DMARC to metoda służąca do uwierzytelniania poczty email. Wiadomości email są często wykorzystywane do wysyłania złośliwego oprogramowania, fałszywych informacji lub wiadomości mających na celu wyłudzenie od odbiorcy danych wrażliwych, takich jak nazwa użytkownika, hasło czy dane karty kredytowej (tego typu działanie to tzw. phishing). Polega ona na podszywaniu się hakerów pod wiarygodne domeny, np. banków. Hakerzy mogą się podszyć właściwe pod każdą domenę, która może wzbudzać zaufanie odbiorcy – również pod Twoją. Jeśli oszuści, podszywając się pod Twoją firmę, będą wykorzystywali nazwę Twojej domeny, aby rozsyłać fałszywe wiadomości, to jest duże prawdopodobieństwo, że ich odbiorcy będą zgłaszali takie wiadomości jako spam. W sytuacji, gdy wielu odbiorców tak zrobi, istnieje ryzyko, że prawdziwe wiadomości wysłane przez Twoją firmę również zostaną tak oznaczone.
Czym jest DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) jest protokołem uwierzytelniania, który zabezpiecza domenę przed podszywaniem się pod innego nadawcę i ukryciem prawdziwego pochodzenia wysyłki. DMARC to po SPF i DKIM kolejny etap ochrony odbiorcy stosowany w email marketingu. Pozwala właścicielowi domeny określić politykę dostarczalności i otrzymywać raporty o wiadomościach wysłanych „z” jego domeny, które nie przejdą uwierzytelnienia. Wymagane jest, aby DKIM i SPF były zgodne z domeną w polu nadawcy wiadomości.
Jak działa DMARC?
DMARC informuje serwery poczty adresata, jak powinny zachować się wobec wiadomości, która wykazuje duże podobieństwo do wiadomości wysyłanych przez Twoją firmę, jednak z pewnych powodów nie przeszła procedury uwierzytelniania lub nie spełniła wymagań, które narzucają zasady Twojego rekordu DMARC. Mogą to być wiadomości, które udają, że ich nadawcą jest Twoja firma lub takie, które pochodzą z autoryzowanych serwerów. Aby wykorzystać zabezpieczenie, jakie oferuje DMARC, trzeba zacząć od ustawień SPF i DKIM.
To może Ci się przydać:
📨 Jak mogę wysłać wiadomości zgodne z protokołem DMARC?
⛔ Dlaczego nie należy używać adresów Yahoo!, AOL, Mail.ru jako email nadawcy?
Co to jest SPF?
SPF (Sender Policy Framework) to metoda uwierzytelniania nadawcy wiadomości email, która pomaga zweryfikować, czy IP nadawcy ma pozwolenie na wysyłkę z domeny nadawcy. Odbiorcy weryfikują tę informację przy użyciu nagłówka „Return-Path”, upewniając się, że publiczny wykaz domeny nadawcy DNS zawiera ten adres IP.
Rozwijając myśl: SPF to rodzaj rekordu działający w usłudze DNS. Celem rekordu SPF jest zabezpieczenie serwerów pocztowych (SMTP) przed przyjmowaniem wiadomości email z niedozwolonych źródeł. Od strony nadawcy poczty elektronicznej służy on do uwierzytelniania adresu, z którego wysyłane są wiadomości email. Nazwa nadawcy widniejąca w polu “nadawca wiadomości” nie musi być tożsama z adresem, z którego faktycznie wysyłana jest wiadomość. Dzięki sprawdzeniu rekordu SPF, serwery pocztowe przyjmujące wiadomość mogą określić, czy została ona faktycznie wysłana z danej domeny i autoryzowanego serwera.
Co to jest DKIM?
DKIM (Domain Keys Identified Mail) to metoda uwierzytelniania, która potwierdza, że zawartość wiadomości i informacje o nadawcy nie zostały zmienione podczas wysyłki. Nadawca koduje oryginalną wiadomość podpisem DKIM przy użyciu prywatnego klucza, następnie odbiorcy używają publicznego klucza nadawcy do weryfikacji tego, czy jego podpis zgadza się z otrzymaną treścią.
Podsumowując – DKIM to dodanie dla wysyłanej wiadomości email podpisu cyfrowego. Umożliwia on określenie przez serwery poczty przychodzącej (czyli odbierające wiadomość) czy nie jest ona sfałszowana lub nie została zmieniona w trakcie przesyłania.
Jak działa polityka DMARC?
DMARC określa, co zrobić w sytuacji, kiedy wiadomość nie przejdzie kontroli SPF i DKIM. Określa to parametr “p”, który może być ustawiony na “none” czyli brak, “quarantine” czyli kwarantannę lub “reject” – czyli odrzucenie.
Jak poprawnie ustawić rekord DMARC?
W wierszu wartości tekstowych określanym jako rekord DMARC, definiowane są zasady DMARC. Oznaczają one to, jak rygorystycznie sprawdzana ma być wiadomość oraz jakie są zalecane działania dla serwera odbierającego w wiadomość w przypadku, gdy nie przeszła ona uwierzytelnienia.
Poniżej znajdziesz listę rzeczy, które należy zrobić, zanim przystąpisz do konfiguracji DMARC:
- Skonfiguruj Sender Policy Framework (SPF),
- Skonfiguruj Domain Keys Identified Mail (DKIM),
- Uzyskaj od dostawcy hostingu dane do logowania w systemie,
- Zweryfikuj czy dany rekord DMARC już nie istnieje,
- Zweryfikuj czy zewnętrzna skrzynka pocztowa jest uwierzytelniona.
Pamiętaj! Aby ustawić podstawowe funkcje DMARC, musisz dodać odpowiedni rekord w ustawieniach serwera DNS swojej domeny. W tym celu należy przygotować wersję pliku TXT, w którym określisz podstawowe teksty rekordu DMARC, a następnie dodasz ten plik (lub zaktualizujesz istniejący) w ustawieniach DNS swojego dostawy domeny, z której wysyłane są Twoje kampanie e-mail marketingowe. UWAGA! Przy każdej zmianie zasad DMARC musisz zaktualizować ten plik, inaczej żadna zmiana w tym obszarze nie nastąpi.
Jakie są możliwości ustawienia DMARC – tagi
Zasady DMARC sprowadzają się de facto do wpisania jednego rekordu. Poniżej przedstawiam przykładowy:
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s
W takim wpisie najważniejsze jest poprawne ustawienie tagów v i p, definiują one bowiem sytuacje, co ma się stać z mailem, jeśli nie przejdzie on weryfikacji SPF lub DKIM. Co one oznaczają?
Tag “v” informuje o wersji DMARC, dla wszystkich musi być ona ustawiona jako “DMARC1”.
Tag “p” z kolei zawiera w sobie informację, co serwer ma zrobić z wiadomościami, jeśli nie przejdą one uwierzytelnienia. W tym miejscu masz możliwość przypisania jednej z trzech wartości dla tagu p:
- none – wówczas wiadomość przejdzie bez żadnych działań dalej i zostanie dostarczona do adresata. W polu rua= określasz jedynie adres email, na który wysyłane będą raporty DMARC,
- quarantine – ustawienie w taki sposób tagu spowoduje, że wiadomości zostaną zakwalifikowane jako SPAM i tam też zostaną umieszczone. W ten sposób odbiorca będzie mógł przeglądać takie wiadomości, jednak nie trafią one do folderu głównego,
- reject – przy takim ustawieniu wiadomość zostanie odrzucona i nie zostanie dostarczona.
Pamiętaj, że tagi v i p są obowiązkowe i muszą być wypełnione, aby ustawienia DMARC mogły zadziałać. Jeśli dopiero zaczynasz swoją przygodę z DMARC, najlepiej skonfigurować zasady z użyciem tagu “p” z przypisaną wartością na “none”. Z czasem, po analizie spływających raportów, z których dowiesz się jak Twoja domena jest uwierzytelniana przez serwery odbierające, możesz dokonać zmian w ustawieniu tego tagu na “quarantine” lub “reject”.
Co oznaczają dodatkowe parametry?
Rekord DMARC zawiera kilka dodatkowych parametrów, które wymagają wyjaśnienia. Nie są one obowiązkowe, jednak uszczegóławiają one warunki, dla jakich wiadomość ma zostać zakwalifikowana jako spam, jako odrzucona lub całkowicie w porządku.
Parametr pct opisuje procentowo, jaki odsetek nieuwierzytelnionych emaili ma podlegać zapisowi DMARC. Przedział wyrażany jest od 0 do 100, gdzie 0 oznacza 0% wiadomości, 100 zaś 100%. Wdrażając DMARC zacznij od kilku procent, a gdy cały odsetek wiadomości osiągnie uwierzytelnienie, zwiększ go stopniowo, aż do 100%. Pamiętaj, że parametr jest opcjonalny, jeśli jednak nie ustawisz go w rekordzie, jego wartość domyślna będzie ustawiona na 100, czyli będzie obejmować wszystkie wiadomości, które nie są uwierzytelnione.
Parametr rua określa po prostu adres (lub adresy) email, na który mają być wysyłane raporty dotyczące Twoich wysyłek w kontekście działań DMARC. Standardowo adres poprzedzony musi być komendą mailto:. Jeśli chcesz dodać więcej niż jeden adres email, rozdziel je po prostu przecinkami. Pamiętaj, że raporty będą wysyłane codziennie, jeśli korzystasz z adresu, który wykorzystywany jest do innych celów (prywatny czy firmowy), najlepiej będzie, jeśli ustawisz odpowiednie reguły, aby powiadomienia z raportami wpadały do oddzielnego folderu. Możesz też stworzyć oddzielny adres tylko do otrzymywania raportów.
Parametr adkim wyraża dopasowanie domeny nadawcy. Przypomina to rozwiązanie, jakie stosuje się w przypadku Google Ads i słów kluczowych, jakie wybieramy do kampanii w searchu. Jeśli parametr ma wpisaną wartość “s”, wówczas dopasowanie będzie ścisłe, co oznacza, że nazwa domeny musi być dokładnie taka sama, jak wpisana nazwa domeny w nagłówkach DKIM poczty. Jeśli natomiast wpiszesz wartość “r”, będziesz miał do czynienia z dopasowaniem przybliżonym, gdzie wszystkie prawidłowe subdomeny użyte w nagłówku będą akceptowane.
Parametr aspf działa podobnie jak parametr adkim, odnosi się tylko do użytych wartości podpisów SPF. Jeśli użyjesz wartości “s”, będziemy mieli do czynienia z dopasowaniem ścisłym, w którym pole “od” wiadomości (czyli pole nadawcy, ang. from field) musi być w 100% zgodne z nazwą domeny, określoną poprzez SPF (SMTP MAIL FROM). Jeśli wartość tego parametru ustawisz na “r”, wówczas każda poprawna subdomena może być użyta w nagłówku wiadomości.
Pamiętaj, że każda domena, jakiej używasz do wysyłki, wymaga ustawienia oddzielnego wpisu i wszystkich działań, jakie zostały opisane wyżej. W przypadku subdomen zasady DMARC działają kaskadowo. Jeśli ustawisz je dla domeny, a nie dla subdomen, przejmą one automatycznie ustawienia domeny nadrzędnej. Możesz oczywiście ustalić oddzielne zasady dla każdej z subdomen, posługując się parametrem sp.
Dlaczego warto wykorzystywać DMARC?
Warto na bieżąco sprawdzać raporty DMARC. Dzięki nim możesz uzyskać sporo wartościowych informacji z serwerów, które odbierają Twoje wiadomości email. Z raportów dowiesz się, z jakich serwerów i od jakich nadawców zewnętrznych wysyłane są wiadomości email w imieniu Twojej domeny. Cenną informacją dla Twoich przyszłych wysyłek będzie, ile procent wysyłanych przez Ciebie wiadomości przechodzi uwierzytelnienie DMARC.
Dowiesz się również, jakie serwery lub usługi wysyłają wiadomości nieuwierzytelniane przez DMARC oraz jakie działania (none, quarantine lub reject) są podejmowane przez serwery odbierające Twoje wiadomości w razie braku uwierzytelnienia.