Funkcje DMARC (Domain-based Message Authentication, Reporting, and Conformance) definiuje się, wpisując rekord DMARC w ustawieniach DNS domeny.
Gdy już przygotujesz tekst rekordu DMARC, dodaj lub zaktualizuj rekord DNS typu TXT u swojego dostawcy domeny. Aby zaktualizować rekord DNS typu TXT, wprowadź tekst definiujący rekord zasad DMARC w konsoli zarządzania dostawcy domeny.
Za każdym razem, gdy zmieniasz zasady DMARC i aktualizujesz rekord, musisz również zaktualizować rekord DNS typu TXT u dostawcy domeny.
Subdomeny i domeny dodatkowe
Jeśli masz więcej niż jedną domenę, dla każdej z nich wykonaj czynności opisane poniżej. Każda domena może mieć własne zasady i opcje raportu (zdefiniowane w rekordzie).
Jeśli nie utworzysz zasad DMARC dla subdomen, odziedziczą one zasady domeny nadrzędnej. Aby zdefiniować zasady DMARC dla subdomen, użyj sp tagu zasad w rekordzie DMARC domeny nadrzędnej.
Dodawanie lub aktualizowanie rekordu
Ważne:
- Ważne: zanim skonfigurujesz DMARC, skonfiguruj DKIM (DomainKeys Identified Mail) i SPF (Sender Policy Framework). DKIM i SPF powinny uwierzytelniać wiadomości przez co najmniej 48 godzin przed włączeniem DMARC.
- W krokach opisanych poniżej użyliśmy przykładowych domen. Zastąp te domeny własnymi.
Opisane poniżej kroki wykonaj w konsoli zarządzania dostawcy hostingu domeny, a nie w konsoli administracyjnej. Kto jest dostawcą hostingu mojej domeny?
- Przygotuj plik tekstowy lub wiersz zawierający rekord zasad.
- Zaloguj się w konsoli zarządzania dostawcy hostingu domeny.
- Znajdź stronę umożliwiającą zaktualizowanie rekordów DNS.
- Dodaj rekord DNS typu TXT lub zmodyfikuj bieżący przez wprowadzenie własnej wartości w rekordzie TXT dla _dmarc.
- TXT record name (Nazwa rekordu TXT) – w pierwszym polu poniżej tekstu DNS Host name (Nazwa hosta DNS) wpisz: _dmarc.solarmora.com
Ważne: niektórzy dostawcy hostingu domeny automatycznie dodają nazwę domeny po _dmarc. Po dodaniu rekordu TXT możesz sprawdzić nazwę rekordu TXT dla DMARC, aby upewnić się, że jest poprawnie sformatowana.
- TXT record value (Wartość rekordu TXT) – w drugim polu wpisz tekst rekordu DMARC, na przykład:
v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
Nazwy pól mogą być inne u Twojego dostawcy. Mogą występować niewielkie różnice w nazwach pól dla rekordu DNS typu TXT u różnych dostawców. Użyta powyżej domena jest przykładowa. Zastąp solarmora.com nazwą swojej domeny.
- TXT record name (Nazwa rekordu TXT) – w pierwszym polu poniżej tekstu DNS Host name (Nazwa hosta DNS) wpisz: _dmarc.solarmora.com
- Zapisz zmiany.
Wyłączanie DMARC
Nie zalecamy wyłączania DMARC w organizacji lub domenie. Bez DMARC hakerzy i inne osoby mogą wysyłać wiadomości, które wyglądają na pochodzące z Twojej organizacji lub domeny. Wyłączenie DMARC może narazić użytkowników i Twoje kontakty na spam, podszywanie się i wyłudzanie informacji. Jeśli musisz wyłączyć DMARC, wykonaj te czynności.
Sprawdzanie nazwy rekordu TXT dla DMARC (opcjonalnie)
Ważne: w krokach opisanych poniżej użyliśmy przykładowych domen. Zastąp te domeny własnymi.
Niektórzy dostawcy hostingu domeny automatycznie dodają nazwę domeny na końcu nazwy rekordu TXT podanej w kroku 4a (Dodawanie lub aktualizowanie rekordu). Może to spowodować nieprawidłowe formatowanie rekordu TXT dla DMARC.
Na przykład jeśli wpiszesz _dmarc.solarmora.com, a dostawca hostingu domeny automatycznie doda nazwę Twojej domeny do rekordu TXT, może on zostać nieprawidłowo sformatowany jako _dmarc.solarmora.com.solarmora.com.
Po dodaniu rekordu TXT dla DMARC zgodnie z procedurą opisaną w sekcji Dodawanie lub aktualizowanie rekordu sprawdź, czy jego nazwa jest prawidłowo sformatowana.
Możesz skorzystać z funkcji Dig w Zestawie narzędzi Google Admin, aby wyświetlić i sprawdzić rekord TXT dla DMARC:
- Otwórz Zestaw narzędzi Google Admin i wybierz funkcję Dig.
- W polu Nazwa wpisz pełną nazwę swojej domeny z fragmentem _dmarc. dodanym na początku. Jeśli na przykład nazwa Twojej domeny to solarmora.com, wpisz _dmarc.solarmora.com.
- Kliknij TXT poniżej pola Nazwa.
- W wyświetlonych wynikach sprawdź nazwę rekordu TXT dla DMARC. Poszukaj wiersza tekstu zaczynającego się od _dmarc.
Formatowanie rekordu DMARC
Ważne: w przykładzie zasad DMARC zawartym w tej sekcji użyliśmy przykładowych domen. Zastąp te domeny własnymi.
Rekord DMARC ma postać wiersza zwykłego tekstu. Ten tekst zawiera listę tagów i wartości DMARC oddzielonych średnikami. Niektóre tagi są wymagane, a inne – opcjonalne.
Zasady DMARC informują serwery odbierające, jakie działania wykonać w przypadku nieuwierzytelnionych wiadomości z Twojej domeny. Czynności, które należy podjąć, są określane w tagu zasad (p) podczas definiowania rekordu DMARC.
Poniżej znajdziesz przykład rekordu zasad DMARC. Tagi są rozdzielone średnikami ( ; ). Tagi v oraz p muszą pojawić się jako pierwsze, natomiast pozostałe mogą być umieszczone w dowolnej kolejności. Jeśli do wysyłania raportów DMARC e-mailem użyjesz tagu rua, przed każdym adresem e-mail musisz użyć prefiksu mailto:, tak jak pokazuje ten przykład:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Tagi rekordu DMARC
Adresówka | Opis i wartości |
V |
Wersja DMARC. Musi to być DMARC1. Ten tag jest wymagany. |
P | Informuje serwer poczty przychodzącej, co zrobić z wiadomościami, które nie przejdą uwierzytelniania.
Ten tag jest wymagany. Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, opcja p zasad DMARC musi być ustawiona jako quarantine lub reject. BIMI nie obsługuje zasad DMARC z opcją p ustawioną jako none. |
pct |
Określa, jaki procent nieuwierzytelnionych wiadomości podlega zasadom DMARC. Kiedy stopniowo wdrażasz DMARC, możesz zacząć od niewielkiego procentu wiadomości. Gdy coraz więcej wiadomości z Twojej domeny zacznie przechodzić uwierzytelnianie przez serwery odbierające, możesz zwiększać wartość procentową, aż osiągniesz 100%. Wartość musi być liczbą całkowitą z zakresu od 1 do 100. Jeśli nie wybierzesz tej opcji w rekordzie, zasady DMARC będą stosowane do wszystkich wiadomości wysyłanych z Twojej domeny. Ten tag jest opcjonalny. Uwaga dotycząca BIMI: jeśli w domenie jest używany rekord BIMI, wartość pct w zasadach DMARC musi być równa 100. BIMI nie obsługuje zasad DMARC z wartością pct mniejszą niż 100. |
rua |
Adres e-mail, na który są wysyłane raporty o działaniach DMARC dla Twojej domeny. Adres e-mail musi zawierać ciąg znaków mailto: Aby wysyłać raporty DMARC na wiele adresów e-mail, rozdziel adresy e-mail przecinkami i dodaj prefiks mailto: przed każdym adresem. Przykład: Użycie tej opcji może powodować otrzymywanie dużej liczby e-maili z raportami. Nie zalecamy używania własnego adresu e-mail. Lepszym rozwiązaniem może być stworzenie osobnej skrzynki pocztowej albo grupy lub skorzystanie z usług innej firmy, która specjalizuje się w raportach DMARC. Ten tag jest opcjonalny. |
ruf |
Nieobsługiwane. Gmail nie obsługuje tagu ruf używanego do wysyłania raportów o niepowodzeniu. Raporty te są też nazywane raportami śledczymi. |
sp | Ustawia zasady dla wiadomości z subdomen domeny podstawowej. Użyj tej opcji, jeśli w subdomenach chcesz stosować inne zasady DMARC.
Jeśli nie wybierzesz tej opcji w rekordzie, subdomeny odziedziczą zasady DMARC ustawione w domenie nadrzędnej. Ten tag jest opcjonalny. |
adkim | Ustawia zasady dopasowania DKIM określające poziom zgodności informacji o wiadomościach z podpisami DKIM. Dowiedz się, jak działa dopasowanie.
Ten tag jest opcjonalny. |
aspf | Ustawia zasady dopasowania SPF określające poziom zgodności informacji o wiadomościach z podpisami SPF. Dowiedz się, jak działa dopasowanie.
Ten tag jest opcjonalny. |