DMARC záznam

Co DMARC dělá/umí?

• Vychází z adresy odesilatele uvedené v hlavičce From dopisu a snaží se ověřit, jestli dopis byl skutečně odeslán z uvedené domény.
• Navazuje na využití SPF a DKIM – pokud bylo splněno SPF odesilatelovy domény nebo dopis nese její ověřený DKIM podpis, považuje ji za důvěryhodnou.
• Definujte politiku pro neúspěšné dopisy – jak se zachovat k těm, které DMARC ověřením neprojdou.
• Umožňuje nastavit zpětnou vazbu – kam a jak posílat reporty o výsledku DMARC pro dopisy odeslané z dané domény.
• Lze nastavit, že se má uplatňovat jen pro část dopisů a nasazovat je postupně.

DMARC zveřejňuje držitel odesílající domény a ověřuje příjemce dopisu.

Jak splnit potřebné minimum pro validaci DMARC záznamu?

př. Vlastníte doménu mojedomena.cz

Do DNS přidejte následující TXT záznam:

název záznamu: _dmarc.mojedomena.cz

obsah záznamu: v=DMARC1; p=none;

Tímto záznamem splníte potřebnou část pro validaci výskytu DMARC záznamu.

Doporučený DMARC záznam (počáteční – sběr reportů)

Název záznamu: _dmarc
Typ: TXT
Hodnota (příklad):
v=DMARC1; p=none; rua=mailto:dmarc@vasadomena.tld; fo=1; pct=100

Vysvětlení: p=none zatím nic neblokuje – pouze sbírá reporty, abyste věděli, kdo odesílá e-maily za vaši doménu.

Jak postupovat bezpečně (doporučený postup)

• Nejprve si ověřte, že máte správně nastavené SPF a DKIM (a že odchozí zprávy procházejí jako pass).
• Nasadíte DMARC s p=none a necháte ho běžet alespoň 7–14 dní.
• Vyhodnotíte reporty a opravíte služby/odesílatele, kteří nemají SPF/DKIM v pořádku.
• Poté zpřísněte politiku:
  • p=quarantine (přesun do spamu)
  • později p=reject (odmítnutí)

Kontrola funkčnosti

• Odešlete testovací e-mail na Gmail a v hlavičce zkontrolujte Authentication-Results (dmarc=pass).
• Ověřte existenci a syntaktickou správnost DMARC záznamu pomocí online DMARC validátoru.

Nejčastější chyby

• chybějící SPF/DKIM (DMARC pak nepomáhá)
• nesprávný název záznamu (_dmarc musí být přesně)
• nefunkční adresa pro reporty (rua=)