DMARC (Domain-based Message Authentication, Reporting, and Conformance) to standard uwierzytelniania e-maili, który pomaga właścicielom domen chronić je przed nadużyciem, takim jak phishing i spoofing. Dzięki DMARC możesz określić, jak odbiorcy e-maili powinni traktować wiadomości, które nie przejdą uwierzytelniania za pomocą mechanizmów SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail).
Jak działa DMARC?
DMARC opiera się na dwóch głównych mechanizmach SPF oraz DKIM. DMARC dodaje dodatkową warstwę ochrony, wymagając, aby wiadomości spełniały przynajmniej jedno z poniższych kryteriów.
- SPF (Sender Policy Framework): sprawdza, czy serwer wysyłający wiadomość jest uprawniony do wysyłania e-maili w imieniu domeny.
- DKIM (DomainKeys Identified Mail): uwierzytelnia wiadomości e-mail za pomocą kryptograficznego podpisu.
Rekord DMARC w DNS
- Administrator domeny konfiguruje rekord DMARC w DNS, określając politykę dla e-maili, które nie przejdą weryfikacji (np. odrzucić, oznaczyć jako spam, raportować).
- Rekord zawiera też adres e-mail, na który wysyłane są raporty dotyczące DMARC.
Weryfikacja e-maila
Gdy serwer odbiorcy otrzymuje wiadomość, sprawdza:
- Czy wiadomość pochodzi od upoważnionego nadawcy (SPF).
- Czy podpis DKIM jest ważny.
- Czy adres nadawcy w polu "From" zgadza się z wynikami SPF i/lub DKIM (spójność adresu).
Działanie według polityki
Jeśli e-mail nie przejdzie weryfikacji DMARC, odbiorca podejmuje działanie zgodnie z polityką DMARC właściciela domeny:
- p=none - raportowanie, ale brak działań wobec wiadomości.
- p=quarantine - wiadomości trafiają do folderu spam.
- p=reject - wiadomości są odrzucane.
Raportowanie
Serwer odbiorcy wysyła raporty do administratora domeny, wskazując wyniki weryfikacji SPF, DKIM i DMARC. Raporty mogą być:
- Agregowane - zawierają statystyki dotyczące ruchu e-mail.
- Forensyczne - szczegółowe dane o pojedynczych wiadomościach (rzadziej używane ze względu na wrażliwość danych).
Dlaczego DMARC jest ważny?
Wdrożenie DMARC to nie tylko zabezpieczenie przed zagrożeniami, ale także inwestycja w wizerunek firmy i skuteczność komunikacji e-mailowej.
Serwery odbierające wiadomości często traktują domeny z dobrze skonfigurowanym DMARC jako bardziej wiarygodne. W efekcie legalne wiadomości mają większą szansę na dotarcie do skrzynki odbiorczej. Dodatkowo mniej wiadomości trafia do folderu spam.
Zwiększa ochronę przed fałszowaniem (spoofingiem)
- Bez DMARC atakujący mogą podszywać się pod Twoją domenę i wysyłać fałszywe e-maile, które wyglądają jakby pochodziły od Ciebie.
- DMARC pozwala odbiorcom sprawdzić, czy e-mail rzeczywiście pochodzi z autoryzowanych źródeł (zgodnie z SPF i DKIM).
- Jeśli wiadomość nie spełnia wymagań, DMARC definiuje, co należy z nią zrobić (np. odrzucić lub oznaczyć jako spam).
Chroni reputację Twojej marki
- Fałszywe wiadomości wysyłane w Twoim imieniu mogą zaszkodzić Twojej reputacji.
- DMARC pomaga upewnić się, że tylko autoryzowane serwery mogą wysyłać e-maile z Twojej domeny, co buduje zaufanie do Twojej marki.
Zwiększa dostarczalność e-maili (deliverability)
- E-maile, które przechodzą weryfikację DMARC, są bardziej wiarygodne i rzadziej trafiają do folderu spam.
- Zaufanie do Twojej domeny rośnie, co poprawia efektywność kampanii e-mail marketingowych i komunikacji z klientami.
Zapewnia raportowanie aktywności e-mailowej
- DMARC umożliwia generowanie raportów (tzw. raporty agregowane i szczegółowe) o wiadomościach, które zostały wysłane w imieniu Twojej domeny.
- Dzięki temu: a) możesz monitorować, które serwery wysyłają wiadomości. b) możesz identyfikować i blokować nieautoryzowane źródła wysyłania e-maili.
Wspiera zgodność z innymi standardami bezpieczeństwa (SPF i DKIM)
- DMARC działa w oparciu o SPF i DKIM, wzmacniając ich działanie.
- O ile SPF i DKIM zabezpieczają wiadomości na poziomie technicznym, DMARC zapewnia politykę, która mówi odbiorcom, jak traktować e-maile, które nie spełniają kryteriów.
Minimalizuje ryzyko ataków phishingowych
- Phishing to jedna z najczęstszych metod kradzieży danych uwierzytelniających i informacji finansowych.
- Dzięki DMARC możesz zmniejszyć ryzyko, że oszuści wykorzystają Twoją domenę do przeprowadzenia takich ataków.
Wspiera dobre praktyki bezpieczeństwa w organizacji
- Wdrożenie DMARC wymaga uporządkowania infrastruktury pocztowej i lepszego zrozumienia mechanizmów wysyłania e-maili.
- To pomaga w identyfikacji potencjalnych problemów, takich jak nieprawidłowa konfiguracja serwerów pocztowych.
Jak ustawić rekord DMARC?
Ustawienie rekordu DMARC (Domain-based Message Authentication, Reporting, and Conformance) wymaga dodania odpowiedniego wpisu w konfiguracji DNS Twojej domeny. Rekord DMARC to wpis w DNS, który definiuje politykę weryfikacji wiadomości e-mail oraz zasady raportowania.
Przykładowy rekord DMARC
Rekord DMARC jest dodawany jako rekord TXT w DNS Twojej domeny.
Przykład rekordu DMARC:
_dmarc.example.com IN TXT v=DMARC1; p=quarantine; sp=reject; rua=mailto:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. ; ruf=mailto:Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. ; pct=100; adkim=s; aspf=r;
Wyjaśnienie:
- v=DMARC1 używana wersja DMARC.
- p=quarantine wiadomości niezgodne trafiają do folderu spam.
- sp=reject polityka odrzucania dla poddomen
- rua=mailto:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. adres dla raportów agregowanych. - ruf=mailto:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. adres dla raportów forensycznych. - pct=100 polityka dotyczy wszystkich wiadomości.
- adkim=s wymaga ścisłego dopasowania DKIM.
- aspf=r relaksowane dopasowanie SPF.
Znaczenie poszczególnych tagów w rekordzie DMARC jest następujące
- v= wersja protokołu, określa wersję DMARC. Jest to obowiązkowy tag i zawsze musi być ustawiony na DMARC1
- p= główna polityka stosowana do wiadomości e-mail, które nie przechodzą weryfikacji DMARC. Wartość: none - brak działań wobec wiadomości, które nie przechodzą weryfikacji. Służy głównie do monitorowania. Wartość: quarantine - niezgodne wiadomości powinny być oznaczone jako podejrzane (np. przenoszone do folderu spam). Wartość: reject - odrzucanie niezgodnych wiadomości (zalecane po wdrożeniu i przetestowaniu DMARC).
- sp= polityka stosowana wyłącznie dla wiadomości wysyłanych z poddomen (np. sub.example.com). Domyślnie, jeśli ten tag nie jest określony, stosowana jest polityka z parametru "p=".
- rua= adres e-mail lub URL, np. mailto:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. . Miejsce, na które mają być wysyłane raporty agregowane zawierające statystyki ruchu e-mail (liczba wiadomości, wyniki SPF/DKIM, itp.). - ruf= adres e-mail lub URL, np. mailto:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. . Adres, na który wysyłane są raporty szczegółowe dotyczące pojedynczych wiadomości, które nie przeszły weryfikacji. Z reguły rzadziej używane, ze względu na możliwość ujawnienia wrażliwych danych. - pct= liczba od 0 do 100. Określa procent wiadomości, do których stosowana jest polityka DMARC (np. pct=50 oznacza, że polityka dotyczy połowy wiadomości).
- adkim= (Alignment DKIM) wyrównanie domen (alignment). Określa, w jaki sposób domena DKIM ma być sprawdzana pod kątem zgodności z domeną nadawcy. Wartość: r (relaxed) - domena w podpisie DKIM nie musi idealnie odpowiadać domenie nadawcy (może być subdomena). Wartość: s (strict) - wymaga dokładnego dopasowania domen.
- aspf= (Alignment SPF). Określa sposób weryfikacji zgodności SPF z domeną nadawcy. Wartość: r (relaxed) - domena w SPF może być subdomeną domeny nadawcy. Wartość: s (strict) -wymaga dokładnego dopasowania domeny w SPF i domeny nadawcy.
- fo= (Failure Reporting Options) raportowanie błędów (opcjonalne), kontroluje warunki wysyłania raportów forensycznych. Wartość: 0 -raporty forensyczne są generowane tylko wtedy, gdy zarówno SPF, jak i DKIM nie przechodzą weryfikacji. Wartość 1 -raporty są generowane, jeśli SPF lub DKIM nie przejdą weryfikacji. Wartość d -raporty są generowane, jeśli podpis DKIM jest nieprawidłowy. Wartość s: Raporty są generowane, jeśli weryfikacja SPF nie powiodła się.
Dodanie rekordu DMARC do DNS
- Zaloguj się do panelu zarządzania DNS swojej domeny. Może to być panel dostawcy hostingu, lub rejestratora domeny.
- Dodaj nowy rekord TXT Nazwa (Host): _dmarc ; Typ: TXT ; Wartość (Content): v=DMARC1; p=reject; rua=mailto:
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. ; TTL: Pozostaw domyślne lub ustaw na 3600 sekund (1 godzina). - Zapisz zmiany i odczekaj propagację. Propagacja rekordów DNS może potrwać od kilku minut do 24 godzin.
Weryfikacja poprawności rekordu DMARC
Po dodaniu rekordu sprawdź, czy został poprawnie skonfigurowany:
- Narzędzia online: DMARC Analyzer https://www.dmarcanalyzer.com/ lub MxToolbox DMARC Lookup https://mxtoolbox.com/dmarc.aspx
- Testowanie wiadomości: wyślij e-mail z domeny i sprawdź nagłówki, czy DMARC działa poprawnie.
Monitorowanie i dostosowanie polityki
Na początek zaleca się ustawienie p=none, aby monitorować ruch e-mail i zbierać dane o niezgodnych wiadomościach. Na podstawie raportów możesz dostosować SPF, DKIM i politykę DMARC, stopniowo przechodząc na p=quarantine lub p=reject
Nie wiesz jak wdrożyć u siebie DMARC?
Potrzebujesz pomocy Webmastera?
Wdrożenie DMARC to nie tylko zabezpieczenie przed zagrożeniami, ale także inwestycja w wizerunek firmy i skuteczność komunikacji e-mailowej.