Sylwia Cerecka, 2024-03-21
Piszemy ten artykuł, żeby Ci przypomnieć, że w związku ze zmianami, jakie wprowadził od 1 lutego Google dla nadawców maili, musisz ustawić dla swojej domeny rekordy SPF i DKIM, aby Twoje maile nie trafiały do spamu lub nie były odrzucane przez serwery odbierające.
SPF i DKIM to pierwszy z dwóch kroków, które musisz wykonać. Następnym jest ustawienie rekordu DMARC. Ale po kolei
Przypomnijmy, że rekordy SPF i DKIM to rekordy uwierzytelniające, które mówią serwerom odbiorcy, że Ty to Ty i że serwer nadawczy może wysyłać wiadomości w imieniu Twojej domeny.
Jeśli nie wiesz o czym mowa, zapoznaj się najpierw z naszym artykułem O ustawieniach SPF i DKIM dla swojego serwera pocztowego, a następnie wróć do tego artykułu.
Bo oprócz konfiguracji SPF i DKIM potrzebujesz też ustawić rekord DMARC (kolejny rekord uwierzytelniający), i to do końca marca, żeby Twoje maile od 1 kwietnia (bo wtedy zaostrza się polityka Google) nie wpadały do spamu.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) to protokół uwierzytelniania, polityki i raportowania wiadomości email, który pomaga chronić przed atakami phishingu i innymi oszustwami, na jakie jesteśmy narażeni w sieci.
Dzięki niemu odbiorca wiadomości może sprawdzić czy przesłana do niego wiadomość jest autentyczna. Polityka DMARC pozwala też określić, co się stanie z mailem, jeśli nie przejdzie autentykacji (może być skierowany do spamu lub odrzucony).
Aby protokół DMARC działał poprawnie, musisz najpierw skonfigurować rekordy SPF i DKIM dla swojej domeny, gdyż DMARC jest rozwiązaniem uzupełniającym i rozszerzającym ich działanie. Odczekaj 48 h od ustawienia SPF i DKIM, i dopiero skonfiguruj DMARC.
Bo dzięki niemu serwer poczty przychodzącej wie czy wiadomość, która nie uzyskała pozytywnej weryfikacji SPF i DKIM ma zostać przyjęta, czy odrzucona oraz czy ma być dla takiego zdarzenia generowany raport i wysyłany na określony adres email. Pozwala to zwiększyć bezpieczeństwo Twojej domeny i lepiej kontrolować wiadomości email.
Rekord DMARC sprawdza czy rzeczywiście domena użyta w polu Nagłówek/From (email nadawcy) jest nadawcą wiadomości. Porównuje ją z domeną (domenami) znalezionymi w rekordzie SPF lub DKIM.
W celu zapewnienia zgodności tych domen, konieczne jest, aby domena użyta do generowania podpisu DKIM była zgodna z domeną w Nagłówku/From, natomiast SPF powinno potwierdzić, że adres IP serwera wysyłającego został autoryzowany przez właściciela domeny określonej w poleceniu SMTP MailFrom.
Cała procedura w dużym uproszczeniu wygląda mniej więcej tak:
Jeżeli mail nie przejdzie autentykacji, to co się z nim stanie zależy już od polityki DMARC domeny nadawcy.
Rekord DMARC (Domain-based Message Authentication, Reporting, and Conformance) definiujesz przez dodanie odpowiedniego wpisu w ustawieniach DNS domeny.
Zanim zaczniesz dodawanie rekordu DMARC, przygotuj plik tekstowy lub wiersz, zawierający rekord zasad.
Rekord DMARC ma postać zwykłego tekstu, który zawiera listę tagów i wartości DMARC oddzielonych średnikami. Niektóre tagi są wymagane, a inne opcjonalne.
Zasady DMARC informują serwery odbierające, jakie działania mają podjąć w przypadku nieuwierzytelnionych wiadomości z Twojej domeny. Działania te są zapisane w tagu zasad (p).
Poniżej podajemy przykład rekordu DMARC. Zwróć uwagę na:
v=DMARC1; p=reject; rua=mailto:master@twojafirma.com, mailto:dmarc@twojafirma.com; pct=100; adkim=s; aspf=s
Tagi rekordu DMARC znajdziesz w tym artykule.
Wdrażanie DMARC polecamy od ustawienia zasad p=none. To spowoduje, że będziesz dostawać raporty bez ryzyka, że serwery odbierające skierują Twoją wiadomość do spamu lub ją odrzucą.
W kolejnym kroku będziesz mógł zmienić konfigurację na zasady, by wszystkie nieuwierzytelnione wiadomości były odrzucane.
Kiedy przygotujesz już tekst rekordu DMARC, dodaj lub zaktualizuj rekord DNS typu TXT u swojego dostawcy domeny.
Zaloguj się do konsoli zarządzania dostawcy hostingu domeny i wykonaj poniższe kroki.
Żeby lepiej pokazać Ci, co gdzie należy wpisać, użyliśmy przykładowej domeny (twojafirma.com). Zastąp tę domenę własną.
1. Przejdź do strony umożliwiającej aktualizację rekordów DNS, aby dodać lub zmodyfikować bieżący rekord DNS typu TXT
2. W pierwszym polu wprowadzasz “Nazwę rekordu TXT” (TXT record name).Poniżej tekstu DNS Host Name wpisz: _dmarc.twojafirma.com
Pamiętaj, że niektórzy dostawcy automatycznie dodają nazwę domeny po _dmarc. Sprawdź nazwę rekordu TXT dla DMARC, aby upewnić się, że jest poprawnie sformatowana.
3. W drugim polu wprowadzasz "Wartość rekordu TXT" (TXT record value). Wpisz tekst rekordu DMARC. Przykładowy tekst może wyglądać tak:
v=DMARC1; p=none; rua=mailto:dmarc-reports@twojafirma.com
WAŻNE: Pamiętaj, że nazwy pól mogą różnić się u różnych dostawców, dlatego mogą występować niewielkie różnice w nazwach pól dla rekordu DNS typu TXT.
4. Zapisz zmiany
Pamiętaj! Przy każdej zmianie zasad DMARC i aktualizacji rekordu, koniecznie zaktualizuj też rekord DNS typu TXT u dostawcy domeny.
WAŻNE: Jeśli posiadasz więcej niż 1 domenę, dla każdej z nich przygotuj rekord DMARC z zasadami dla tej domeny. Jeśli tego nie zrobisz każda subdomena odziedziczy zasady domeny nadrzędnej. Aby zdefiniować zasady DMARC dla subdomen, użyj sp tagu zasad w rekordzie DMARC domeny nadrzędnej.