Shoptet Podpora logo
Shoptet PodporaMarketingNewsletteryČo je DMARC a ako ho nastaviť
Obsah článku
  1. Základné princípy DMARC
    1. Ako má príjemca so správou naložiť
    2. Súhrnné a chybové reporty
    3. Obmedzenia DMARC politiky
  2. Ako DMARC nastaviť
    1. DNS záznamy domény mám v Shoptete
    2. DNS záznamy domény mám u iného poskytovateľa
    3. Neviem, kde mám DNS záznamy domény
    4. Príklady nastavenia DMARC záznamu
  3. Vyžadovanie DMARC zo strany Google a Yahoo
    1. Novinky v pravidlách a podmienkach zasielania na Gmail
    2. Novinky v pravidlách a podmienkach zasielania na Yahoo

Čo je DMARC a ako ho nastaviť

DMARC je spôsob, ktorým môžete príjemcom e-mailov dať vedieť, ako majú naložiť s podvrhnutými správami, ktoré sa tvária ako odoslané z vašej domény, čo je obľúbená taktika napr. phishingových správ.

DMARC (Domain-based Message Authentication, Reporting and Conformance) rozširuje a doplňuje mechanizmy SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail), ktoré dokáže takéto podvrhnuté správy detegovať, ale už nehovoria, ako s takouto správou naložiť.

Google a Yahoo od februára 2024 vyžadujú nastavený DMARC u domén, z ktorých príde väčšie množstvo správ za určité obdobie na schránky hostované na ich platformách (u Google ide o 5000 a viac správ behom 24 hodín). Správy z domén, ktoré limit prekročia, a nebudú mať správne nastavený DMARC, začnú Google i Yahoo behom roku 2024 postupne odmietať. Detaily k tomuto opatreniu, a či sa vás tato zmena týka, nájdete v sekcii Vyžadovanie DMARC zo strany Googlu a Yahoo na konci článku.

Základné princípy DMARC

DMARC sa nastavuje v DNS záznamoch, konkrétne ako záznam typu TXT pre subdoménu _dmarc, teda napríklad pre _dmarc.domena-eshopu.sk. Hodnota záznamu vždy musí začínať textom v=DMARC1; (bodkočiarka aj veľkosť písmen sú dôležité). ďalšie nastavenia sa následne oddeľujú bodkočiarkou ;.

Ako má príjemca so správou naložiť

DMARC mechanizmus vám umožňuje pomocou značky p určiť, čo by mal príjemca urobiť s podvrhnutou správou, ktorá sa tvárí ako odoslaná z vašej domény (napr. má nepravdivo v hlavičke správy vašu e-mailovou adresu From: info@domena-eshopu.sk). Tato značka určuje, akú politiku (anglicky „policy“) by mal príjemca k podvrhnutej správe zaujať a podľa toho s ňou naložiť:

  • p=quarantine – správa by mala byť označená ako podozrivá, a napr. presunutá do zložky Spam
  • p=reject – správa by mala byť úplne odmietnutá
  • p=none – príjemca môže správu spracovať podľa svojho najlepšieho uváženia

Pre začiatok môžete nastaviť ako politiku p=none, alebo p=quarantine, a až neskôr prejsť na p=reject.

Súhrnné a chybové reporty

V rámci DMARC politik môžete rovnako určiť, aby vám príjemcovia posielali súhrnné (tzv. agregované), alebo chybové (niekedy nazvané tiež forenzní) strojovo čitateľné reporty v XML formáte. Chybové reporty obsahujú spravidla výpis všetkých správ, ktoré boli vyhodnotené ako podvrhnuté. Súhrnné reporty obsahujú aj informácie o správach, ktoré nie sú podvrhnuté, a teda môžu byť tieto reporty značne obsiahle.

Zasielanie reportov nemusia všetci príjemcovia podporovať, ale minimálne veľkí e-mailoví poskytovatelia (Google, Microsoft, Seznam, Yahoo, apod.) tieto reporty zasielajú, a to obvykle raz denne. Pre prehliadanie a vyhľadávanie v reportoch odporúčame využiť niektorý z dostupných špecializovaných nástrojov pre tento účel, ako sú napr. nástroje od dmarcian či od Report URI.

Zasielanie súhrnných reportov je možné povoliť pomocou značky rua, zasielanie chybových reportov potom pomocou značky ruf. V oboch prípadoch je vždy pri značke nutné uviesť adresu, na ktorú majú byť reporty zasielaný, a to v tvare rua=mailto:adresa@domena-eshopu.sk, alebo ruf=mailto:adresa@domena-eshopu.sk. V oboch prípadoch je vždy nutné uviesť pred adresu mailto:

V prípade, že by ste chceli zasielať reporty na adresu na inej doméne, než ku ktorej je DNS TXT záznam s DMARC definíciou vytvorený, bolo by potrebné u tejto inej domény zasielanie povoliť v jej DNS záznamoch. Pokiaľ by ste teda napríklad v rámci DMARC na doméne domena-eshopu.sk chceli zasielať reporty na adresu info@ina-domena.sk, bolo by v DNS záznamoch domény jina-domena.sk potrebné vytvoriť TXT záznam pre subdoménu domena-eshopu.sk._report._dmarc.ina-domena.sk s hodnotou v=DMARC1;.

Obmedzenia DMARC politiky

Pokiaľ s DMARC u vašej domény začínate, mohlo by sa vám hodiť nastavenie, ktoré poštovým serverom hovorí, aby vybraná DMARC politika (určená značkou p) bola aplikovaná iba na určité percento podvrhnutých správ. Toto je možné určiť značkou pct, a uvedením podielu podvrhnutých správ, na ktoré má byť politika aplikovaná, v tvare pct=12. Teda uvedením napríklad pct=10 určíte, že vami vybraná politika má byť aplikovaná iba na 10 % podvrhnutých správ.

Pokiaľ chcete politiku aplikovať na všetky podvrhnuté správy, nie je nutné do DMARC definície uvádzať pct=100, pretože keď značku pct neuvediete, politika sa bude vždy aplikovať na všetky správy.

Ako DMARC nastaviť

DMARC sa nastavuje v DNS záznamoch domény, z ktorej sú e-maily odosielané. A to konkrétne ako záznam typu TXT, a vždy pre subdoménu _dmarc. Teda napríklad pre doménu domena-eshopu.sk by šlo o TXT záznam pre subdoménu _dmarc.domena-eshopu.sk.

Hodnota záznamu musí vždy začínať textom v=DMARC1; (vr. bodkočiarky a veľkosti písmen). ďalšie nastavenia v hodnote záznamu sa následne oddeľujú bodkočiarkou. Konkrétny spôsob nastavenia TXT záznamu záleží na tom, kde DNS záznamy vašej domény spravujete.

Kontrolu nastavení DMARC u vašej domény môžete vykonať aj pomocou online nástrojov ako je DMARC Inspector nebo DMARC Check. Samotný DNS TXT záznam pre DMARC si môžete zostaviť aj pomocou nástroja DMARC Record Wizard.

DNS záznamy domény mám v Shoptete

Pokiaľ máte u vašej domény menné servery nasmerované na Shoptet, a spravujete tím pádom DNS záznamy z administrácie obchodu, môžete nový TXT záznam pre DMARC nastaviť priamo v administrácii obchodu. V sekcii Nastavenia → Hosting → DNS prejdite na záložku TXT záznamy a kliknite na tlačidlo Pridať. Do poľa Doména vložte _dmarc a do poľa Text vložte hodnotu samotného DMARC záznamu, teda minimálne v=DMARC1; 

Obrázok 01 - Príklad nastavenia TXT záznamu pre DMARC v administrácii obchodu
Obrázok 01 - Príklad nastavenia TXT záznamu pre DMARC v administrácii obchodu

DNS záznamy domény mám u iného poskytovateľa

Pokiaľ máte u vašej domény menné servery nasmerované na iného poskytovateľa, bude nutné DNS TXT záznam pre DMARC nastaviť v administrácii tohto poskytovateľa. V prípade nejasností s nastavením odporúčame nahliadnuť do nápovedy poskytovateľa, prípadne to konzultovať priamo s ich podporou. 

Neviem, kde mám DNS záznamy domény

Pokiaľ neviete, alebo si nie ste istí, kde máte DNS záznamy vašej domény spravovať, môžete to zistiť jednoducho napríklad v administrácii obchodu, v sekcii Nastavenia → Hosting → DNS. Pokiaľ v tejto sekcii uvidíte upozornenie „Používate externé nameservery. Akákoľvek zmena DNS musí byť vykonaná na stránke doménového registrátora.“, znamená to, že máte menné servery domény (tzv. nameservery) nasmerované mimo Shoptet. Kam presne, môžete zistiť na danej stránke u položky Nameservery. 

Pokiaľ uvedené upozornenie v administrácii nevidíte, znamená to, že máte menné servery nasmerované na Shoptet, a môžete postupovať podľa časti DNS záznamy domény mám v Shoptete.

Príklady nastavenia DMARC záznamu

Pre jednoduchšie pochopenie a nastavenie DMARC pre vašu doménu uvádzame niekoľko príkladov, a to pre hypotetickú subdoménu _dmarc.domena-eshopu.sk:

  • v=DMARC1; p=none – príjemca e-mailu bude podvrhnuté správy spracovávať podľa vlastného interného nastavenia
  • v=DMARC1; p=none; rua=mailto:adresa@domena-eshopu.sk; ruf=mailto:adresa@domena-eshopu.sk – príjemca bude podvrhnuté správy spracovávať podľa vlastného nastavenia a bude posielať súhrnné aj chybové reporty na adresu adresa@domena-eshopu.sk
  • v=DMARC1; p=quarantine – príjemca každú podvrhnutú správu označí ako podozrivú, a uloží ju do zložky Spam (alebo do inej podobnej zložky, v závislosti na svojich nastaveniach)
  • v=DMARC1; p=quarantine; rua=mailto:adresa@domena-eshopu.sk; ruf=mailto:adresa@domena-eshopu.sk – príjemca všetky podvrhnuté správy označí ako podozrivé, uloží do zložky Spam, a bude posielať súhrnné aj chybové reporty na uvedené adresy
  • v=DMARC1; p=reject; pct=25; rua=mailto:adresa@domena-eshopu.sk; ruf=mailto:adresa@domena-eshopu.sk – príjemca štvrtinu podozrivých správ odmietne, na zvyšok aplikuje politiku “quarantine” a napr. ich uloží do zložky Spam. Bude taktiež posielať súhrnné aj chybové reporty o všetkých správach na uvedené adresy.

Vyžadovanie DMARC zo strany Google a Yahoo

Google a Yahoo od februára 2024 začali vyžadovať nastavený DMARC mechanizmus pri všetkých doménach, z ktorých sú vo väčšom množstve odosielané správy do e-mailových schránok na Gmaili či na Yahoo. Konkrétne pravidlá a podmienky oboch poskytovateľov sa čiastočne líšia, v oboch prípadoch ale bude dochádzať k vynucovaniu pravidiel postupne. Zozačiatku budú k prípadným nedostatkom v nastaveniach obe spoločnosti tolerantnejšie, postupom času potom budú pravidlá vynucovať so vzrastajúcou prísnosťou.

Novinky v pravidlách a podmienkach zasielania na Gmail

Aktuálne a oficiálne zhrnutia najčastejších otázok k zmenám pre odosielateľov e-mailov nájdete v nápovede Google. Tu vám prinášame súhrn toho najdôležitejšieho:

  • zmeny od februára 2024 sa týkajú iba hromadných odosielateľov, tzv. bulk-senders, tých Google definuje takto:
    • behom 24 hodín došlo zo schránok na jednej doméne k odoslaniu 5 000 a viac správ na adresy na Gmaili
    • limit je aplikovaný na základnú doménu, tzn. pokiaľ napríklad odosielate e-maily ako z domény, tak aj z jej subdomény, sú správy z oboch domén zahrnuté do jedného limitu
    • do limitu sú započítavané iba správy na osobné Gmail účty (teda spravidla adresy na @gmail.com či @googlemail.com). Správy na adresy na vlastných doménach v rámci Google Workspace sa do limitu nezapočítavajú
    • označenie bulk sender nemá nijak obmedzenú platnosť, teda pokiaľ vašu doménu Google raz vyhodnotí ako hromadného odosielateľa, zostáva vašej doméne tento status navždy (samozrejme pokiaľ sa Google nerozhodne toto pravidlo zmeniť)
  • pre splnenie podmienok je nutné mať pri doméne, z ktorej správy odosielate, správne nastavené SPF, DKIM i DMARC mechanizmy. Toto nie sú jediné požiadavky, detailný prehľad nájdete v nápovede Google
  • pri DMARC je minimálne postačujúce nastavenie hodnota v=DMARC1; p=none
  • pri nesplnení podmienok bude Google postupovať nasledovne:
    • od februára 2024 bude odosielateľom vracať k malému percentu správ chybové hlásenia o nesplnení podmienok
    • od apríla 2024 začne odosielateľom odmietať časť správ, ktoré nesplnia podmienky, podiel odmietnutých správ bude postupne navyšovaný
  • od 1. júna 2024 začne Google pri všetkých komerčných a reklamných správach od hromadných odosielateľov vyžadovať funkciu odhlásenia na jedno kliknutie („one-click-unsubscribe“) - viac o tejto funkcii nájdete v nápovede Google

Novinky v pravidlách a podmienkach zasielania na Yahoo

Aktuálne a oficiálne zhrnutie najčastejších otázok k zmenám pre odosielateľov e-mailov nájdete v FAQ článku Yahoo. Oproti informáciám od Google sú informácie od Yahoo výrazne stručnejšie a menej konkrétne. Podobne ako pri Google, sa aj pri Yahoo nové pravidlá týkajú iba hromadných odosielateľov (bulk senders), kedy je za odosielateľa považovaná akákoľvek schránka z jednej základnej domény.

Yahoo však nijak nešpecifikuje hranicu limitov, kedy začne doménu považovať za hromadného odosielateľa, ani časové obdobie, z ktorého je limit vypočítavaný, a ani nehovorí, či má status bulk sender nejaký dátum exspirácie, alebo či je rovnako ako pri Google tento status platný „navždy“.

Rovnako ako Google, i Yahoo od februára 2024 vyžaduje pri správach z domén, ktoré vyhodnotí ako hromadných odosielateľov, aby mali okrem SPF a DKIM ochrán, nastavenú aj nejakú DMARC politiku. Vynucovanie týchto nových pravidiel bude aj pri Yahoo postupné, avšak bez ďalšieho bližšieho určenia. 

Ďalšie články z kategórie