Aby uwierzytelnić swoją domenę, musisz dodać rekord SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) do ustawień DNS swojej domeny.
Google i Yahoo ogłosiły nowe zasady dla masowych nadawców e-maili, które wejdą w życie w lutym 2024 r., wymagające od tych, którzy wysyłają ponad 5000 e-maili dziennie, skonfigurowania dodatkowego protokołu bezpieczeństwa, DMARC (Domain-based Message Authentication, Reporting & Conformance).
Co to jest rekord DMARC?
DMARC to skrót od Domain-based Message Authentication, Reporting, and Conformance (RFC 7489). Jest to protokół uwierzytelniania, polityki i raportowania wiadomości e-mail, który jest ustawiony w ustawieniach DNS domeny jako rekord TXT. Zapewnia on weryfikację pochodzenia wiadomości e-mail poprzez sprawdzenie i zweryfikowanie adresu IP nadawcy.
Polityka DMARC może pomóc chronić domenę przed bezpośrednim spoofingiem domeny poprzez dodanie identyfikatorów DKIM i SPF. Innymi słowy, jeśli rekord DKIM i/lub SPF wiadomości e-mail, która twierdzi, że pochodzi z Twojej domeny, nie przejdzie, polityka DMARC mówi serwerom pocztowym odbiorców, co z nią zrobić. Pomaga to w rozróżnieniu fałszywych wiadomości e-mail od tych prawdziwych i zapobiega oszustwom.
Jak skonfigurować rekord DMARC
Zalecane jest skonfigurowanie polityki DMARC, jeśli Twoja domena wysyłająca ma wysokie ryzyko bycia spoofedem lub jeśli chcesz śledzić wszelkie wychodzące e-maile wysyłane w imieniu Twojej domeny poprzez funkcjonalność raportowania, którą zapewnia.
Jeśli chcesz korzystać z DMARC, zalecamy skorzystanie z usług firm konsultingowych DMARC, które odpowiednio skonfigurują dla Ciebie ten rodzaj rekordu DNS, aby zmniejszyć potencjalny negatywny wpływ na dostarczanie wiadomości e-mail.
Dostosowanie identyfikatora
Rekord DMARC weryfikuje, czy domena w polu Nagłówek/From (email nadawcy) jest faktycznym nadawcą wiadomości poprzez porównanie jej z jedną lub obiema domenami znalezionymi w rekordzie DKIM lub SPF.
Aby upewnić się, że te domeny są zgodne, domena użyta do utworzenia podpisu DKIM powinna odpowiadać domenie Nagłówek/From, a SPF potwierdza, że adres IP serwera wysyłającego został zatwierdzony przez właściciela domeny określonej w poleceniu SMTP MailFrom.
Możesz ustawić dopasowanie jako jedno z następujących:
Strict - domeny muszą być dokładnie dopasowane.
Relaxed - domeny mogą mieć różne subdomeny tej samej domeny głównej.
Czym są znaczniki DMARC?
Rekord DMARC składa się z kilku znaczników. Niektóre z nich są wymagane, a niektóre opcjonalne.
Przykład podstawowego rekordu DMARC:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com
Wymagane znaczniki
Następujące znaczniki muszą być zawarte w rekordzie DMARC, aby był on valanchor:
v
- Identyfikuje rekord jako DMARC i musi być wymieniony na początku. Zawsze jest to DMARC1.p
- Wskazuje politykę, którą wybrałeś dla swojego rekordu. Ta polityka zostanie zastosowana przez dostawców skrzynek pocztowych, gdy twoja wiadomość e-mail nie przejdzie kontroli uwierzytelniania i dopasowania DMARC.
Istnieją trzy polityki DMARC, które możesz wykorzystać w zależności od swoich potrzeb:
p=none
- Znana jako polityka monitora, nie mówi serwerom pocztowym odbiorców co powinny zrobić, ale pozwala śledzić e-maile, które są wysyłane w imieniu Twojej domeny.p=quarantine
(kwarantanna) - informuje serwery pocztowe odbiorców o wysłaniu wiadomości do folderu śmieci lub spamu, jeśli nie przejdzie ona kontroli DMARC. Śledzi również wszystkie emaile, które są wysyłane w twoim imieniu.p=reject
- informuje serwery pocztowe odbiorców o odrzuceniu wszystkich emaili, które nie przejdą kontroli DMARC. To powoduje, że te emaile są odrzucane i nie są dostarczane do żadnego folderu odbiorcy. Śledzi to również wszystkie emaile wysyłane w twoim imieniu.
Uwaga: Zalecamy ostrożność przy stosowaniu rygorystycznych zasad (kwarantanna, odrzucenie) dla istniejących domen, ponieważ wymagają one więcej wiedzy, aby uniknąć problemów z dostarczalnością.
Tagi opcjonalne
Te znaczniki zapewniają dodatkowe opcje, które pomagają dostosować DMARCrecord i jego funkcjonalność w zakresie raportów:
rua=mailto:address@domain.com
- Określa adres e-mail, na który powinny być wysyłane pełne raporty przez dostawców skrzynek pocztowych. Te codzienne raporty pomagają w identyfikacji niechcianej aktywności i potencjalnych problemów z uwierzytelnianiem Twojej domeny.fo
- Pozwala dostawcom skrzynek pocztowych e-mail wiedzieć, że chcesz otrzymać próbkę tekstu wysłanego w wiadomościach e-mail, w których SPF i/lub DKIM zostały odrzucone. Istnieją cztery opcje wartości:0 - Utwórz raport o niepowodzeniu DMARC, jeśli zarówno SPF, jak i DKIM nie wygenerują wyniku PASS. Jest to wartość domyślna.
1 - Utwórz raport o niepowodzeniu DMARC, jeśli rekord SPF lub DKIM generuje dowolny inny typ wyniku, którym nie jest PASS. Jest to zalecane.
d - Utwórz raport o niepowodzeniu DKIM, jeśli podpis wiadomości e-mail nie przeszedł oceny, pomimo pozytywnego wyniku.
s - Utwórz raport o niepowodzeniu SPF, jeżeli pomimo pozytywnego wyniku, SPF wiadomości został odrzucony.
ruf=mailto:address@domain.com
- Określa adres e-mail, na który powinny być wysyłane raporty forensic (na poziomie wiadomości) przez dostawców skrzynek pocztowych. Raporty te są bardziej szczegółowe i są dostarczane po wykryciu niepowodzenia uwierzytelniania DMARC.rf
- Jest to format dla raportów o niepowodzeniu wiadomości. Domyślnie jest toafrf
(Authenticate Failure Reporting Format, który jest jedyną obsługiwaną na razie wartością.ri
- Liczba sekund, które muszą upłynąć zanim kolejny raport zostanie wysłany przez dostawców skrzynek pocztowych. Domyślna wartość sekund to 86400, czyli jeden pełny dzień.sp
- Wskazuje jedną z trzech żądanych polityk dla wszystkich subdomen, w których wiadomości e-mail nie przechodzą kontroli uwierzytelnienia DMARC. Jest zalecany, gdy właściciel domeny chce mieć różne polityki dla domeny głównej i wszystkich jej subdomen. Jeśli ten znacznik nie zostanie użyty dla subdomen, wtedy główna polityka ustawiona w znacznikup
zostanie zastosowana do domeny głównej i wszystkich jej subdomen.pct
- Procent e-maili, które będą zawierały uwierzytelnienie DMARC. Ten tag jest przydatny do testowania wpływu i efektów polityki w miarę jej stopniowego wdrażania.adkim
- Wskazuje, czy zgodność identyfikatorów DKIM jest ścisła czy luźna. Domyślnie jest to dopasowanie luźne.aspf
- Wskazuje, czy zgodność identyfikatora SPF jest ścisłe czy luźne. Domyślnie jest luźne.
Czym są raporty DMARC?
Aby utrzymać renomowane bezpieczeństwo poczty elektronicznej, raporty zbiorcze DMARC dostarczają szczegółów na temat statusu uwierzytelniania wiadomości wysyłanych w imieniu domeny. Pozwalają one właścicielowi domeny zobaczyć, które e-maile wysłane z jego domeny przeszły lub nie przeszły uwierzytelnienia SPF i DKIM.
Chociaż raporty te nie zawierają żadnych informacji o wysyłanym e-mailu, mogą zawierać:
Szczegóły dotyczące źródła, które go wysłało
Użytą nazwę domeny
Adres IP nadawcy
Liczbę wiadomości wysłanych w danym dniu
Domenę wysyłająca DKIM i SPF
Wynik uwierzytelniania DKIM i SPF
Politykę, która została zastosowana przez odbiorcę wiadomości e-mail
Aby zacząć otrzymywać te zbiorcze raporty, upewnij się, że Twój rekord DMARC zawiera znacznik RUA
( rua=mailto:address@domain.com
). Organizacje raportujące DMARC mogą wysyłać raporty na ten adres e-mail.
Aby dowiedzieć się więcej o tym, jak działa DMARC, sprawdź dmarc.org.