DMARC (Domain-based Message Authentication, Reporting and Conformance) je protokol pro ověřování e-mailů. Je navržen tak, aby umožnil majitelům e-mailových domén chránit svou doménu před neoprávněným použitím, což se běžně nazývá e-mailový spoofing. DMARC funguje společně se Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM) pro ověření odesílatelů pošty.
Parametry DMARC
DMARC má několik parametrů, které můžete nastavit ve svém DNS záznamu. Například můžete nastavit politiku pro zacházení se zprávami, které selhaly při ověření (např. doručit do schránky, doručit do karantény nebo zprávu můžete odmítnout). Můžete také nastavit adresu pro zasílání zpráv o ověření.
| v | Verze DMARC protokolu. Aktuálně je to vždy DMARC1 |
| p | Politika DMARC, která určuje, jakým způsobem by měl přijímající server zacházet s e-maily, které selhaly při ověření SPF nebo DKIM. Možné hodnoty jsou none (monitorování), quarantine (karanténa) a reject (odmítnutí). |
| sp | Politika DMARC pro subdomény. Pokud není nastavena, použije se hodnota parametru p. |
| rua | Adresa pro zasílání zpráv o ověření DMARC ve formátu URI. Například mailto:postmaster@firma.cz |
| ruf | Adresa pro zasílání zpráv o selháních ověření DMARC ve formátu URI. |
| pct | Procento zpráv, na které se má politika DMARC aplikovat. Například pokud je nastaveno na 50, politika DMARC se aplikuje pouze na polovinu zpráv. |
| adkim | Režim porovnání DKIM. Možné hodnoty jsou s (strict – přísný) a r (relaxed – uvolněný). |
| aspf | Režim porovnání SPF. Možné hodnoty jsou s (strict – přísný) a r (relaxed – uvolněný). |
| rf | formát reportů, v tuto chvíli může nabývat pouze hodnot afrf |
| ri | interval pro zasílání agregovaných reportů o zprávách, které neprošly kontrolou DMARC, ve vteřinách |
| fo | mód zasílání forenzních reportů (reporty pro každou zprávu zvlášť) 0 – report je příjemcem odeslán, pokud zpráva zcela neprojde DMARC kontrolou (tzn. obě kontroly, DKIM alignment a SPF alignment, selžou); výchozí hodnota 1 – report je příjemcem odeslán, pokud zpráva neprojde kontrolou SPF alignment nebo DKIM alignment (tzn. zpráva ovšem stále mohla celkově úspěšně projít DMARC kontrolou) d – report je příjemcem odeslán ke každé zprávě, která neprojde DKIM shodou s – report je příjemcem odeslán ke každé zprávě, která neprojde SPF shodou |
Například DMARC záznam s politikou doručení do karantény, adresou dmarc@firma.cz pro zasílání zpráv o ověření a 100% aplikací politiky by mohl vypadat takto:
v=DMARC1; p=quarantine; rua=mailto:dmarc@firma.cz; pct=100
Reportování
Reporting je důležitou součástí DMARC mechanismu. Mechanismus reportuje, co se stalo se zprávami u jednotlivých příjemců. Zprávy DMARC obsahují důležité informace o stavu autenticity e-mailů odeslaných jménem domény. DMARC reporty aktivujete tak, že uvedete e-mailovou adresu (URI) v tagu „rua“ a „ruf“ vašeho záznamu DMARC. První zprávy dorazí brzy poté, co vytvoříte záznam DMARC a zveřejníte jej ve svém DNS.
Existují dva různé typy zpráv DMARC – Failure (tag „ruf“) a Aggregate (tag „rua“). Každý typ zprávy slouží k jinému účelu.
Příklad doručeného reportu najdete na obrázcích níže.
Jak můžete vidět, report přijde ve formátu XML. Výhodou tohoto formátu je, že soubor s reportem můžete dále strojově analyzovat.
Užitečné nástroje pro DMARC
MxToolBox DMARC Record Generator
Nástroj s jehož pomocí si snadno sami vygenerujete DMARC záznam, který pak jen vložíte do vašeho DNS.
Online nástroj, který vám zkontroluje nastavení SPF, DMARC a DKIM na vaší doméně.
Zobrazí aktuální nastavení DMARC a identifikuje případný nesoulad v nastavení a doporučí nápravu.
Pokud si s nastavením nevíte rady, ozvěte se nám, rádi vám pomůžeme s ochranou vaší firemní pošty.
