Czym jest DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) jest mechanizmem pozwalającym wskazanie serwerom pocztowym zachowanie w przypadku wiadomości, które niepomyślnie przejdą weryfikację za pomocą SPF i DKIM. Pozwala to zapobiegać podszywaniu się pod Państwa adresy e-mail i wskazanie by takie wiadomości były odgórnie odrzucane lub traktowane jako spam.
Dzięki odpowiednim wpisom w DNS możemy wskazać czy taka wiadomość ma trafić do kwarantanny, zostać usunięta czy też żadne czynności nie mają być podjęte. Dodatkowo możemy wskazać adres e-mail do przesyłania przez serwery pocztowe raportów weryfikacji dla swojej domeny.
Wielu największych dostawców usług poczty e-mail odnotowując obecność wpisu DMARC traktuje takich nadawców jako bardziej wiarygodnych, przez to ich wiadomości rzadziej trafiają do spamu, a również raportuje ręczne oznaczanie tych wiadomości jako spam przez swoich użytkowników.
Konfiguracja DMARC
Aby mechanizm DMARC mógł działać powinny być również włączone SPF (Sender Policy Framework) oraz DKIM (DomainKeys Identified Mail). Rekord SPF jest automatycznie tworzony na naszych serwerach od początku, z kolei DKIM został włączony domyślnie dla wszystkich nowych domen od 2 lipca 2019 r.
Konfiurację DMARC powinniśmy zatem rozpocząć od upewnienia się, że włączony jest już mechanizm DKIM. Aby to robić należy w panelu hostingowym DirectAdmin wejść w konfigurację kont poczty e-mail.
W efekcie otworzy się okno z listą naszych skrzynek, zaś powyżej będzie opcja włączenia DKIM - wystarczy kliknąć w przycisk „Włącz DKIM”.
Następnie przechodzimy do zarządzania strefą DNS domeny.
Powinniśmy tam zobaczyć wpis podoby do poniższego, który świadczy o uruchomionym DKIM.
Za pomocą przycisku „Dodaj rekord” nad listą istniejących rekordów DNS możemy teraz dodać nowy rekord typu TXT.
Domyślnie ma on treść: "v=DMARC1; p=none; sp=none;"
Dostosowanie wpisu DMARC
Poprawny rekord DMARC musi się składać przynajmniej z dwóch parametrów - informacji o wersji DMARC (v) oraz ustawienia polityki (p). Poniżej opisujemy możliwe do wpisania opcje.
| Tag | Wymagany | Wartości |
|---|---|---|
| v | TAK | Wersja protokołu. Obecnie musi to być DMARC1. |
| p | TAK | Polityka obsługi niepoprawnych wiadomości: - none: Brak akcji na wiadomości. Niepoprawne wiadomości będą umieszczone w dziennym raporcie. - quarantine: Przeniesienie wiadomości do kwarantanny, co przeważnie oznacza przeniesienie jej do spamu. - reject: Odrzucenie wiadomości. |
| pct | NIE | Ustawienie procentu wiadomości, do których polityka DMARC ma być stosowana. Musi to być liczba całkowita z zakresu 1 do 100. Domyślna wartość to 100. |
| rua | NIE | Adres e-mail do odbioru raportów aktywności DMARC dla Twojej domeny. Podaj swój adres lub utwórz nowy, który będzie dedykowany do odbioru raportów. Możliwe jest podanie kilku adresów, które należy rozdzielić przecinkami. |
| sp | NIE | Ustawienia polityki dla wiadomości wysyłanych z subdomen. Użyj tego wpisu jeżeli chcesz określić inną politykę dla Twoich subdomen. - none: Brak akcji na wiadomości. Niepoprawne wiadomości będą umieszczone w dziennym raporcie. - quarantine: Przeniesienie wiadomości do kwarantanny, co przeważnie oznacza przeniesienie jej do spamu. - reject: Odrzucenie wiadomości. |
| adkim | NIE | Ustawienie trybu dopasowania podpisu DKIM. - s: Strict. Domena nadawcy musi pasować dokładnie do wpisu d=name w nagłówkach DKIM. - r: Relaxed (domyślnie). Zezwala na częściowe dopasowanie. Akceptowana będzie każda poprawna subdomena Twojej domeny z wpisu d=domain w nagłówkach DKIM. |
| aspf | NIE | Ustawienie trybu dopasowania dla SPF (ASPF). - s: Strict. Rekord from: w nagłówku wiadomości musi dokładnie pasować do domeny z komendy SMTP MAIL FROM - r: Relaxed (domyślnie). Zezwala na częściowe dopasowanie. Akceptowana będzie każda poprawna subdomena Twojej domeny. |
Przykładowy wpis rozszerzony
Jeżeli chcemy ustawić nieco bardziej rygorystyczną politykę DMARC, wraz z przesyłaniem raportów na swój adres e-mail wpis może mieć np. postać:
"v=DMARC1;p=none;sp=quarantine;pct=100;adkim=s;aspf=s;rua=mailto:raporty@domena.pl;"
Pamiętajmy, że ustawienie bardziej rygorystycznych ustawień musi być poprzedzone wcześniejszą analizą poprawności ustawień SPF i DKIM. W przeciwnym wypadku nasze wiadomości mogą być odrzucane lub traktowane jako spam.
Stąd dobrym zwyczajem jest sukcesywne zwiększanie polityki powiązane z analizą przychodzących raportów.
Weryfikację DMARC możemy przeprowadzić na stronie https://dmarcian.com/dmarc-inspector/
Podczas tworzenia rekordu DNS możemy również zmienić typ rekordu TXT z rozwijanej listy na DMARC, co pokaże formularz tworzenia wpisu DMARC, wraz z dodatkowymi opcjami.
