DMARC może zabezpieczyć twoją domenę przed fałszowaniem e-maili oraz phishingiem. Z tego artykułu dowiesz się, czym jest i jak działa oraz jak stworzyć rekord DMARC i dodać go w Panelu Klienta.
SPIS TREŚCI
- Czym jest DMARC?
- Jak działa rekord DMARC?
- Budowa rekordu DMARC: tagi wymagane
- Budowa rekordu DMARC: tagi opcjonalne
- Jak stworzyć rekord DMARC?
- Jak dodać rekord DMARC w Panelu Klienta?
Czym jest DMARC?
DMARC to protokół uwierzytelniania, zasad i raportowania poczty e-mail. Jest rekordem zapisywanym w tzw. pliku strefy serwera DNS.
Dzięki niemu właściciel domeny wskazuje, co ma stać się ze sfałszowanymi wiadomościami e-mail. Mogą one np. trafić do folderu spam bądź zostać całkowicie odrzucone. Dodatkowo DMARC umożliwia wysyłanie do właściciela domeny raportu o wiadomościach, które przeszły pomyślnie lub negatywnie ocenę protokołu.
Fałszywe e-maile wysyłane przez kogoś, kto podszywa się pod twoją domenę, mogą zaszkodzić nie tylko twojemu wizerunkowi, ale także osobom, do których trafią (np. jeśli zawierają niebezpieczne linki lub załączniki). Dzięki DMARC takie wiadomości mogą zostać odrzucone bądź od razu trafiać do spamu, a ty dowiesz się o tym z raportów.
Jak działa rekord DMARC?
Rekord DMARC może ochronić twoją domenę przed wysyłką sfałszowanych e-maili oraz phishingiem. Dotyczy to jednak tylko tych sytuacji, w których ktoś próbuje wysłać e-maila ze skrzynki z nazwą twojej domeny. DMARC nie może zadziałać, gdy ktoś podszywa się pod ciebie, wysyłając e-maile z domeny o adresie łudząco podobnym do twojej domeny. Rekord nie zajmuje się też sytuacjami, w których ktoś modyfikuje pole „Od” tak, by sprawiało wrażenie, że to ty wysłałeś wiadomość.
Jeżeli ustawiłeś rekord DMARC, oto co wydarzy się, gdy nastąpi wysyłka wiadomości e-mail z twojej domeny:
- E-maila otrzymuje serwer poczty przychodzącej. Używając DNS, sprawdza, jaka polityka DMARC obowiązuje dla twojej domeny.
- E-mail jest sprawdzany pod kątem prawidłowego podpisu DKIM, zgodności domen w nagłówkach wiadomości oraz uwzględniania adresu IP nadawcy w rekordzie SPF.
- W przypadku pozytywnej oceny, e-mail trafia do skrzynki odbiorczej. W przeciwnym razie to, co się z nim stanie, zależy od polityki DMARC, jaką ustaliłeś dla swojej domeny. Wiadomość może trafić do skrzynki odbiorczej lub folderu spam albo zostać zablokowana.
- Otrzymujesz raport.
Adres nadawcy: no-reply@dmarc-report.online.pro
Temat: Report Domain: twojadomena.pl Submitter: online.pro
Treść: This is a DMARC aggregate report for twojadomena.pl generated at 15.03.2023
W załączniku znajduje się raport.
Budowa DMARC: tagi wymagane
Rekord DMARC może zawierać wiele informacji w tagach, ale większość z nich jest opcjonalna. Obowiązkowo należy użyć tylko dwóch tagów: v oraz p.
Tag v określa wersję protokołu DMARC. Dzięki temu serwer może w ogóle rozpocząć ocenę wiadomości. Wartość tego tagu to DMARC1.
Przykład: v=DMARC1
Tag p określa, jak serwer ma postąpić z wiadomościami, które nie przeszły walidacji DMARC. Możliwe wartości to:
- none – wobec wiadomości nie zostaną podjęte żadne działania, trafi ona do skrzynki odbiorczej
- quarantine – wiadomość trafi do folderu spam
- reject – wiadomość zostanie odrzucona
Przykład: p=reject
Najprostszy rekord DMARC zawierający wyłącznie tagi wymagane może wyglądać następująco:
v=DMARC1; p=none
Budowa DMARC: tagi opcjonalne
Rekord DMARC może składać się jednak z większej liczby tagów i chociaż są one opcjonalne, to warto ich używać. Dzięki temu można lepiej wykorzystywać możliwości rekordu.
Tagi powiązane z SPF i DKIM
W rekordzie DMARC mogą pojawić się dwa tagi mające związek z SPF i DKIM. To tagi aspf i adkim.
Tag aspf określa, jakie powinno być dopasowanie do SPF. Porównywana jest domena uwierzytelniona za pomocą SPF z domeną z adresu nadawcy w nagłówku wiadomości. Możliwe wartości to:
- r – dopasowanie luźne; ta wartość dopuszcza częściowe dopasowania, a wszystkie prawidłowe subdomeny domeny podanej jako wartość są akceptowane
- s – dopasowanie ścisłe; w tym przypadku nazwa domeny z polecenia SMTP MAIL FROM i domena z adresu nadawcy w nagłówku wiadomości muszą być takie same.
Przykład: aspf=r
Tag adkim określa, jakie powinno być dopasowanie do identyfikatora DKIM. Porównywany jest nagłówek wiadomości z domeną w nagłówku wiadomości oraz wartość w polu domeny z podpisem DKIM. Możliwe wartości to:
- r – dopasowanie luźne; możliwe są częściowe dopasowania, a wszystkie prawidłowe subdomeny domeny podanej jako wartość d= w nagłówkach DKIM są akceptowane
- s – dopasowanie ścisłe; w tym przypadku nazwa domeny nadawcy i wartość d= w nagłówkach DKIM muszą być takie same.
Przykład: adkim=s
Celem rekordu SPF (Sendler Policy Framework) jest poprawna identyfikacja serwera pocztowego uprawnionego do wysyłania wiadomości e-mail w imieniu danej domeny. Dzięki zabezpieczeniu serwerów pocztowych (SMTP) przed przyjmowaniem poczty z niedozwolonych źródeł, pomaga ograniczać liczbę wiadomości będących spamem.
Rekord DKIM (DomainKeys Identified Mail) uwierzytelnia pocztę e-mail, dodając podpis cyfrowy do wiadomości wychodzących. Dzięki temu serwer odbierający pocztę może zweryfikować, czy wiadomość została wysłana faktycznie przez nadawcę, czy ktoś się pod niego podszywa.
Tagi dotyczące raportów
Dzięki raportom DMARC dowiesz się, co stało się z wiadomościami wysyłanymi z twojej domeny i jaka ich część nie przechodzi walidacji, a także które serwery/usługi wysyłają wiadomości, których DMARC nie uwierzytelnia. Jeśli ktoś próbował podszyć się pod twoją domenę, to również ci nie umknie, pod warunkiem, że zapoznajesz się na bieżąco z treścią raportów. Dzięki odpowiednim tagom możesz doprecyzować w rekordzie DMARC najważniejsze kwestie związane z raportami. Tagi dotyczące raportów to:
Tag rua określa, na jaki adres lub adresy e-mail mają trafiać zbiorcze raporty DMARC. Wartość tagu to mailto:twój adres e-mail, a jeśli chcesz, by raporty trafiały jeszcze na inne skrzynki, po przecinku podaj ich adresy.
Przykład: rua=mailto:janek@mojadomena.pl,admin@mojadomena.pl
Tag ri określa pożądany interwał pomiędzy raportami zbiorczymi. Implementacje DMARC muszą być w stanie dostarczać dzienne raporty nawet wtedy, gdy tag ri nie jest zastosowany. Wartość tagu ri jest wyrażana w sekundach, a domyślnie wynosi 86400.
Przykład: ri=86400
Tag ruf określa, na jaki adres e-mail mają trafiać szczegółowe raporty o wiadomościach, które nie przeszły walidacji DMARC. Wartość tagu to mailto:twój adres e-mail.
Przykład: ruf=mailto:janek@mojadomena.pl
Tag rf określa, jaki format ma być używany w szczegółowych raportach. Wartość domyślna to afrf.
Przykład: rf=afrf
Tag fo określa pożądane opcje raportowania błędów. Jeśli nie ustawisz tagu ruf, ten znacznik zostanie zignorowany. Tag fo może zawierać jedną lub więcej wartości – jeśli jest ich więcej, kolejne rozdziela się dwukropkami. Możliwe wartości to:
- 0 – jeśli wszystkie bazowe mechanizmy uwierzytelniania nie dały wyniku „zaliczono”, wygeneruj raport o błędzie DMARC
- 1 – jeśli dowolny bazowy mechanizm uwierzytelniania dał wynik inny niż „zaliczono”, wygeneruj raport o błędzie DMARC
- d – jeśli wiadomość miała podpis, który nie przeszedł oceny, wygeneruj raport o błędzie DKIM
- s – jeśli wiadomość nie przeszła oceny SPF, wygeneruj raport o błędzie SPF
Przykład: fo=1:s
Pozostałe tagi
To, że wymieniamy tagi pct i sp na końcu, nie znaczy, że są mniej ważne. Dzięki nim również można doprecyzować działanie rekordu DMARC tak, by najlepiej spełniał swoją rolę.
Tag pct określa procent wiadomości e-mail, do jakiego ma być stosowana polityka DMARC. W ten sposób właściciel domeny może powoli wdrażać egzekwowanie mechanizmu. Wartością może być liczba całkowita od 1 do 100. W przypadku, gdy wartość tagu pct wynosi 100, oznacza to, że 100% wiadomości, które nie przejdą oceny DMARC, zostanie potraktowanych zgodnie z wartością tagu p.
Przykład: pct=100
Tag sp jest podobny do tagu p, ale dotyczy subdomeny domeny podstawowej. Użyj tagu sp, jeżeli chcesz, by dla subdomeny obowiązywały inne niż dla domeny zasady DMARC. W przeciwnym razie subdomeny będą objęte polityką ustaloną w tagu p. Możliwe wartości to:
- none – wobec wiadomości nie zostaną podjęte żadne działania, trafi ona do skrzynki odbiorczej
- quarantine – wiadomość trafi do folderu spam
- reject – wiadomość zostanie odrzucona
Przykład: sp=none
Jak stworzyć rekord DMARC?
Tworząc rekord DMARC musisz użyć tagów wymaganych oraz możesz użyć dowolną liczbę tagów opcjonalnych. Po każdym tagu wpisz znak „=” i określ wartość (nie używaj spacji), a kolejne tagi rozdzielaj średnikiem i spacją.
Przykładowy tag DMARC:
v=DMARC1; p=quarantine; rua=mailto:janek@mojadomena.pl,admin@mojadomena.pl; pct=100
Zgodnie z tym tagiem 100% wiadomości, które nie przejdą walidacji DMARC, trafi do folderu spam, a raporty zbiorcze będą wysyłane na adresy janek@mojadomena.pl i admin@mojadomena.pl.
Treść rekordu DMARC możesz stworzyć ręcznie w oparciu o podane wyżej informacje, ale możesz też skorzystać z generatora, np. MXToolBox.
Jak dodać rekord DMARC w Panelu Klienta?
- Zaloguj się do Panelu Klienta
- Sprawdź: Jak zalogować się do Panelu Klienta?
- Kliknij w Domeny
- Kliknij w Działania przy domenie, dla której chcesz ustawić rekord DMARC, a następnie wybierz Zarządzaj rekordami DNS
- Kliknij Dodaj nowy rekord
- Wybierz Typ rekordu: TXT.
- W polu Wartość tekstowa wpisz lub wklej przygotowany wcześniej rekord DMARC.
- W polu Host wpisz _DMARC. W polu TTL możesz uzupełnić informacje o czasie odświeżania rekordu. Zalecamy pozostawić pole puste.
- Kliknij OK, by dodać nowy rekord.