Zasady DMARC (Domain-based Message Authentication, Reporting, and Conformance) definiuje się w wierszu wartości tekstowych nazywanym rekordem DMARC. Określa się w nim:
- jak bardzo rygorystycznie DMARC ma sprawdzać wiadomości;
- zalecane działania, które ma podjąć serwer odbierający, gdy wiadomości nie przejdą uwierzytelniania.
Opcje zasad DMARC
Zasady DMARC określają zalecane działania, które ma podjąć serwer odbierający, gdy wiadomość z Twojej domeny nie przejdzie uwierzytelniania DMARC.
Poniżej znajdziesz przykład rekordu zasad DMARC. Tagi v i p muszą zostać wymienione na liście jako pierwsze, pozostałe mogą być umieszczone w dowolnej kolejności:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Definicje i wartości tagów rekordu DMARC
| Adresówka | Opis i wartości |
| V |
Wersja DMARC. Musi to być DMARC1. Ten tag jest wymagany. |
| P | Informuje serwer poczty przychodzącej, co zrobić z wiadomościami, które nie przejdą uwierzytelniania.
Ten tag jest wymagany. Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, opcja p zasad DMARC musi być ustawiona jako quarantine lub reject. BIMI nie obsługuje zasad DMARC z opcją p ustawioną jako none. |
| pct |
Określa, jaki procent nieuwierzytelnionych wiadomości podlega zasadom DMARC. Kiedy stopniowo wdrażasz DMARC, możesz zacząć od niewielkiego procentu wiadomości. Gdy coraz więcej wiadomości z Twojej domeny zacznie przechodzić uwierzytelnianie przez serwery odbierające, możesz zwiększać wartość procentową, aż osiągniesz 100%. Wartość musi być liczbą całkowitą z zakresu od 1 do 100. Jeśli nie wybierzesz tej opcji w rekordzie, zasady DMARC będą stosowane do wszystkich wiadomości wysyłanych z Twojej domeny. Ten tag jest opcjonalny. Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, wartość pct w zasadach DMARC musi być równa 100. BIMI nie obsługuje zasad DMARC z wartością pct mniejszą niż 100. |
| rua |
Adres e-mail, na który są wysyłane raporty o działaniach DMARC dla Twojej domeny. Adres e-mail musi zawierać ciąg znaków mailto: Aby wysyłać raporty DMARC na wiele adresów e-mail, rozdziel adresy e-mail przecinkami i dodaj prefiks mailto: przed każdym adresem. Przykład: Użycie tej opcji może powodować otrzymywanie dużej liczby e-maili z raportami. Nie zalecamy używania własnego adresu e-mail. Lepszym rozwiązaniem może być stworzenie osobnej skrzynki pocztowej albo grupy lub skorzystanie z usług innej firmy, która specjalizuje się w raportach DMARC. Ten tag jest opcjonalny. |
| ruf |
Nieobsługiwane. Gmail nie obsługuje tagu ruf używanego do wysyłania raportów o niepowodzeniu. Raporty te są też nazywane raportami śledczymi. |
| sp | Ustawia zasady dla wiadomości z subdomen domeny podstawowej. Użyj tej opcji, jeśli w subdomenach chcesz stosować inne zasady DMARC.
Jeśli nie wybierzesz tej opcji w rekordzie, subdomeny odziedziczą zasady DMARC ustawione w domenie nadrzędnej. Ten tag jest opcjonalny. |
| adkim | Ustawia zasady dopasowania DKIM określające poziom zgodności informacji o wiadomościach z podpisami DKIM. Dowiedz się, jak działa dopasowanie.
Ten tag jest opcjonalny. |
| aspf | Ustawia zasady dopasowania SPF określające poziom zgodności informacji o wiadomościach z podpisami SPF. Dowiedz się, jak działa dopasowanie.
Ten tag jest opcjonalny. |
Kiedy zaczynasz korzystać z DMARC, zalecamy wybranie zasad z konfiguracją none. Gdy już dowiesz się, w jaki sposób wiadomości z Twojej domeny są uwierzytelniane przez serwery odbierające, możesz zaktualizować zasady. Z czasem możesz zmienić zasady adresata na konfigurację quarantine, a na koniec na reject. Aby zobaczyć przykładowe zasady DMARC aktualizowane podczas wdrażania DMARC, przeczytaj Samouczek: zalecane metody wdrożenia DMARC.
| Konfiguracja zasad | Zalecane działanie | Więcej informacji |
| none | Względem wiadomości, które nie przejdą kontroli DMARC na serwerze odbierającym, nie jest wykonywane żadne działanie. Wiadomości są normalnie dostarczane do adresatów. |
Zalecamy skorzystanie z tej opcji podczas pierwszej konfiguracji DMARC. W przypadku opcji none wiadomości z Twojej domeny są normalnie dostarczane. Gdy zasady mają konfigurację none, regularnie sprawdzaj raporty DMARC, aby dowiedzieć się, w jaki sposób uwierzytelniana i dostarczana jest Twoja poczta. Raporty DMARC wysyłane do Ciebie przez serwery odbierające zawierają szczegółowe informacje dotyczące wiadomości, których nie można uwierzytelnić za pomocą SPF lub DKIM. Jeśli duża liczba wiadomości z Twojej domeny jest uznawana za spam, sprawdź konfigurację SPF i DKIM. Dowiedz się więcej o rozwiązywaniu problemów z DMARC. Nie zmieniaj konfiguracji egzekwowania zasad na „quarantine” lub „reject”, dopóki nie dowiesz się, ile wiadomości nie przechodzi uwierzytelniania przez serwery odbierające i jakiego rodzaju są to wiadomości. Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, wartość p w konfiguracji zasad DMARC musi być ustawiona na quarantine lub reject. BIMI nie obsługuje zasad DMARC z opcją p ustawioną jako none. |
| quarantine | Wiadomości, które nie zostaną uwierzytelnione za pomocą DMARC przez serwer odbierający, są kierowane do folderu spamu adresata. Jeśli na serwerze odbierającym pocztę jest skonfigurowana opcja „quarantine”, wiadomości mogą być kierowane do kwarantanny, a nie bezpośrednio do folderu spamu adresata. | Jeśli zastosujesz tę opcję, będziesz nadal otrzymywać raporty DMARC. |
| reject | Wiadomości, które nie zostaną uwierzytelnione za pomocą DMARC przez serwer odbierający, są odrzucane i nigdy nie trafiają do adresata. W takiej sytuacji serwer odbierający zwykle wysyła nadawcy informacje o problemie z dostarczeniem wiadomości. |
Ostatecznie zalecamy ustawienie na stałe opcji w przypadku wszystkich zasad DMARC. Jeśli zastosujesz tę opcję, będziesz nadal otrzymywać raporty DMARC. Ustaw tę opcję w swoich zasadach, kiedy na podstawie raportów DMARC zauważysz, że wszystkie prawidłowe wiadomości są uwierzytelniane i dostarczane normalnie. Odrzucanie nieuwierzytelnionych wiadomości pomaga chronić adresatów przed spamem, podszywaniem się i wyłudzaniem informacji. |
Opcje dopasowania DMARC
DMARC przepuszcza lub odrzuca wiadomość na podstawie tego, jak bardzo jej nagłówek „Od” pasuje do domeny wysyłającej wskazywanej za pomocą SPF lub DKIM. Jest to określane jako dopasowanie.
Do wyboru masz 2 tryby dopasowania: ścisłe oraz luźne. W rekordzie DMARC ustaw tryb dopasowania SPF i DKIM. Odpowiadają za to tagi rekordu DMARC aspf i adkim.
Zalecamy przejście na dopasowanie ścisłe w celu zapewnienia większej ochrony przed podszywaniem w tych przypadkach:
- poczta wysyłana do Twojej domeny pochodzi z subdomeny poza Twoją kontrolą,
- masz subdomeny zarządzane przez inny podmiot.
Aby uwierzytelnianie DMARC powiodło się, wiadomość musi pozytywnie przejść co najmniej jedną z tych kontroli:
- uwierzytelnianie SPF i dopasowanie SPF,
- uwierzytelnianie DKIM i dopasowanie DKIM.
Wiadomość nie przejdzie kontroli DMARC w przypadku niepowodzenia:
- kontroli SPF lub dopasowania SPF,
- kontroli DKIM lub dopasowania DKIM.
Omówienie adresów nadawcy w danych koperty i nadawcy w nagłówku
E-maile mają 2 rodzaje adresów wskazujących nadawcę. Znajomość różnic między tymi adresami jest istotna podczas konfigurowania SPF, DKIM i DMARC.
Adres nadawcy w danych koperty oraz adres nadawcy w przypadku wiadomości może być inny lub taki sam.
Adres nadawcy w danych koperty – adres e-mail wskazujący, skąd wysłano wiadomość. Na ten adres wysyłane są powiadomienia o niedostarczeniu lub odrzuceniu wiadomości. Adres nadawcy w danych koperty jest również nazywany adresem zwrotnym lub adresem do odsyłania wiadomości. Adresaci wiadomości nie widzą adresu nadawcy w danych koperty.
SPF zwykle używa tego adresu do uwierzytelniania.
Adres nadawcy – adres e-mail w nagłówku wiadomości. Wiadomości składają się z 2 części: nagłówka i treści wiadomości. W nagłówku znajdują się informacje dotyczące wiadomości, w tym nazwa i adres e-mail nadawcy, temat wiadomości oraz data wysłania. Nagłówek „Od” zawiera adres e-mail i zazwyczaj imię oraz nazwisko osoby, która wysłała wiadomość.
DKIM używa adresu nadawcy wiadomości do uwierzytelniania.
Przykład dopasowania SPF
W przypadku dopasowania SPF porównywane są: domena uwierzytelniona za pomocą SPF (zwykle adres nadawcy w danych koperty) z domeną z adresu nadawcy w nagłówku wiadomości. Oto kilka przykładów dopasowania wraz z wynikami kontroli SPF.
| Adres nadawcy w danych koperty | Adres nadawcy w nagłówku | Dopasowanie ścisłe | Dopasowanie luźne |
jan@solarmora.com |
jan@solarmora.com |
Uwierzytelnienie | Uwierzytelnienie |
jan@poczta.solarmora.com |
jan@solarmora.com |
Brak uwierzytelnienia | Uwierzytelnienie |
jan@solarmora.com |
jan@solarmora.com |
Brak uwierzytelnienia | Brak uwierzytelnienia |
Przykład dopasowania DKIM
W przypadku dopasowania DKIM porównywane są wartość w polu domeny z podpisem DKIM (d=) w nagłówku wiadomości z domeną w nagłówku „Od” wiadomości.
Oto kilka przykładów dopasowania wraz z wynikami kontroli DKIM:
| Nagłówek Od: | DKIM d=domena | Dopasowanie ścisłe | Dopasowanie luźne |
jan@solarmora.com |
solarmora.com |
Uwierzytelnienie | Uwierzytelnienie |
jan@poczta.solarmora.com |
solarmora.com |
Brak uwierzytelnienia | Uwierzytelnienie |
jan@solarmora.com |
solarmora.com |
Brak uwierzytelnienia | Brak uwierzytelnienia |
Opcje raportu DMARC
Możesz skonfigurować DMARC, aby regularnie otrzymywać raporty z serwerów poczty e-mail, które odbierają wiadomości z Twojej domeny.
Z raportów DMARC dowiesz się:
- które serwery lub którzy nadawcy zewnętrzni wysyłają pocztę e-mail w imieniu Twojej domeny;
- jaki odsetek wiadomości z Twojej domeny przechodzi testy DMARC;
- które serwery lub usługi wysyłają wiadomości nieuwierzytelniane przez DMARC;
- jakie działania DMARC podejmują serwery odbierające w kwestii nieuwierzytelnionych wiadomości z Twojej domeny: none, quarantine lub reject.
Aby zacząć otrzymywać raporty DMARC, w swoim rekordzie DMARC użyj tagu rekordu DMARC rua.
Dowiedz się więcej o raportach DMARC.
