Blog WEBMAZ

Niezastąpione źródło weidzy o firmie w internecie

Co to jest DMARC i jak działa? Jak ustawić rekord DMARC

Co to jest DMARC i jak działa? Jak ustawić rekord DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) to standard uwierzytelniania e-maili, który pomaga właścicielom domen chronić je przed nadużyciem, takim jak phishing i spoofing. Dzięki DMARC możesz określić, jak odbiorcy e-maili powinni traktować wiadomości, które nie przejdą uwierzytelniania za pomocą mechanizmów SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail).

Jak działa DMARC?

DMARC opiera się na dwóch głównych mechanizmach SPF oraz DKIM. DMARC dodaje dodatkową warstwę ochrony, wymagając, aby wiadomości spełniały przynajmniej jedno z poniższych kryteriów.

  1. SPF (Sender Policy Framework): sprawdza, czy serwer wysyłający wiadomość jest uprawniony do wysyłania e-maili w imieniu domeny.
  2. DKIM (DomainKeys Identified Mail): uwierzytelnia wiadomości e-mail za pomocą kryptograficznego podpisu.

01

Rekord DMARC w DNS

  • Administrator domeny konfiguruje rekord DMARC w DNS, określając politykę dla e-maili, które nie przejdą weryfikacji (np. odrzucić, oznaczyć jako spam, raportować).
  • Rekord zawiera też adres e-mail, na który wysyłane są raporty dotyczące DMARC.
02

Weryfikacja e-maila

Gdy serwer odbiorcy otrzymuje wiadomość, sprawdza:

  1. Czy wiadomość pochodzi od upoważnionego nadawcy (SPF).
  2. Czy podpis DKIM jest ważny.
  3. Czy adres nadawcy w polu "From" zgadza się z wynikami SPF i/lub DKIM (spójność adresu).
03

Działanie według polityki

Jeśli e-mail nie przejdzie weryfikacji DMARC, odbiorca podejmuje działanie zgodnie z polityką DMARC właściciela domeny:

  • p=none - raportowanie, ale brak działań wobec wiadomości.
  • p=quarantine - wiadomości trafiają do folderu spam.
  • p=reject - wiadomości są odrzucane.
04

Raportowanie

Serwer odbiorcy wysyła raporty do administratora domeny, wskazując wyniki weryfikacji SPF, DKIM i DMARC. Raporty mogą być:

  • Agregowane - zawierają statystyki dotyczące ruchu e-mail.
  • Forensyczne - szczegółowe dane o pojedynczych wiadomościach (rzadziej używane ze względu na wrażliwość danych).

Dlaczego DMARC jest ważny?

Wdrożenie DMARC to nie tylko zabezpieczenie przed zagrożeniami, ale także inwestycja w wizerunek firmy i skuteczność komunikacji e-mailowej.

Serwery odbierające wiadomości często traktują domeny z dobrze skonfigurowanym DMARC jako bardziej wiarygodne. W efekcie legalne wiadomości mają większą szansę na dotarcie do skrzynki odbiorczej. Dodatkowo mniej wiadomości trafia do folderu spam.

01

Zwiększa ochronę przed fałszowaniem (spoofingiem)

  • Bez DMARC atakujący mogą podszywać się pod Twoją domenę i wysyłać fałszywe e-maile, które wyglądają jakby pochodziły od Ciebie.
  • DMARC pozwala odbiorcom sprawdzić, czy e-mail rzeczywiście pochodzi z autoryzowanych źródeł (zgodnie z SPF i DKIM).
  • Jeśli wiadomość nie spełnia wymagań, DMARC definiuje, co należy z nią zrobić (np. odrzucić lub oznaczyć jako spam).

02

Chroni reputację Twojej marki

  • Fałszywe wiadomości wysyłane w Twoim imieniu mogą zaszkodzić Twojej reputacji.
  • DMARC pomaga upewnić się, że tylko autoryzowane serwery mogą wysyłać e-maile z Twojej domeny, co buduje zaufanie do Twojej marki.
03

Zwiększa dostarczalność e-maili (deliverability)

  • E-maile, które przechodzą weryfikację DMARC, są bardziej wiarygodne i rzadziej trafiają do folderu spam.
  • Zaufanie do Twojej domeny rośnie, co poprawia efektywność kampanii e-mail marketingowych i komunikacji z klientami.
04

Zapewnia raportowanie aktywności e-mailowej

  • DMARC umożliwia generowanie raportów (tzw. raporty agregowane i szczegółowe) o wiadomościach, które zostały wysłane w imieniu Twojej domeny.
  • Dzięki temu: a) możesz monitorować, które serwery wysyłają wiadomości. b) możesz identyfikować i blokować nieautoryzowane źródła wysyłania e-maili.

05

Wspiera zgodność z innymi standardami bezpieczeństwa (SPF i DKIM)

  • DMARC działa w oparciu o SPF i DKIM, wzmacniając ich działanie.
  • O ile SPF i DKIM zabezpieczają wiadomości na poziomie technicznym, DMARC zapewnia politykę, która mówi odbiorcom, jak traktować e-maile, które nie spełniają kryteriów.
06

Minimalizuje ryzyko ataków phishingowych

  • Phishing to jedna z najczęstszych metod kradzieży danych uwierzytelniających i informacji finansowych.
  • Dzięki DMARC możesz zmniejszyć ryzyko, że oszuści wykorzystają Twoją domenę do przeprowadzenia takich ataków.
07

Wspiera dobre praktyki bezpieczeństwa w organizacji

  • Wdrożenie DMARC wymaga uporządkowania infrastruktury pocztowej i lepszego zrozumienia mechanizmów wysyłania e-maili.
  • To pomaga w identyfikacji potencjalnych problemów, takich jak nieprawidłowa konfiguracja serwerów pocztowych.

Jak ustawić rekord DMARC?

Ustawienie rekordu DMARC (Domain-based Message Authentication, Reporting, and Conformance) wymaga dodania odpowiedniego wpisu w konfiguracji DNS Twojej domeny. Rekord DMARC to wpis w DNS, który definiuje politykę weryfikacji wiadomości e-mail oraz zasady raportowania.

01

Przykładowy rekord DMARC

Rekord DMARC jest dodawany jako rekord TXT w DNS Twojej domeny.

Przykład rekordu DMARC:

_dmarc.example.com IN TXT v=DMARC1; p=quarantine; sp=reject; rua=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.; ruf=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.; pct=100; adkim=s; aspf=r;

Wyjaśnienie:

  • v=DMARC1 używana wersja DMARC.
  • p=quarantine wiadomości niezgodne trafiają do folderu spam.
  • sp=reject polityka odrzucania dla poddomen
  • rua=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. adres dla raportów agregowanych.
  • ruf=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. adres dla raportów forensycznych.
  • pct=100 polityka dotyczy wszystkich wiadomości.
  • adkim=s wymaga ścisłego dopasowania DKIM.
  • aspf=r relaksowane dopasowanie SPF.
02

Znaczenie poszczególnych tagów w rekordzie DMARC jest następujące

  1. v= wersja protokołu, określa wersję DMARC. Jest to obowiązkowy tag i zawsze musi być ustawiony na DMARC1
  2. p= główna polityka stosowana do wiadomości e-mail, które nie przechodzą weryfikacji DMARC. Wartość: none - brak działań wobec wiadomości, które nie przechodzą weryfikacji. Służy głównie do monitorowania. Wartość: quarantine - niezgodne wiadomości powinny być oznaczone jako podejrzane (np. przenoszone do folderu spam). Wartość: reject - odrzucanie niezgodnych wiadomości (zalecane po wdrożeniu i przetestowaniu DMARC).
  3. sp= polityka stosowana wyłącznie dla wiadomości wysyłanych z poddomen (np. sub.example.com). Domyślnie, jeśli ten tag nie jest określony, stosowana jest polityka z parametru "p=".
  4. rua= adres e-mail lub URL, np. mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.. Miejsce, na które mają być wysyłane raporty agregowane zawierające statystyki ruchu e-mail (liczba wiadomości, wyniki SPF/DKIM, itp.).
  5. ruf= adres e-mail lub URL, np. mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.. Adres, na który wysyłane są raporty szczegółowe dotyczące pojedynczych wiadomości, które nie przeszły weryfikacji. Z reguły rzadziej używane, ze względu na możliwość ujawnienia wrażliwych danych.
  6. pct= liczba od 0 do 100. Określa procent wiadomości, do których stosowana jest polityka DMARC (np. pct=50 oznacza, że polityka dotyczy połowy wiadomości).
  7. adkim= (Alignment DKIM) wyrównanie domen (alignment). Określa, w jaki sposób domena DKIM ma być sprawdzana pod kątem zgodności z domeną nadawcy. Wartość: r (relaxed) - domena w podpisie DKIM nie musi idealnie odpowiadać domenie nadawcy (może być subdomena). Wartość: s (strict) - wymaga dokładnego dopasowania domen.
  8. aspf= (Alignment SPF). Określa sposób weryfikacji zgodności SPF z domeną nadawcy. Wartość: r (relaxed) - domena w SPF może być subdomeną domeny nadawcy. Wartość: s (strict) -wymaga dokładnego dopasowania domeny w SPF i domeny nadawcy.
  9. fo= (Failure Reporting Options) raportowanie błędów (opcjonalne), kontroluje warunki wysyłania raportów forensycznych. Wartość: 0 -raporty forensyczne są generowane tylko wtedy, gdy zarówno SPF, jak i DKIM nie przechodzą weryfikacji. Wartość 1 -raporty są generowane, jeśli SPF lub DKIM nie przejdą weryfikacji. Wartość d -raporty są generowane, jeśli podpis DKIM jest nieprawidłowy. Wartość s: Raporty są generowane, jeśli weryfikacja SPF nie powiodła się.

03

Dodanie rekordu DMARC do DNS

  1. Zaloguj się do panelu zarządzania DNS swojej domeny. Może to być panel dostawcy hostingu, lub rejestratora domeny.
  2. Dodaj nowy rekord TXT Nazwa (Host): _dmarc ; Typ: TXT ; Wartość (Content): v=DMARC1; p=reject; rua=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. ; TTL: Pozostaw domyślne lub ustaw na 3600 sekund (1 godzina).
  3. Zapisz zmiany i odczekaj propagację. Propagacja rekordów DNS może potrwać od kilku minut do 24 godzin.
04

Weryfikacja poprawności rekordu DMARC

Po dodaniu rekordu sprawdź, czy został poprawnie skonfigurowany:

05

Monitorowanie i dostosowanie polityki

Na początek zaleca się ustawienie p=none, aby monitorować ruch e-mail i zbierać dane o niezgodnych wiadomościach. Na podstawie raportów możesz dostosować SPF, DKIM i politykę DMARC, stopniowo przechodząc na p=quarantine lub p=reject

Nie wiesz jak wdrożyć u siebie DMARC?
Potrzebujesz pomocy Webmastera?

Wdrożenie DMARC to nie tylko zabezpieczenie przed zagrożeniami, ale także inwestycja w wizerunek firmy i skuteczność komunikacji e-mailowej.

Mogą Cię zainteresować

Responsive Web Design
Strony internetoweSklepy internetowedopasowane do ekranu
Strony internetowe dopasowane do urządzeń mobilnych

Mobile

Strony internetowe dopasowane do laptopa

Laptop

Strony internetowe dopasowane do komputera

Komputer

WEBMAZ.PL WebDesign & Webmaster
Webmaster z powołania

Twój pomysł, moja realizacja. A jeśli nie masz pomysłu – nie martw się, ja też jestem od myślenia za Ciebie. W końcu kto potrzebuje zwykłej strony, skoro może mieć coś wyjątkowego? HTML, CSS, PHP, FTP, SSH, MySQL? Nie martw się, brzmi to jak zaklęcia, ale to tylko mój codzienny język.

Od chaosu do strony marzeń

Masz tylko szkic na serwetce? Albo pomysł w głowie? Mnie to wystarczy. Przy okazji naprawię wszystkie "to się samo zepsuło", "coś tu nie działa" i inne tajemnicze usterki, które wyskakują jak pop-upy w złym momencie.

Responsywność na medal

Nie obchodzi mnie, czy Twój klient przegląda stronę na laptopie, telefonie, czy może lodówce z Wi-Fi. U mnie wszystko działa idealnie - bez kompromisów i bez zacięć.

Kiedy zależy Ci na jakości

Jeśli chcesz strony, która nie tylko wygląda, ale też działa tak dobrze, że znajomi będą pytać: "Ej, kto Ci to zrobił?", to wiesz, gdzie mnie znaleźć: www.webmaz.pl

Where Every PixelTells a Story
WEBMAZ.PL WebDesign & Webmaster
/// Regulaminy