Polityka dmarc
Blog Aktualności Obsługa klienta

DMARC - ochrona przed phishingiem i wpadaniem do SPAMU

Sylwia Cerecka

Sylwia Cerecka, 2024-03-21

Piszemy ten artykuł, żeby Ci przypomnieć, że w związku ze zmianami, jakie wprowadził od 1 lutego Google dla nadawców maili, musisz ustawić dla swojej domeny rekordy SPF i DKIM, aby Twoje maile nie trafiały do spamu lub nie były odrzucane przez serwery odbierające. 

SPF i DKIM to pierwszy z dwóch kroków, które musisz wykonać. Następnym jest ustawienie rekordu DMARC. Ale po kolei

 

1. Rekordy uwierzytelniające SPF i DKIM dla domeny

Przypomnijmy, że rekordy SPF i DKIM to rekordy uwierzytelniające, które mówią serwerom odbiorcy, że Ty to Ty i że serwer nadawczy może wysyłać wiadomości w imieniu Twojej domeny.

Jeśli nie wiesz o czym mowa, zapoznaj się najpierw z naszym artykułem O ustawieniach SPF i DKIM dla swojego serwera pocztowego, a następnie wróć do tego artykułu.

Bo oprócz konfiguracji SPF i DKIM potrzebujesz też ustawić rekord DMARC (kolejny rekord uwierzytelniający), i to do końca marca, żeby Twoje maile od 1 kwietnia (bo wtedy zaostrza się polityka Google) nie wpadały do spamu.

 

2. Rekord DMARC

 

Czym jest DMARC? 

DMARC (Domain-based Message Authentication, Reporting, and Conformance) to protokół uwierzytelniania, polityki i raportowania wiadomości email, który pomaga chronić przed atakami phishingu i innymi oszustwami, na jakie jesteśmy narażeni w sieci. 

Dzięki niemu odbiorca wiadomości może sprawdzić czy przesłana do niego wiadomość  jest autentyczna. Polityka DMARC pozwala też określić, co się stanie z mailem, jeśli nie przejdzie autentykacji (może być skierowany do spamu lub odrzucony).

Aby protokół DMARC działał poprawnie, musisz najpierw skonfigurować rekordy SPF i DKIM dla swojej domeny, gdyż DMARC jest rozwiązaniem uzupełniającym i rozszerzającym ich działanie. Odczekaj 48 h od ustawienia SPF i DKIM, i dopiero skonfiguruj DMARC.

 

Po co ustawiać DMARC?

Bo dzięki niemu serwer poczty przychodzącej wie czy wiadomość, która nie uzyskała pozytywnej weryfikacji SPF i DKIM ma zostać przyjęta, czy odrzucona oraz czy ma być dla takiego zdarzenia generowany raport i wysyłany na określony adres email.  Pozwala to zwiększyć bezpieczeństwo Twojej domeny i lepiej kontrolować wiadomości email.

Rekord DMARC sprawdza czy rzeczywiście domena użyta w polu Nagłówek/From (email nadawcy) jest nadawcą wiadomości. Porównuje ją z domeną (domenami) znalezionymi w rekordzie SPF lub DKIM. 

W celu zapewnienia zgodności tych domen, konieczne jest, aby domena użyta do generowania podpisu DKIM była zgodna z domeną w Nagłówku/From, natomiast SPF powinno potwierdzić, że adres IP serwera wysyłającego został autoryzowany przez właściciela domeny określonej w poleceniu SMTP MailFrom.


Cała procedura w dużym uproszczeniu wygląda mniej więcej tak: 

  • mając skonfigurowany DMARC po wysyłce maila serwer poczty przychodzącej sprawdza w DNS politykę DMARC ustaloną dla domeny nadawcy,
  • wiadomość jest oceniana pod względem prawidłowości podpisu DKIM oraz tego czy adres IP nadawcy znajduje się na liście adresów IP nadawcy w rekordzie SPF
  • jeśli wszystko się zgadza wiadomość trafia do skrzynki odbiorczej. 

Jeżeli mail nie przejdzie autentykacji, to co się z nim stanie zależy już od polityki DMARC domeny nadawcy. 

 

Email authentication

 

3. Dodawanie rekordu DMARC

Rekord DMARC (Domain-based Message Authentication, Reporting, and Conformance) definiujesz przez dodanie odpowiedniego wpisu w ustawieniach DNS domeny.

Zanim zaczniesz dodawanie rekordu DMARC, przygotuj plik tekstowy lub wiersz, zawierający rekord zasad.

 

Przygotuj rekord DMARC

Rekord DMARC ma postać zwykłego tekstu, który zawiera listę tagów i wartości DMARC oddzielonych średnikami. Niektóre tagi są wymagane, a inne opcjonalne.

Zasady DMARC informują serwery odbierające, jakie działania mają podjąć w przypadku nieuwierzytelnionych wiadomości z Twojej domeny. Działania te są zapisane w tagu zasad (p).

Poniżej podajemy przykład rekordu DMARC. Zwróć uwagę na:

  • tagi rozdzielone średnikami (;)
  • tag v i p muszą się pojawić jako pierwsze, reszta może być w dalszej kolejności
  • jeśli używasz tagu rua (do raportowania), przed każdym adresem mailowym pamiętaj o dopisku mailto: żeby było wiadomo, na jaki adres email mają być wysyłane raporty z DMARC

 

Przykład (podana domena jest przykładowa, należy ją zastąpić swoją)
v=DMARC1; p=reject; rua=mailto:master@twojafirma.com, mailto:dmarc@twojafirma.com; pct=100; adkim=s; aspf=s

Tagi rekordu DMARC znajdziesz w tym artykule.

 

Zacznij od p=none

Wdrażanie DMARC polecamy od ustawienia zasad p=none. To spowoduje, że będziesz dostawać raporty bez ryzyka, że serwery odbierające skierują Twoją wiadomość do spamu lub ją odrzucą.

W kolejnym kroku będziesz mógł zmienić konfigurację na zasady, by wszystkie nieuwierzytelnione wiadomości były odrzucane.

 

Dodaj DMARC do DNS domeny

Kiedy przygotujesz już tekst rekordu DMARC, dodaj lub zaktualizuj rekord DNS typu TXT u swojego dostawcy domeny.

Zaloguj się do konsoli zarządzania dostawcy hostingu domeny i wykonaj poniższe kroki.

Żeby lepiej pokazać Ci, co gdzie należy wpisać, użyliśmy przykładowej domeny (twojafirma.com). Zastąp tę domenę własną.

1. Przejdź do strony umożliwiającej aktualizację rekordów DNS, aby dodać lub zmodyfikować bieżący rekord DNS typu TXT

2. W pierwszym polu wprowadzasz “Nazwę rekordu TXT” (TXT record name).Poniżej tekstu DNS Host Name wpisz: _dmarc.twojafirma.com 

Pamiętaj, że niektórzy dostawcy automatycznie dodają nazwę domeny po _dmarc. Sprawdź nazwę rekordu TXT dla DMARC, aby upewnić się, że jest poprawnie sformatowana.

3. W drugim polu wprowadzasz "Wartość rekordu TXT" (TXT record value). Wpisz tekst rekordu DMARC. Przykładowy tekst może wyglądać tak: 

v=DMARC1; p=none; rua=mailto:dmarc-reports@twojafirma.com

WAŻNE: Pamiętaj, że nazwy pól mogą różnić się u różnych dostawców, dlatego mogą występować niewielkie różnice w nazwach pól dla rekordu DNS typu TXT. 

4. Zapisz zmiany

 

Pamiętaj! Przy każdej zmianie zasad DMARC i aktualizacji rekordu, koniecznie zaktualizuj też rekord DNS typu TXT u dostawcy domeny.

WAŻNE: Jeśli posiadasz więcej niż 1 domenę, dla każdej z nich przygotuj rekord DMARC z zasadami dla tej domeny. Jeśli tego nie zrobisz każda subdomena odziedziczy zasady domeny nadrzędnej. Aby zdefiniować zasady DMARC dla subdomen, użyj sp tagu zasad w rekordzie DMARC domeny nadrzędnej.