K čomu slúži DMARC záznam?
Od 1. februára 2024 je tento záznam povinný pre všetky domény, ktoré hromadne odosielajú emaily na servery Google alebo Yahoo. Návod bol upravený pre potreby nášho generátora DMARC záznamu.
DMARC (Domain-based Message Authentication, Reporting and Conformance) záznam kombinuje technológie SPF a DKIM, čiže vychádza z adresy odosielateľa uvedeného v hlavičke emailu a snaží sa overiť, či bol email skutočne odoslaný z uvedenej domény (SPF) a taktiež kontroluje "digitálny podpis" emailu (DKIM).
Z tohto vyplýva, že ak už máte v DNS záznamoch pridaný SPF a DKIM záznam (technicky - nie je podstatné či máte len SPF alebo DKIM v DNS záznamoch, ideálne je mať oba záznamy, ale DMARC bude pracovať, aj keď máte len SPF alebo DKIM), je možné si následne DNS záznamy doplniť o DMARC záznam. Vďaka analýze reportov (ak si ich necháte zasielať), si môžete preveriť, či odosielate emaily, ktoré spĺňajú podmienky, ktoré im majú zaručiť doručiteľnosť na iné servery a či niekto neposiela emaily v mene vašej domény.
Použiť môžete len jeden DMARC záznam. Ak ich budete mať viac alebo žiadny, jeho overovanie neprebehne.
Parametre / Flagy v DMARC hodnote záznamu
DMARC záznam môže v DNS záznamoch vyzerať napríklad takto:
_dmarc.domena.tld TXT 3600s "v=DMARC1; p=none; pct=100; rua=mailto:support@exohosting.sk; ruf=mailto:support@exohosting.sk; sp=none; adkim=r; aspf=r; rf=afrf; ri=86400; fo=0"
V príklade uvedenom vyššie je emailová adresa support@exohosting.sk použitá len na ukážku, do DMARC záznamu si vložte svoju emailovú adresu. Môžete si vytvoriť špeciálnu adresu len na prijímanie DMARC reportov, aby sme ich mali oddelené od bežnej pošty.
V nasledujúcej časti článku si popíšeme jednotlivé časti DMARC záznamu, ako aj možnosti jeho vytvorenia. Ako sa takýto záznam generuje, si môžete vyskúšať v našom generátore DMARC záznamu.
Väčšina parametrov je voliteľných a fungujú nasledovne:
| Parameter / Flag | Popis |
| v | verzia protokolu, v tejto chvíli sa používa len DMARC1 - tu nie je dôvod nič meniť. Aktuálne vždy musí byť v=DMARC1 - v opačnom prípade servery prijímateľov záznam ignorujú. |
| p |
zvolená politika DMARC určuje ako bude zaobchádzané s emailami, ktoré neprejdú kontrolou:
|
| pct |
percento správ, ktoré budú podliehať kontrole (napr. 100 je pre 100%) |
| rua |
RUA (Agregované reporty) predstavuje emailovú adresu pre zasielanie reportov. RUA označuje URI emailového servera, ktorý si určíte na prijímanie súhrnných prehľadov DMARC. Vhodné, ak potrebujete dostávať spätnú väzbu zo serverov prijímateľov. Prehľad obsahuje len všeobecné informácie o emailoch. V prípade, ak použijete parameter rua, odporúčame zadať emailovú adresu, ktorá je plne funkčná a má dostatok voľného miesta. Odporúčame používať emailovú adresu z tej istej domény, pre ktorú je DMARC záznam nastavený. Takéto nastavenie funguje bez ďalších krokov. Ak chcete prijímať DMARC reporty na inú doménu, je potrebné ju najprv autorizovať pomocou DMARC delegácie (tento krok nie je úplne nevyhnutný, závisí od poskytovateľa webhostingových služieb). Napr. ak máte doménu testdmarc.tld a chcete prijímať DMARC reporty z tejto domény na svoju doménu, napr. admindmarc.tld, do DNS záznamov domény admindmarc.tld vložte tento záznam: testdmarc.tld._report._dmarc.admindmarc.tld. IN TXT "v=DMARC1" Vysvetlenie:
Záznam uložte a potom nastavte DMARC záznam na doméne, kde to potrebujete mať nastavené. Neodporúčame pre reporty zadávať emailové adresy Gmail alebo Outlook,tieto reporty budú pravdepodobne odmietnuté, keďže nemáte ako v DNS záznamoch možnosť delegovať svoje domény. |
| ruf |
RUF (Forenzné reporty) predstavuje emailovú adresu pre zasielanie forenzných reportov (reporty zvlášť ku každému emailu, kde zlyhá DMARC kontrola). RUF informuje správcov domény o emailoch, ktoré neprešli kontrolami overenia SPF, DKIM a DMARC. V prehľade RUF môžete nájsť citlivé podrobnosti o emailovej správe, vrátane hlavičky, predmetu, adries URL a príloh. V prípade, ak použijete parameter ruf, odporúčame zadať emailovú adresu, ktorá je plne funkčná a má dostatok voľného miesta. Nemusí to byť podporované všetkými poskytovateľmi (môže byť problém s ochranou súkromia). V prípade prijímania ruf záznamov na iné emailové adresy, odporúčame vykonať delegáciu domény rovnako ako v prípade rua (príklad vyššie) |
| sp | zvolená politika pre subdomény (nieco.vasadomena.tld), hodnoty rovnaké ako pre parameter p. Ak nemáte žiadne špecifické požiadavky, nastavte na rovnakú hodnotu ako v prípade parametru p. |
| adkim |
mód kontroly pre DKIM určuje, ako presne musí doména DKIM podpisu zodpovedať doméne v Header From: v emaile
|
| aspf |
mód kontroly pre SPF, ktorý určuje, ako DMARC vyhodnotí zosúladenie SPF s doménou v Header From: v emaile:
|
| rf | formát pre reporty k emailom, v tejto chvíli môže mať hodnotu len afrf (Authentication Failure Reporting Format) a nie je tu nič, čo by sa dalo inak nastaviť. |
| ri | interval pre zasielanie agregovaných reportov o emailoch, ktoré neprešli kontrolou DMARC, zadáva sa v sekundách, nastavte si podľa potreby (86400 = raz denne) |
| fo |
mód zasielania forenzných reportov (viaže sa na parameter ruf, na rua nemá žiadny vplyv), vyberte si možnosť, ktorú potrebujete preverovať:
|
Ako teda DMARC záznam funguje?
Stručne vysvetlené: napríklad máte doménu mojadomena.tld, v DNS záznamoch máte SPF záznam, DKIM záznam, aj DMARC záznam. Odošlete email, ten dorazí na server prijímateľa, napr. na gmail. Ak server prijímateľa podporuje DMARC (čo by mal), overí najprv SPF a DKIM záznamy a výsledok overenia prepošle DMARC modulu. Ten si preskenuje DMARC záznam v DNS záznamoch domény odosielateľa, ak nič nenájde alebo nájde viac DMARC záznamov, tak s kontrolou skončí. Preto je dôležité mať vo svojich DNS len jeden DMARC záznam - ak ho nájde, porovná doménu odosielateľa s doménou overenou pomocou SPF a DKIM záznamov a ak je všetko v poriadku, kontrola je označená ako úspešná. Ak servery nebudú sedieť, tak s dátami naloží podľa politiky v DMARC zázname. Ešte je dôležité spomenúť, že ak v DMARC zázname nastavíte pri položke pct hodnotu inú ako 100, príjemca si vygeneruje náhodné číslo medzi 0 až 99 a v overovaní pokračuje len vtedy, ak vygenerované číslo je menšie ako to zadané v hodnote pct. Príjemca následne informuje doménu odosielateľa a na emailové adresy zašle reporty o zlyhaniach (položky rua a ruf v DMARC zázname).
Z uvedených príkladov je zrejmé, že vytvorenie, či nastavenie DMARC záznamu môže byť pre bežného užívateľa nezrozumiteľné až obtiažne.
Z dôvodu potreby zavádzania DMARC záznamu do DNS, sme túto možnosť pridali do nášho DNS systému. V Control Paneli kliknite na službu DNS záznamy a úplne dole pod zoznamom DNS záznamov kliknite na Pridať DMARC záznam:
Otvorí sa formulár, tu si nastavte nejakú svoju funkčnú emailovú adresu a kliknite na Pridať:
Nový DNS záznam sa pridá do sekcie TXT záznamov a dole uvidíte takýto podobný riadok:
v=DMARC1; p=none; rua=mailto:reports@exotechnologies.sk; fo=1
Ide o základný DMARC záznam, ktorý by mal postačovať pre súčasné potreby, avšak tento záznam si môžete upraviť ako každý iný DNS záznam a doplniť si tam ostatné parametre (zo zoznamu vyššie).
Pre tento prípad, aby ste si vedeli vytvoriť relevantný DMARC záznam, odporúčame použiť nejakú službu na vygenerovanie DMARC záznamu, ktorým si potom nahradíte svoj vygenerovaný v Control Paneli.
Môžete použiť napr. služby:
Väčšinu nastavení stačí ponechať na východzích hodnotách, ak nemáte istotu k čomu by mohli slúžiť alebo si môžete záznam upraviť podľa toto článku.
Pozrite aj tento článok
Pozrite aj tento článok
