K čomu slúži DMARC záznam?
Od 1. februára 2024 je tento záznam povinný pre všetky domény, ktoré hromadne odosielajú emaily na servery Google alebo Yahoo. Návod bol upravený pre potreby nášho generátora DMARC záznamu.
DMARC (Domain-based Message Authentication, Reporting and Conformance) záznam kombinuje technológie SPF a DKIM, čiže vychádza z adresy odosielateľa uvedeného v hlavičke emailu a snaží sa overiť, či bol email skutočne odoslaný z uvedenej domény (SPF) a taktiež kontroluje "digitálny podpis" emailu (DKIM).
Z tohto vyplýva, že ak už máte v DNS záznamoch pridaný SPF a DKIM záznam, je možné si následne DNS záznamy doplniť o DMARC záznam. Vďaka analýze reportov (ak si ich necháte zasielať), si môžete preveriť, či odosielate emaily, ktoré spĺňajú podmienky, ktoré im majú zaručiť doručiteľnosť na iné servery a či niekto neposiela emaily v mene vašej domény.
Použiť môžete len jeden DMARC záznam. Ak ich budete mať viac alebo žiadny, jeho overovanie neprebehne.
Parametre / Flagy v DMARC hodnote záznamu
DMARC záznam môže v DNS záznamoch vyzerať napríklad takto:
_dmarc.domena.tld TXT 3600s "v=DMARC1; p=none; pct=100; rua=mailto:support@exohosting.sk; ruf=mailto:support@exohosting.sk; sp=none; adkim=r; aspf=r; rf=afrf; ri=86400; fo=0"
V príklade uvedenom vyššie je emailová adresa support@exohosting.sk použitá len na ukážku, do DMARC záznamu si vložte svoju emailovú adresu, ak chcete reporty priamo vy. Ale inak môžete ponechať emailovú adresu svojho hostingu (nás), kedy na základe reportov môžeme analyzovať emaily.
V nasledujúcej časti článku si popíšeme jednotlivé časti DMARC záznamu, ako aj možnosti jeho vytvorenia. Ako sa takýto záznam generuje, si môžete vyskúšať v našom generátore DMARC záznamu.
Väčšina parametrov je voliteľných a fungujú nasledovne:
Parameter / Flag | Popis |
v | verzia protokolu, v tejto chvíli sa používa len DMARC1 - tu nie je dôvod nič meniť. |
p |
zvolená politika DMARC určuje ako bude zaobchádzané s emailami, ktoré neprejdú kontrolou:
|
pct |
percento správ, ktoré budú podliehať kontrole (napr. 100 je pre 100%) |
rua |
RUA predstavuje emailovú adresu pre zasielanie reportov. RUA označuje URI emailového servera, ktorý si určíte na prijímanie súhrnných prehľadov DMARC. Vhodné, ak potrebujete dostávať spätnú väzbu zo serverov prijímateľov. Prehľad obsahuje len všeobecné informácie o emailoch. V prípade, ak použijete parameter rua, odporúčame zadať emailovú adresu, ktorá je plne funkčná a má dostatok voľného miesta. |
ruf |
RUF predstavuje emailovú adresu pre zasielanie forenzných reportov (reporty zvlášť ku každému emailu, kde zlyhá DMARC kontrola). RUF informuje správcov domény o emailoch, ktoré neprešli kontrolami overenia SPF, DKIM a DMARC. V prehľade RUF môžete nájsť citlivé podrobnosti o emailovej správe, vrátane hlavičky, predmetu, adries URL a príloh. V prípade, ak použijete parameter ruf, odporúčame zadať emailovú adresu, ktorá je plne funkčná a má dostatok voľného miesta. |
sp | zvolená politika pre subdomény (nieco.vasadomena.koncovka), hodnoty rovnaké ako pre parameter p. Ak nemáte žiadne špecifické požiadavky, nastavte na rovnakú hodnotu ako v prípade parametru p. |
adkim |
mód kontroly pre DKIM:
|
aspf |
mód kontroly pre SPF:
|
rf | formát pre reporty k emailom, v tejto chvíli môže mať hodnotu len afrf (Authentication Failure Reporting Format) |
ri | interval pre zasielanie agregovaných reportov o emailoch, ktoré neprešli kontrolou DMARC, zadáva sa v sekundách, nastavte si podľa potreby |
fo |
mód zasielania forenzných reportov, vyberte si možnosť, ktorú potrebujete preverovať:
|
Ako teda DMARC záznam funguje?
Stručne vysvetlené: napríklad máte doménu mojadomena.tld, v DNS záznamoch máte SPF záznam, DKIM záznam, aj DMARC záznam. Odošlete email, ten dorazí na server prijímateľa, napr. na gmail. Ak server prijímateľa podporuje DMARC (čo by mal), overí najprv SPF a DKIM záznamy a výsledok overenia prepošle DMARC modulu. Ten si preskenuje DMARC záznam v DNS záznamoch domény odosielateľa, ak nič nenájde alebo nájde viac DMARC záznamov, tak s kontrolou skončí. Preto je dôležité mať vo svojich DNS len jeden DMARC záznam - ak ho nájde, porovná doménu odosielateľa s doménou overenou pomocou SPF a DKIM záznamov a ak je všetko v poriadku, kontrola je označená ako úspešná. Ak servery nebudú sedieť, tak s dátami naloží podľa politiky v DMARC zázname. Ešte je dôležité spomenúť, že ak v DMARC zázname nastavíte pri položke pct hodnotu inú ako 100, príjemca si vygeneruje náhodné číslo medzi 0 až 99 a v overovaní pokračuje len vtedy, ak vygenerované číslo je menšie ako to zadané v hodnote pct. Príjemca následne informuje doménu odosielateľa a na emailové adresy zašle reporty o zlyhaniach (položky rua a ruf v DMARC zázname).
Z uvedených príkladov je zrejmé, že vytvorenie, či nastavenie DMARC záznamu môže byť pre bežného užívateľa nezrozumiteľné až obtiažne.
Z dôvodu potreby zavádzania DMARC záznamu do DNS, sme túto možnosť pridali do nášho DNS systému. V Control Paneli kliknite na službu DNS záznamy a úplne dole pod zoznamom DNS záznamov kliknite na Pridať DMARC záznam:
Otvorí sa formulár, tu si nastavte nejakú svoju funkčnú emailovú adresu a kliknite na Pridať:
Nový DNS záznam sa pridá do sekcie TXT záznamov a dole uvidíte takýto podobný riadok:
v=DMARC1; p=none; rua=mailto:reports@exotechnologies.sk; fo=1
Ide o základný DMARC záznam, ktorý by mal postačovať pre súčasné potreby, avšak tento záznam si môžete upraviť ako každý iný DNS záznam a doplniť si tam ostatné parametre (zo zoznamu vyššie).
Pre tento prípad, aby ste si vedlei vytvoriť relevantný DMARC záznam, odporúčame použiť nejakú službu na vygenerovanie DMARC záznamu, ktorým si potom nahradíte svoj vygenerovaný v Control Paneli.
Môžete použiť napr. služby:
Väčšinu nastavení stačí ponechať na východzích hodnotách, ak nemáte istotu k čomu by mohli slúžiť alebo si môžete záznam upraviť podľa toto článku.
See also this article
See also this article