DMARC. Co to jest i jak działa? Jak ustawić rekord DMARC w Panelu Klienta?

Ostatnia aktualizacja: 17 marca 2023

Nie mamy wpływu na to, że ktoś będzie chciał nas oszukać bądź podszyć się pod nas w celu oszustwa, ale mamy wpływ na to, jakie działania podejmiemy, by zabezpieczyć się przed zagrożeniami. Rekord DMARC może ochronić domenę przed phishingiem i fałszowaniem e-maili. Dowiedz się, czym jest i jak działa oraz jak dodać rekord DMARC w Panelu Klienta.

SPIS TREŚCI

Co to jest rekord DMARC?

DMARC (Domain-based Message Authentication Reporting and Conformance) jest protokołem uwierzytelniania, zasad i raportowania poczty e-mail. To rekord zapisany w tzw. pliku strefy serwera DNS. Łączy w sobie funkcje rekordów SPF i DKIM oraz oferuje dodatkowe zabezpieczenia.

Rekord SPF odpowiada za poprawną identyfikację serwera pocztowego, uprawnionego do wysyłania poczty elektronicznej w imieniu danej domeny. Zabezpiecza serwery pocztowe (SMPT) przed przyjmowaniem poczty z niedozwolonych źródeł. Dzięki temu ograniczona jest liczba maili będących spamem.

Rekord DKIM służy do uwierzytelniania wysyłanej wiadomości e-mail. Dzięki temu osoba otrzymująca maila, będzie miała jasno zaznaczone, że nadawcą jest właściciel adresu kowalski@twojadomena.pl – a nie ktoś, kto się pod niego podszywa.

Dowiedz się więcej o rekordach SPF i DKIM.

DMARC pozwala właścicielowi domeny zażądać, aby sfałszowane wiadomości (np. spam czy phishing) trafiły bezpośrednio do folderu spamu lub zostały całkowicie odrzucone. Warto zaznaczyć, że DMARC ochroni wyłącznie przed bezpośrednim podszywaniem się pod domenę, czyli sytuacją, w której ktoś próbuje wysłać maila w twoim imieniu, z adresu mail@twojadomena.pl. DMARC nie zajmuje się atakami z domen o łudząco podobnym adresie (np. mail@twoiadomena.pl) ani modyfikowaniem pola „Od”, by wyglądało tak, jakby wiadomość pochodziła od ciebie.

Zaletą jest również możliwość raportowania do nadawcy informacji o e-mailach, które przeszły lub nie przeszły pomyślnie oceny protokołu. Dzięki temu, jeśli ktoś spróbuje podszyć się pod twoją domenę i wysłać fałszywe maile, to DMARC nie tylko postąpi z nimi zgodnie z ustalonymi przez ciebie wcześniej regułami, ale także da ci wiedzę o tym, że taka sytuacja miała miejsce.

Jak działa rekord DMARC?

Jeżeli właściciel domeny ustawił rekord DMARC, schemat działania jest następujący:

  1. Następuje wysyłka e-maila
  2. Serwer poczty przychodzącej otrzymuje wiadomość e-mail i przy użyciu DNS sprawdza obowiązującą politykę DMARC dla domeny nadawcy.
  3. Następnie wiadomość jest oceniania pod kątem prawidłowości podpisu DKIM, uwzględniania adresu IP nadawcy w rekordzie SPF oraz zgodności domen w nagłówkach wiadomości.
  4. Jeżeli walidacja przebiegła poprawnie, wiadomość trafia do skrzynki odbiorczej. Jeśli nie – to, co stanie się z wiadomością zależy od polityki DMARC domeny nadawcy. Mail może zostać zablokowany, trafić bezpośrednio do folderu SPAM albo do skrzynki nadawczej. Właściciel domeny otrzymuje raport.
Przykładowy mail z raportem wysłany dla DMARC z home.pl wygląda następująco:

Adres nadawcy: no-reply@dmarc-report.home.pl

Temat: Report Domain: twojadomena.pl Submitter: home.pl

Treść: This is a DMARC aggregate report for twojadomena.pl generated at 15.03.2023

W załączniku znajduje się raport.

Jak wygląda i jak stworzyć rekord DMARC?

Budowa rekordu DMARC może wydawać się skomplikowana, dlatego rozłożymy ją na czynniki pierwsze.

Przykładowy rekord może wyglądać następująco:

v=DMARC1; p=reject; pct=100; rua=mailto:postmaster@dmarcdomain.com; ruf=mailto:dmarc@dmarcdomain.com; rf=afrf

Znaczenie poszczególnych tagów rekordu DMARC

Tag: v (wymagany)

Opis: Wersja protokołu DMARC. Dzięki odpowiedniemu oznaczeniu, serwer może rozpocząć ocenę wiadomości.

Wartość: DMARC1

Tag: p (wymagany)

Opis: Polityka postępowania z wiadomościami. Na podstawie tego tagu serwer dostaje informację, co zrobić z mailami, które nie przeszły walidacji DMARC.

Wartość: W tym tagu można wpisać jedną z trzech wartości:

  • quarantine – wiadomość, która nie przeszła walidacji, trafi bezpośrednio do folderu spamu.
  • reject – wiadomość, która nie przeszła walidacji, zostanie całkowicie odrzucona.
  • none – nie zostaną podjęte żadne działania względem wiadomości i trafi ona do skrzynki odbiorczej.
Tagi v i p są wymagane – rekord DMARC zawsze musi je zawierać. Pozostałe tagi są opcjonalne.

Tag: pct (opcjonalny)

Opis: Wskazuje, do jakiego procenta wiadomości e-mail z poczty właściciela domeny ma być stosowana polityka DMARC. Ma na celu umożliwienie właścicielom domen powolnego wdrażania egzekwowania mechanizmu DMARC .

Wartość: liczba całkowita od 1 do 100.

Jeśli wartością jest 100 –100% wiadomości, które nie przejdą DMARC, zostanie odrzuconych.

Tag: rua (opcjonalny)

Opis: Wskazuje, na jaki adres mają być wysyłane zbiorcze raporty o działaniach DMARC.

Wartość: mailto:kowalski@twojadomena.pl

Zwróć uwagę, że tag musi zawierać mailto: przed adresem e-mail.

Raporty mogą być wysyłane na kilka adresów – w tym wypadku należy rozdzielić je przecinkami, np. mailto:kowalski@twojadomena.pl,admin@twojadomena.pl

Tag: ruf (opcjonalny)

Opis: Wskazuje, na jaki adres mają być wysyłane szczegółowe raporty o wiadomościach, które nie przeszły oceny DMARC. Format raportu musi być zgodny z formatem określonym w znaczniku rf.

Wartość: mailto:kowalski@twojadomena.pl

Zwróć uwagę, że tag musi zawierać mailto: przed adresem e-mail.

Tag: rf (opcjonalny)

Opis: Określa format, który ma być używany w szczegółowych raportach.

Domyślna wartość: afrf

Tag: adkim (opcjonalny)

Opis: Wskazuje, czy dopasowanie do identyfikatora DKIM powinno być ścisłe czy luźne. Porównanie obejmuje wartość w polu domeny z podpisem DKIM i nagłówek wiadomości z domeną w nagłówku wiadomości „Od”.

Wartości:

  • r – oznacza dopasowanie luźne: dopuszcza częściowe dopasowania, akceptowane są wszystkie prawidłowe subdomeny domeny podanej jako wartość d= w nagłówkach DKIM
  • s – oznacza dopasowanie ścisłe: wartość d= z nagłówków DKIM oraz nazwa domeny nadawcy muszą być dokładnie takie same.

Tag: aspf (opcjonalny)

Opis: Wskazuje, czy dopasowanie do SPF powinno być ścisłe czy luźne. Porównanie obejmuje domenę uwierzytelnioną za pomocą SPF i domenę z adresu nadawcy w nagłówku wiadomości.

Wartości:

  • r – oznacza dopasowanie luźne: dopuszcza częściowe dopasowania, akceptowane są wszystkie prawidłowe subdomeny domeny podanej jako wartość
  • s – oznacza dopasowanie ścisłe: domena z adresu nadawcy w nagłówku wiadomości (Od) musi być taka sama jak nazwa domeny z polecenia SMTP MAIL FROM.

Tag: sp (opcjonalny)

Opis: Działa podobnie jak tag p, z tą różnicą że dotyczy subdomen domeny podstawowej. Z tagu sp należy korzystać, gdy subdomeny mają obowiązywać inne zasady DMARC. Jeśli tag sp nie zostanie użyty, subdomeny będą podlegały tym samym zasadom DMARC, które zostały ustalone dla domeny nadrzędnej w tagu p.

Wartości:

  • quarantine – wiadomość, która nie przeszła walidacji, trafi bezpośrednio do folderu spamu.
  • reject – wiadomość, która nie przeszła walidacji, zostanie całkowicie odrzucona.
  • none – nie zostaną podjęte żadne działania względem wiadomości i trafi ona do skrzynki odbiorczej.

Tag: fo (opcjonalny)

Opis: Wskazuje żądane opcje raportowania awarii. Twórcy raportów mogą zastosować się do żądanych opcji. Treść tego tagu zostanie zignorowana, jeżeli nie określono również znacznika ruf.

Wartości:

  • 0 – wygeneruj raport o błędzie DMARC, jeśli wszystkie bazowe mechanizmy uwierzytelniania nie wygenerują wyniku „zaliczono”
  • 1 – wygeneruj raport o błędzie DMARC, jeśli dowolny bazowy mechanizm wygenerował wynik inny niż „zaliczono”
  • d – wygeneruj raport o błędzie DKIM, jeśli wiadomość miała podpis, który nie przeszedł oceny
  • s – wygeneruj raport o błędzie SPF, jeśli wiadomość nie przeszła oceny SPF

Tag fo może zawierać kilka wartości – należy rozdzielać je dwukropkami, np. fo=0:1:d

Tag: ri (opcjonalny)

Opis: Określa pożądany interwał pomiędzy raportami zbiorczymi. Wartość jest wyrażona w sekundach. Niezależnie od tego, czy tag ri zostanie zastosowany czy nie, implementacje DMARC muszą być w stanie dostarczać raporty dzienne.

Domyślna wartość: 86400

 

Podsumowując, rekord DMARC zawsze musi zawierać tagi v oraz p.

Zatem w najprostszej wersji może wyglądać następująco:

v=DMARC1; p=reject

Możesz jednak rozszerzać go o tagi wskazane powyżej, by dookreślić jego działanie. Po każdym tagu wpisz (bez spacji) znak „=”, następnie określ wartość, a kolejne tagi rozdziel średnikiem i spacją.

Rekord DMARC możesz stworzyć ręcznie w oparciu o powyższą listę tagów, ale możesz też wspomóc się generatorem, np. MXToolBox.

Jak dodać rekord DMARC w Panelu Klienta?

Zanim dodasz rekord DMARC, skonfiguruj SPF i DKIM, jeśli jeszcze tego nie zrobiłeś. Sprawdź, jak dodać rekord SPF i jak skonfigurować DKIM w Panelu Klienta.
  1. Po zalogowaniu do Panelu Klienta, kliknij w Domeny.

    Panel Klienta - Domeny

  2. Kliknij Działania przy tej domenie, dla której chcesz dodać rekord DMARC, a następnie z rozwijanej listy wybierz Zarządzaj rekordami DNS.
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS
  3. Kliknij przycisk Dodaj nowy rekord.
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS - Dodaj nowy rekord
  4. Wybierz Typ rekordu: TXT

  5. W polu Wartość tekstowa wklej przygotowany wcześniej rekord DMARC.
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS - Dodaj nowy rekord - Wartość tekstowa: wklej przygotowany wcześniej rekord DMARC
  6. W polu Host wpisz _DMARC. W polu TTL możesz uzupełnić informacje o czasie odświeżania rekordu. Zalecamy pozostawić pole puste, by korzystać z wartości domyślnych.
    Panel Klienta - Domeny - Działania - Zarządzaj rekordami DNS - Dodaj nowy rekord - Host: wpisz _DMARC - TTL: zalecamy nie wypełniać pola - Kliknij OK, gdy wypełnisz formularz
  7. Kliknij OK, by dodać nowy rekord.
Jeśli w późniejszym czasie będziesz chciał zmienić rekord DMARC, wystarczy, że odnajdziesz go na liście rekordów DNS dla domeny, klikniesz Działania i wybierzesz Edytuj.
Oprócz wdrożenia DMARC, powinieneś też zapoznawać się z raportami. Dzięki temu będziesz wiedział m.in.:

  • jaka część e-maili wysyłanych z twojej domeny nie przechodzi walidacji DMARC,
  • które serwery/usługi wysyłają e-maile nieuwierzytelnione przez DMARC.

Rekord DMARC powinien zawierać tag rua żebyś otrzymywał raporty.

  • Czy artykuł był pomocny ?
  • Tak   Nie

Powiązane artykuły

jak się zalogować, jak zmienić hasło, jak opłacić, gdzie faktura, przypisanie domeny.
lub
sprawdź kategorie pomocy
i wyświetl 2677 wpisów
aktualizacje zbiorcze automatyczne odnawianie usług certyfikat pośredni CRON DELETE DKIM domeny faktury FedEx funkcja galeria internetowa Google Zakupy Hosting WordPress SSD Hot Info htaccess HTML instalacja katalog tymczasowy klucze RSA konfiguracja sklepu kotwice licencje linkowanie listowanie niebezpieczne połączenie OX pakiet Poczta Polska procedura oświadczeniowa program lojalnościowy repozytorium rodzaj serwery DNS SMART SOA SSH stan magazynu szczegóły produktu ulga na dziecko widoczność windows defender wolumin wpis zakaz handlu zwiększenie zasobów