• Administrator domeny konfiguruje rekord DMARC w DNS, określając politykę dla e-maili, które nie przejdą weryfikacji (np. odrzucić, oznaczyć jako spam, raportować).
• Rekord zawiera też adres e-mail, na który wysyłane są raporty dotyczące DMARC.

Gdy serwer odbiorcy otrzymuje wiadomość, sprawdza:

1. Czy wiadomość pochodzi od upoważnionego nadawcy (SPF).
2. Czy podpis DKIM jest ważny.
3. Czy adres nadawcy w polu "From" zgadza się z wynikami SPF i/lub DKIM (spójność adresu).

Jeśli e-mail nie przejdzie weryfikacji DMARC, odbiorca podejmuje działanie zgodnie z polityką DMARC właściciela domeny:

• p=none - raportowanie, ale brak działań wobec wiadomości.
• p=quarantine - wiadomości trafiają do folderu spam.
• p=reject - wiadomości są odrzucane.

Serwer odbiorcy wysyła raporty do administratora domeny, wskazując wyniki weryfikacji SPF, DKIM i DMARC. Raporty mogą być:

• Agregowane - zawierają statystyki dotyczące ruchu e-mail.
• Forensyczne - szczegółowe dane o pojedynczych wiadomościach (rzadziej używane ze względu na wrażliwość danych).

• Bez DMARC atakujący mogą podszywać się pod Twoją domenę i wysyłać fałszywe e-maile, które wyglądają jakby pochodziły od Ciebie.
• DMARC pozwala odbiorcom sprawdzić, czy e-mail rzeczywiście pochodzi z autoryzowanych źródeł (zgodnie z SPF i DKIM).
• Jeśli wiadomość nie spełnia wymagań, DMARC definiuje, co należy z nią zrobić (np. odrzucić lub oznaczyć jako spam).

• Fałszywe wiadomości wysyłane w Twoim imieniu mogą zaszkodzić Twojej reputacji.
• DMARC pomaga upewnić się, że tylko autoryzowane serwery mogą wysyłać e-maile z Twojej domeny, co buduje zaufanie do Twojej marki.

• E-maile, które przechodzą weryfikację DMARC, są bardziej wiarygodne i rzadziej trafiają do folderu spam.
• Zaufanie do Twojej domeny rośnie, co poprawia efektywność kampanii e-mail marketingowych i komunikacji z klientami.

• DMARC umożliwia generowanie raportów (tzw. raporty agregowane i szczegółowe) o wiadomościach, które zostały wysłane w imieniu Twojej domeny.
• Dzięki temu: a) możesz monitorować, które serwery wysyłają wiadomości. b) możesz identyfikować i blokować nieautoryzowane źródła wysyłania e-maili.

• DMARC działa w oparciu o SPF i DKIM, wzmacniając ich działanie.
• O ile SPF i DKIM zabezpieczają wiadomości na poziomie technicznym, DMARC zapewnia politykę, która mówi odbiorcom, jak traktować e-maile, które nie spełniają kryteriów.

• Phishing to jedna z najczęstszych metod kradzieży danych uwierzytelniających i informacji finansowych.
• Dzięki DMARC możesz zmniejszyć ryzyko, że oszuści wykorzystają Twoją domenę do przeprowadzenia takich ataków.

• Wdrożenie DMARC wymaga uporządkowania infrastruktury pocztowej i lepszego zrozumienia mechanizmów wysyłania e-maili.
• To pomaga w identyfikacji potencjalnych problemów, takich jak nieprawidłowa konfiguracja serwerów pocztowych.

Rekord DMARC jest dodawany jako rekord TXT w DNS Twojej domeny.

Przykład rekordu DMARC:

_dmarc.example.com IN TXT v=DMARC1; p=quarantine; sp=reject; rua=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.; ruf=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.; pct=100; adkim=s; aspf=r;

Wyjaśnienie:

• v=DMARC1 używana wersja DMARC.
• p=quarantine wiadomości niezgodne trafiają do folderu spam.
• sp=reject polityka odrzucania dla poddomen
• rua=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. adres dla raportów agregowanych.
• ruf=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. adres dla raportów forensycznych.
• pct=100 polityka dotyczy wszystkich wiadomości.
• adkim=s wymaga ścisłego dopasowania DKIM.
• aspf=r relaksowane dopasowanie SPF.

1. v= wersja protokołu, określa wersję DMARC. Jest to obowiązkowy tag i zawsze musi być ustawiony na DMARC1
2. p= główna polityka stosowana do wiadomości e-mail, które nie przechodzą weryfikacji DMARC. Wartość: none - brak działań wobec wiadomości, które nie przechodzą weryfikacji. Służy głównie do monitorowania. Wartość: quarantine - niezgodne wiadomości powinny być oznaczone jako podejrzane (np. przenoszone do folderu spam). Wartość: reject - odrzucanie niezgodnych wiadomości (zalecane po wdrożeniu i przetestowaniu DMARC).
3. sp= polityka stosowana wyłącznie dla wiadomości wysyłanych z poddomen (np. sub.example.com). Domyślnie, jeśli ten tag nie jest określony, stosowana jest polityka z parametru "p=".
4. rua= adres e-mail lub URL, np. mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.. Miejsce, na które mają być wysyłane raporty agregowane zawierające statystyki ruchu e-mail (liczba wiadomości, wyniki SPF/DKIM, itp.).
5. ruf= adres e-mail lub URL, np. mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.. Adres, na który wysyłane są raporty szczegółowe dotyczące pojedynczych wiadomości, które nie przeszły weryfikacji. Z reguły rzadziej używane, ze względu na możliwość ujawnienia wrażliwych danych.
6. pct= liczba od 0 do 100. Określa procent wiadomości, do których stosowana jest polityka DMARC (np. pct=50 oznacza, że polityka dotyczy połowy wiadomości).
7. adkim= (Alignment DKIM) wyrównanie domen (alignment). Określa, w jaki sposób domena DKIM ma być sprawdzana pod kątem zgodności z domeną nadawcy. Wartość: r (relaxed) - domena w podpisie DKIM nie musi idealnie odpowiadać domenie nadawcy (może być subdomena). Wartość: s (strict) - wymaga dokładnego dopasowania domen.
8. aspf= (Alignment SPF). Określa sposób weryfikacji zgodności SPF z domeną nadawcy. Wartość: r (relaxed) - domena w SPF może być subdomeną domeny nadawcy. Wartość: s (strict) -wymaga dokładnego dopasowania domeny w SPF i domeny nadawcy.
9. fo= (Failure Reporting Options) raportowanie błędów (opcjonalne), kontroluje warunki wysyłania raportów forensycznych. Wartość: 0 -raporty forensyczne są generowane tylko wtedy, gdy zarówno SPF, jak i DKIM nie przechodzą weryfikacji. Wartość 1 -raporty są generowane, jeśli SPF lub DKIM nie przejdą weryfikacji. Wartość d -raporty są generowane, jeśli podpis DKIM jest nieprawidłowy. Wartość s: Raporty są generowane, jeśli weryfikacja SPF nie powiodła się.

1. Zaloguj się do panelu zarządzania DNS swojej domeny. Może to być panel dostawcy hostingu, lub rejestratora domeny.
2. Dodaj nowy rekord TXT Nazwa (Host): _dmarc ; Typ: TXT ; Wartość (Content): v=DMARC1; p=reject; rua=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. ; TTL: Pozostaw domyślne lub ustaw na 3600 sekund (1 godzina).
3. Zapisz zmiany i odczekaj propagację. Propagacja rekordów DNS może potrwać od kilku minut do 24 godzin.

Po dodaniu rekordu sprawdź, czy został poprawnie skonfigurowany:

• Narzędzia online: DMARC Analyzer https://www.dmarcanalyzer.com/ lub MxToolbox DMARC Lookup https://mxtoolbox.com/dmarc.aspx
• Testowanie wiadomości: wyślij e-mail z domeny i sprawdź nagłówki, czy DMARC działa poprawnie.

Na początek zaleca się ustawienie p=none, aby monitorować ruch e-mail i zbierać dane o niezgodnych wiadomościach. Na podstawie raportów możesz dostosować SPF, DKIM i politykę DMARC, stopniowo przechodząc na p=quarantine lub p=reject