DMARC je spôsob, ktorým môžete príjemcom e-mailov dať vedieť, ako majú naložiť s podvrhnutými správami, ktoré sa tvária ako odoslané z vašej domény, čo je obľúbená taktika napr. phishingových správ.
DMARC (Domain-based Message Authentication, Reporting and Conformance) rozširuje a doplňuje mechanizmy SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail), ktoré dokáže takéto podvrhnuté správy detegovať, ale už nehovoria, ako s takouto správou naložiť.
Google a Yahoo od februára 2024 vyžadujú nastavený DMARC u domén, z ktorých príde väčšie množstvo správ za určité obdobie na schránky hostované na ich platformách (u Google ide o 5000 a viac správ behom 24 hodín). Správy z domén, ktoré limit prekročia, a nebudú mať správne nastavený DMARC, začnú Google i Yahoo behom roku 2024 postupne odmietať. Detaily k tomuto opatreniu, a či sa vás tato zmena týka, nájdete v sekcii Vyžadovanie DMARC zo strany Googlu a Yahoo na konci článku.
DMARC sa nastavuje v DNS záznamoch, konkrétne ako záznam typu TXT pre subdoménu _dmarc
, teda napríklad pre _dmarc.domena-eshopu.sk
. Hodnota záznamu vždy musí začínať textom v=DMARC1;
(bodkočiarka aj veľkosť písmen sú dôležité). ďalšie nastavenia sa následne oddeľujú bodkočiarkou ;
.
DMARC mechanizmus vám umožňuje pomocou značky p
určiť, čo by mal príjemca urobiť s podvrhnutou správou, ktorá sa tvárí ako odoslaná z vašej domény (napr. má nepravdivo v hlavičke správy vašu e-mailovou adresu From: info@domena-eshopu.sk
). Tato značka určuje, akú politiku (anglicky „policy“) by mal príjemca k podvrhnutej správe zaujať a podľa toho s ňou naložiť:
p=quarantine
– správa by mala byť označená ako podozrivá, a napr. presunutá do zložky Spamp=reject
– správa by mala byť úplne odmietnutáp=none
– príjemca môže správu spracovať podľa svojho najlepšieho uváženiaPre začiatok môžete nastaviť ako politiku p=none
, alebo p=quarantine
, a až neskôr prejsť na p=reject
.
V rámci DMARC politik môžete rovnako určiť, aby vám príjemcovia posielali súhrnné (tzv. agregované), alebo chybové (niekedy nazvané tiež forenzní) strojovo čitateľné reporty v XML formáte. Chybové reporty obsahujú spravidla výpis všetkých správ, ktoré boli vyhodnotené ako podvrhnuté. Súhrnné reporty obsahujú aj informácie o správach, ktoré nie sú podvrhnuté, a teda môžu byť tieto reporty značne obsiahle.
Zasielanie reportov nemusia všetci príjemcovia podporovať, ale minimálne veľkí e-mailoví poskytovatelia (Google, Microsoft, Seznam, Yahoo, apod.) tieto reporty zasielajú, a to obvykle raz denne. Pre prehliadanie a vyhľadávanie v reportoch odporúčame využiť niektorý z dostupných špecializovaných nástrojov pre tento účel, ako sú napr. nástroje od dmarcian či od Report URI.
Zasielanie súhrnných reportov je možné povoliť pomocou značky rua
, zasielanie chybových reportov potom pomocou značky ruf
. V oboch prípadoch je vždy pri značke nutné uviesť adresu, na ktorú majú byť reporty zasielaný, a to v tvare rua=mailto:adresa@domena-eshopu.sk
, alebo ruf=mailto:adresa@domena-eshopu.sk
. V oboch prípadoch je vždy nutné uviesť pred adresu mailto:
.
V prípade, že by ste chceli zasielať reporty na adresu na inej doméne, než ku ktorej je DNS TXT záznam s DMARC definíciou vytvorený, bolo by potrebné u tejto inej domény zasielanie povoliť v jej DNS záznamoch. Pokiaľ by ste teda napríklad v rámci DMARC na doméne domena-eshopu.sk
chceli zasielať reporty na adresu info@ina-domena.sk
, bolo by v DNS záznamoch domény jina-domena.sk
potrebné vytvoriť TXT záznam pre subdoménu domena-eshopu.sk._report._dmarc.ina-domena.sk
s hodnotou v=DMARC1;
.
Pokiaľ s DMARC u vašej domény začínate, mohlo by sa vám hodiť nastavenie, ktoré poštovým serverom hovorí, aby vybraná DMARC politika (určená značkou p
) bola aplikovaná iba na určité percento podvrhnutých správ. Toto je možné určiť značkou pct
, a uvedením podielu podvrhnutých správ, na ktoré má byť politika aplikovaná, v tvare pct=12
. Teda uvedením napríklad pct=10
určíte, že vami vybraná politika má byť aplikovaná iba na 10 % podvrhnutých správ.
Pokiaľ chcete politiku aplikovať na všetky podvrhnuté správy, nie je nutné do DMARC definície uvádzať pct=100
, pretože keď značku pct
neuvediete, politika sa bude vždy aplikovať na všetky správy.
DMARC sa nastavuje v DNS záznamoch domény, z ktorej sú e-maily odosielané. A to konkrétne ako záznam typu TXT, a vždy pre subdoménu _dmarc
. Teda napríklad pre doménu domena-eshopu.sk
by šlo o TXT záznam pre subdoménu _dmarc.domena-eshopu.sk
.
Hodnota záznamu musí vždy začínať textom v=DMARC1;
(vr. bodkočiarky a veľkosti písmen). ďalšie nastavenia v hodnote záznamu sa následne oddeľujú bodkočiarkou. Konkrétny spôsob nastavenia TXT záznamu záleží na tom, kde DNS záznamy vašej domény spravujete.
Kontrolu nastavení DMARC u vašej domény môžete vykonať aj pomocou online nástrojov ako je DMARC Inspector nebo DMARC Check. Samotný DNS TXT záznam pre DMARC si môžete zostaviť aj pomocou nástroja DMARC Record Wizard.
Pokiaľ máte u vašej domény menné servery nasmerované na Shoptet, a spravujete tím pádom DNS záznamy z administrácie obchodu, môžete nový TXT záznam pre DMARC nastaviť priamo v administrácii obchodu. V sekcii Nastavenia → Hosting → DNS prejdite na záložku TXT záznamy a kliknite na tlačidlo Pridať. Do poľa Doména vložte _dmarc
a do poľa Text vložte hodnotu samotného DMARC záznamu, teda minimálne v=DMARC1;
Pokiaľ máte u vašej domény menné servery nasmerované na iného poskytovateľa, bude nutné DNS TXT záznam pre DMARC nastaviť v administrácii tohto poskytovateľa. V prípade nejasností s nastavením odporúčame nahliadnuť do nápovedy poskytovateľa, prípadne to konzultovať priamo s ich podporou.
Pokiaľ neviete, alebo si nie ste istí, kde máte DNS záznamy vašej domény spravovať, môžete to zistiť jednoducho napríklad v administrácii obchodu, v sekcii Nastavenia → Hosting → DNS. Pokiaľ v tejto sekcii uvidíte upozornenie „Používate externé nameservery. Akákoľvek zmena DNS musí byť vykonaná na stránke doménového registrátora.“, znamená to, že máte menné servery domény (tzv. nameservery) nasmerované mimo Shoptet. Kam presne, môžete zistiť na danej stránke u položky Nameservery.
Pokiaľ uvedené upozornenie v administrácii nevidíte, znamená to, že máte menné servery nasmerované na Shoptet, a môžete postupovať podľa časti DNS záznamy domény mám v Shoptete.
Pre jednoduchšie pochopenie a nastavenie DMARC pre vašu doménu uvádzame niekoľko príkladov, a to pre hypotetickú subdoménu _dmarc.domena-eshopu.sk
:
v=DMARC1; p=none
– príjemca e-mailu bude podvrhnuté správy spracovávať podľa vlastného interného nastaveniav=DMARC1; p=none; rua=mailto:adresa@domena-eshopu.sk; ruf=mailto:adresa@domena-eshopu.sk
– príjemca bude podvrhnuté správy spracovávať podľa vlastného nastavenia a bude posielať súhrnné aj chybové reporty na adresu adresa@domena-eshopu.skv=DMARC1; p=quarantine
– príjemca každú podvrhnutú správu označí ako podozrivú, a uloží ju do zložky Spam (alebo do inej podobnej zložky, v závislosti na svojich nastaveniach)v=DMARC1; p=quarantine; rua=mailto:adresa@domena-eshopu.sk; ruf=mailto:adresa@domena-eshopu.sk
– príjemca všetky podvrhnuté správy označí ako podozrivé, uloží do zložky Spam, a bude posielať súhrnné aj chybové reporty na uvedené adresyv=DMARC1; p=reject; pct=25; rua=mailto:adresa@domena-eshopu.sk; ruf=mailto:adresa@domena-eshopu.sk
– príjemca štvrtinu podozrivých správ odmietne, na zvyšok aplikuje politiku “quarantine” a napr. ich uloží do zložky Spam. Bude taktiež posielať súhrnné aj chybové reporty o všetkých správach na uvedené adresy.Ak s DMARC nastavením pri vašej doméne začínate a nie ste si istí, aké konkrétne nastavenia v DMARC zázname uviesť, odporúčame na začiatok použiť nasledujúce základné nastavenie:
v=DMARC1; p=none; adkim=s; aspf=s; rua=mailto:adresa@domena-eshopu.sk; ruf=mailto:adresa@domena-eshopu.sk
– Parametre adkim=s
a aspf=s;
určujú, že e-maily musia presne zodpovedať doméne uvedenej v DKIM a SPF záznamoch, inak bude správa označená s chybou. Správy s chybou sa však vďaka p=none
nebudú blokovať, ale iba nahlasovať. Hlásenia o problémoch budú zasielané na adresy uvedené v rua
a ruf
.Pri odosielaní správ cez mailové servery Shoptetu nesmie byť politika DMARC (p=
) nastavená na hodnotu reject
, inak môže dochádzať k problémom s doručovaním správ.
Google a Yahoo od februára 2024 začali vyžadovať nastavený DMARC mechanizmus pri všetkých doménach, z ktorých sú vo väčšom množstve odosielané správy do e-mailových schránok na Gmaili či na Yahoo. Konkrétne pravidlá a podmienky oboch poskytovateľov sa čiastočne líšia, v oboch prípadoch ale bude dochádzať k vynucovaniu pravidiel postupne. Zozačiatku budú k prípadným nedostatkom v nastaveniach obe spoločnosti tolerantnejšie, postupom času potom budú pravidlá vynucovať so vzrastajúcou prísnosťou.
Aktuálne a oficiálne zhrnutia najčastejších otázok k zmenám pre odosielateľov e-mailov nájdete v nápovede Google. Tu vám prinášame súhrn toho najdôležitejšieho:
@gmail.com
či @googlemail.com
). Správy na adresy na vlastných doménach v rámci Google Workspace sa do limitu nezapočítavajúv=DMARC1; p=none
Aktuálne a oficiálne zhrnutie najčastejších otázok k zmenám pre odosielateľov e-mailov nájdete v FAQ článku Yahoo. Oproti informáciám od Google sú informácie od Yahoo výrazne stručnejšie a menej konkrétne. Podobne ako pri Google, sa aj pri Yahoo nové pravidlá týkajú iba hromadných odosielateľov (bulk senders), kedy je za odosielateľa považovaná akákoľvek schránka z jednej základnej domény.
Yahoo však nijak nešpecifikuje hranicu limitov, kedy začne doménu považovať za hromadného odosielateľa, ani časové obdobie, z ktorého je limit vypočítavaný, a ani nehovorí, či má status bulk sender nejaký dátum exspirácie, alebo či je rovnako ako pri Google tento status platný „navždy“.
Rovnako ako Google, i Yahoo od februára 2024 vyžaduje pri správach z domén, ktoré vyhodnotí ako hromadných odosielateľov, aby mali okrem SPF a DKIM ochrán, nastavenú aj nejakú DMARC politiku. Vynucovanie týchto nových pravidiel bude aj pri Yahoo postupné, avšak bez ďalšieho bližšieho určenia.