Co je to DMARC záznam
DMARC záznam slouží k ověření e-mailových zpráv, podobně jako záznamy SPF a DKIM, které DMARC (Domain-based Message Authentication, Reporting & Conformance) kombinuje. V případech, kdy nastavení SPF a DKIM nezajistí požadovanou úroveň zabezpečení a ověření pravosti zpráv, lze DMARC použít jako nadstavbu ostatních záznamů, která snižuje zejména riziko výskytu nevyžádané pošty zneužívající Vaši doménu, jelikož na základě adresy odesílatele ověřuje, zda byla zpráva skutečně odeslána z uvedené domény.
DMARC je zároveň nadstavba nad DKIM a SPF. To znamená, že DMARC nefunguje samostatně a bez DKIM a SPF ho nelze nastavit. Aby zpráva prošla DMARC kontrolou, stačí, aby bylo pouze jedno z DKIM nebo SPF validní. DKIM i SPF musí mít alignment, což znamená, že se musí shodovat odesílatel v hlavičce From: s nastaveným DKIM a SPF.
Příklad DKIM
Return-Path: <[email protected]> Date: Thu, 10 Nov 2022 15:44:39 +0100 From: [email protected] Subject: predmet emailu Message-ID: DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=s4xolb5s7tnx6yxtrm4adems7glgsuyf; d=examle.com; t=1686561250; h=From:Reply-To:To:Subject:Message-ID:Content-Type:MIME-Version:Date; bh=s5dYMm9U+dHTRsdUiReXDVx0ZvelZd1UmW2T3BQG0Co=; b=VqlpCmT0uw78rN5wOrUu4fbqKBoq5y8KjO0yIfdnvyjOOTGjKIwlrumOMpXAURQm QfyQfOpRXdz5d/ogvr81MCtfamiqkTA0lc7NUNygDb7hKep8ev5FRdLSP8Bb/C5SlUm |
Pokud je validní DKIM, pak má i alignment, protože doména v DKIM podpisu se shoduje s doménou z hlavičky From. Kdyby v DKIM podpisu nebo v hlavičce From byla jiná doména, tak by zpráva DMARC kontrolou neprošla, i kdyby byl jinak DKIM validní. Takto nelze zprávu podvrhnout, podepsat na jiné doméně a poté v hlavičce From „předstírat“, že e-mail posílá někdo jiný.
Příklad SPF
Return-Path: <[email protected]> Date: Thu, 10 Nov 2022 15:44:39 +0100 From: [email protected] Subject: predmet emailu Message-ID: |
E-mail prošel kontrolou SPF a má i alignment, protože doména v Return-Path a From se shodují, tudíž zpráva prošla i DMARC kontrolou. Kdyby v hlavičce From byla jiná, DMARC kontrolou zpráva neprojde, ačkoliv je samotné SPF v pořádku. Takto nelze zprávu podvrhnout, použít jiného hlavičkového odesílatele a v hlavičce From „předstírat“, že e-mail poslal někdo jiný.
Jak DMARC záznam přidat do DNS
Pro přidání DMARC záznamu se nejprve přihlaste do klientské sekce na stránce www.web4u.cz.
Po přihlášení do klientské sekce zvolte v oblasti "Vaše služby a jejich administrace" možnost "Správa domén".
Na další stránce pak zvolte ikonu "Online DNS". Více informací o Online DNS najdete v článku "Jak nasměrovat doménu pomocí DNS záznamů".
Zde je třeba přidat nový záznam, jehož základ, potažmo výchozí podoba, je následující:
Název | Typ | Adresa (hodnota) |
_dmarc | TXT | v=DMARC1; p=reject; |
DMARC se tak nastaví přidáním TXT záznamu na subdoméně _dmarc. K dispozici jsou 3 akce pro zprávy, které neprojdou DMARC kontrolou:
p=reject
SMTP nemá zprávu vůbec přijmout.
p=quarantine
SMTP server má zprávu přijmout a uložit do Junk (do Spamu).
p=none
Nedělat nic, podobné jako kdyby doména neměla nastaven DMARC. Tato akce je použitelná pro testování.
Poznámka: Naš SMTP server zprávu vždy přijme, i když má doména nastaveno p=reject a zachází se s ní, jako kdyby měla nastaveno p=quarantine.
Tento článek obsahuje pouze základní informace a úvod do DMARCu. Další nastavitelné možnosti v DMARC záznamu nejdete v oficiální dokumentaci na adrese https://dmarc.org/ Pokud si přejete v rámci záznamu nadefinovat konkrétní či dodatečné podmínky, je nutné adresu záznamu patřičně upravit v závislosti na Vašich požadavcích.