Přeskočit na hlavní obsah
DMARC záznam
Martin Cvrček avatar
Autor: Martin Cvrček
Aktualizováno před více než rokem

Co je to DMARC záznam

DMARC záznam slouží k ověření e-mailových zpráv, podobně jako záznamy SPF a DKIM, které DMARC (Domain-based Message Authentication, Reporting & Conformance) kombinuje. V případech, kdy nastavení SPF a DKIM nezajistí požadovanou úroveň zabezpečení a ověření pravosti zpráv, lze DMARC použít jako nadstavbu ostatních záznamů, která snižuje zejména riziko výskytu nevyžádané pošty zneužívající Vaši doménu, jelikož na základě adresy odesílatele ověřuje, zda byla zpráva skutečně odeslána z uvedené domény.

DMARC je zároveň nadstavba nad DKIM a SPF. To znamená, že DMARC nefunguje samostatně a bez DKIM a SPF ho nelze nastavit. Aby zpráva prošla DMARC kontrolou, stačí, aby bylo pouze jedno z DKIM nebo SPF validní. DKIM i SPF musí mít alignment, což znamená, že se musí shodovat odesílatel v hlavičce From: s nastaveným DKIM a SPF.

Příklad DKIM

Return-Path: <[email protected]>

Date: Thu, 10 Nov 2022 15:44:39 +0100

Subject: predmet emailu

Message-ID:

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=s4xolb5s7tnx6yxtrm4adems7glgsuyf; d=examle.com; t=1686561250; h=From:Reply-To:To:Subject:Message-ID:Content-Type:MIME-Version:Date; bh=s5dYMm9U+dHTRsdUiReXDVx0ZvelZd1UmW2T3BQG0Co=; b=VqlpCmT0uw78rN5wOrUu4fbqKBoq5y8KjO0yIfdnvyjOOTGjKIwlrumOMpXAURQm QfyQfOpRXdz5d/ogvr81MCtfamiqkTA0lc7NUNygDb7hKep8ev5FRdLSP8Bb/C5SlUm

Pokud je validní DKIM, pak má i alignment, protože doména v DKIM podpisu se shoduje s doménou z hlavičky From. Kdyby v DKIM podpisu nebo v hlavičce From byla jiná doména, tak by zpráva DMARC kontrolou neprošla, i kdyby byl jinak DKIM validní. Takto nelze zprávu podvrhnout, podepsat na jiné doméně a poté v hlavičce From „předstírat, že e-mail posílá někdo jiný.

Příklad SPF

Return-Path: <[email protected]>

Date: Thu, 10 Nov 2022 15:44:39 +0100

Subject: predmet emailu

Message-ID:
Received-SPF: pass (example.com: 1.2.3.4 is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'ip4:1.2.3.4' matched)) receiver=mx-gw-1; identity=mailfrom; envelope-from="[email protected]"; helo=server.example.com; client-ip=1.2.3.4

E-mail prošel kontrolou SPF a má i alignment, protože doména v Return-Path a From se shodují, tudíž zpráva prošla i DMARC kontrolou. Kdyby v hlavičce From byla jiná, DMARC kontrolou zpráva neprojde, ačkoliv je samotné SPF v pořádku. Takto nelze zprávu podvrhnout, použít jiného hlavičkového odesílatele a v hlavičce From „předstírat, že e-mail poslal někdo jiný.

Jak DMARC záznam přidat do DNS

Pro přidání DMARC záznamu se nejprve přihlaste do klientské sekce na stránce www.web4u.cz.

Po přihlášení do klientské sekce zvolte v oblasti "Vaše služby a jejich administrace" možnost "Správa domén".

Na další stránce pak zvolte ikonu "Online DNS". Více informací o Online DNS najdete v článku "Jak nasměrovat doménu pomocí DNS záznamů".

Zde je třeba přidat nový záznam, jehož základ, potažmo výchozí podoba, je následující:

Název

Typ

Adresa (hodnota)

_dmarc

TXT

v=DMARC1; p=reject;

DMARC se tak nastaví přidáním TXT záznamu na subdoméně _dmarc. K dispozici jsou 3 akce pro zprávy, které neprojdou DMARC kontrolou:

p=reject
SMTP nemá zprávu vůbec přijmout.

p=quarantine
SMTP server má zprávu přijmout a uložit do Junk (do Spamu).

p=none
Nedělat nic, podobné jako kdyby doména neměla nastaven DMARC. Tato akce je použitelná pro testování.

Poznámka: Naš SMTP server zprávu vždy přijme, i když má doména nastaveno p=reject a zachází se s ní, jako kdyby měla nastaveno p=quarantine.

Tento článek obsahuje pouze základní informace a úvod do DMARCu. Další nastavitelné možnosti v DMARC záznamu nejdete v oficiální dokumentaci na adrese https://dmarc.org/ Pokud si přejete v rámci záznamu nadefinovat konkrétní či dodatečné podmínky, je nutné adresu záznamu patřičně upravit v závislosti na Vašich požadavcích.

Dostali jste odpověď na svou otázku?