
Jeśli w późniejszym czasie będziesz chciał zmienić rekord DMARC, wystarczy, że odnajdziesz go na liście rekordów DNS domeny, klikniesz Działania i wybierzesz Edytuj.
  • Czy artykuł był pomocny ?
  • Tak   Nie
Generic filters
Tylko dokładne dopasowania
Szukaj w tytułach
Szukaj w treści
Filter by Article Categories
Program partnerski AZ.pl
Program partnerski> Certyfikaty SSL
Program partnerski: Domeny .pl
Program partnerski: Hosting WWW
Poczta e-mail w AZ.pl
Poczta Webmail
Konfiguracja programu pocztowego
Obsługa kont e-mail w panelu
OX Business - poczta dla firmy
Akademia AZ.pl
Popularne pytania
Rejestracja usług
Faktury i płatności
Obsługa panelu klienta
Logowanie i zmiana hasła
Użytkownicy panelu klienta
Konto i rozliczenia
Domeny
Hosting
Listy mailingowe
WebFTP
Serwery VPS
Skrzynki e-mail
Strony WWW (Kreator WWW)
Nowy Certyfikaty SSL
Pomoc i kontakt
Obsługa domeny internetowej
Obsługa hostingu WWW
Automatyczna instalacja CMS
Obsługa serwerów VPS
Zarządzanie VPS
Serwery VPS
Produkty i usługi
Bezpieczeństwo
G Suite - Poczta dla firm
Terminal płatniczy SumUp
Asystent AZ
Reklama internetowa
Poczta Xchange Pro
Tworzenie stron WWW
Sklep internetowy AZ.pl
RODO w sklepie internetowym
Panel sklepu
Produkty
Zamówienia
Klienci
Konfiguracja
Zamówienia i płatności
Opcje produktów
Promocja sklepu
Integracje
Systemy aukcyjne
Inne integracje
Porównywarki cen
Integracje partnerów
Inne zagadnienia
Modyfikacja wyglądu
Raporty i statystyki
Kwestie techniczne
Porady
Dodatki (Partnerzy + Store Manager)
Store Manager
Office 365
Fakturowanie
SEO rankingCoach
Kreator stron WWW
Hosting WordPress
Regulacje RODO
Pozostałe

jak się zalogowaćjak zmienić hasłojak sprawdzić pocztękonfiguracja pocztyftp

lub