W dzisiejszych czasach wiadomości e-mail są nieodłączną częścią naszej komunikacji, zarówno w sferze prywatnej, jak i biznesowej. Niestety co za tym idzie, rośnie również liczba oszustw i nadużyć związanych z wysyłaniem niepożądanych wiadomości e-mail. Na szczęście istnieje rozwiązanie, które pomaga w walce z tym problemem.
- Czym jest zabezpieczenie DMARC
- Jak skonfigurować rekord DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) to zabezpieczenie, które pomaga w walce z phishingiem i innymi formami oszustw związanych z wysyłaniem wiadomości e-mail. Pozwala ono skonfigurować politykę autoryzacji i raportowania wiadomości wysyłanych z danej domeny, co znacznie zwiększa bezpieczeństwo.
Zabezpieczenie to działa w oparciu o dwa inne rozwiązania: SPF (Sender Policy Framework) oraz DKIM (DomainKeys Identified Mail). SPF pozwala na określenie, które serwery mogą wysyłać wiadomości w imieniu danej domeny, zaś DKIM umożliwia podpisywanie wiadomości cyfrowym kluczem, dzięki któremu można zweryfikować autentyczność nadawcy.
Działanie zabezpieczenia DMARC polega na weryfikacji czy wiadomość e-mail spełnia określone kryteria autoryzacji. Jeśli wiadomość nie spełnia określonych kryteriów, DMARC pozwala na podjęcie odpowiednich działań. Możliwe opcje to none (brak działań), quarantine (wiadomości zostaną dostarczone, lecz oznaczone jako podejrzane / spam) lub reject (wiadomości zostaną odrzucone).
Bardzo ważnym aspektem jest również możliwość otrzymywania raportów o wysłanych wiadomościach, w tym o ich autentyczności i zgodności z polityką DMARC. Dzięki tym raportom możesz monitorować i analizować wysłane wiadomości e-mail, a także podejmować odpowiednie działania w przypadku wykrycia nadużyć.
Jaka jest struktura rekordu DMARC?
Zanim przejdziemy do konfiguracji rekordu DMARC, zapoznaj się z jego strukturą i dostępnymi tagami.
Tagi obowiązkowe:
Tag | Przykładowy wpis | Opis działania |
v | v=DMARC1 | Oznacza wersję DMARC. Musi on mieć taką samą wartość, jak w przykładzie obok. |
p | p=none | Informuje serwer odbiorcy wiadomości co zrobić z wiadomościami, które nie przejdą weryfikacji. Dostępne opcje: none – brak działań, wiadomość zostanie dostarczona do odbiorcy quarantine – wiadomość zostanie dostarczona, lecz będzie oznaczona jako podejrzana / spam reject – wiadomość zostanie odrzucona przez serwer odbiorcy wiadomości i nie zostanie dostarczona |
Tagi opcjonalne:
Tag | Przykładowy wpis | Opis działania |
sp | sp=none | Podobnie jak tag p, informuje serwer odbiorcy co zrobić z wiadomościami, które nie przejdą weryfikacji, lecz w stosunku do subdomen. Dostępne są te same opcje co w przypadku tagu p. |
pct | pct=50 | Określa jaki procent wiadomości, które nie przejdą weryfikacji podlega zasadom DMARC. Wartość musi być liczbą całkowitą, od 1 do 100. Jeśli nie skorzystasz z tego tagu, to zasady DMARC będą obowiązywały dla wszystkich wiadomości. |
rua | rua=mailto:poczta@przykład1.pl lub rua=mailto:mail@mail1.pl,mailto:mail@mail2.pl | Wskazuje adres lub adresy e-mail, na które będą wysyłane raporty DMARC. Jeśli chcesz użyć więcej niż 1 adresu e-mail, powinieneś rozdzielić adresy przecinkiem, jak w przykładzie obok. |
aspf | aspf=r | Określa zasady dopasowania SPF. Dostępne opcje: s – dopasowanie ścisłe. Nazwa domeny w nagłówku From musi być zgodna. r – dopasowanie luźne. Pozwala na częściowe dopasowanie. W przypadku gdy zostanie wykonana wysyłka z subdomeny, autoryzacja będzie pomyślna. |
adkim | adkim=s | Określa zasady dopasowania DKIM. Dostępne opcje: s – dopasowanie ścisłe. W nagłówku d=domena nazwa domeny musi być zgodna. r – dopasowanie luźne. Dopuszczalne jest częściowe dopasowanie – wysyłka z subdomeny będzie autoryzowana. |
Jak skonfigurować zabezpieczenie DMARC?
Rekord TXT z zabezpieczeniem DMARC jest dodawany w strefie DNS domeny. Jeśli korzystasz z poczty w zenbox oraz Twoja domena kieruje na nasze serwery DNS (ns1.zenbox.pl, ns2.zenbox.pl) to domyślnie zabezpieczenie DMARC jest włączone. W strefie DNS domeny (zakładka Hosting -> Rekordy DNS, w Panelu Klienta) powinieneś znaleźć rekord zgodny z poniższym przykładem:
Jak więc widzisz, domyślnie dla domeny głównej oraz subdomen ustawiona jest opcja none, która oznacza brak podjęcia działań, w stosunku do wiadomości, które nie przejdą weryfikacji DMARC. Jeśli taka konfiguracja jest dla Ciebie odpowiednia, nie musisz podejmować dodatkowych działań.
Jeżeli jednak Twoja domena kieruje na zewnętrzne serwery DNS, powinieneś w strefie DNS domeny, po stronie zewnętrznego dostawcy dodać rekord TXT, zgodny z poniższym wzorem:
Nazwa | Typ | Wartość |
_dmarc.przykład1.pl | TXT | v=DMARC1; p=none; sp=none |
W zależności od dostawcy, może być niezbędne zakończenie nazwy domeny kropką i/lub dodanie wartości docelowej w cudzysłowie.
Jeśli chciałbyś zmienić domyślną konfigurację, wystarczy że usuniesz obecny rekord, a następnie dodasz docelowy. Tworzenie wartości rekordu jest bardzo proste. Tagi v oraz p są obowiązkowe. Następnie zależnie od potrzeb możesz dodać kolejne opcjonalne tagi. Wszystkie tagi powinny być oddzielone średnikiem oraz spacją.
Przykład użycia
Jeśli chcesz zastosować opcję reject dla tagu p oraz ustawić adres e-mail do wysyłki raportów (tag rua), powinieneś dodać następujący rekord:
Nazwa | Typ | Wartość |
_dmarc | TXT | v=DMARC1; p=reject; rua=mailto:poczta@przykład1.pl |
Jeśli Twoja domena kieruje na nasze serwery DNS i dodajesz rekord w zenbox, pamiętaj aby wprowadzić wartość docelową w cudzysłowie. W przypadku innych dostawców może być niezbędne wprowadzenie pełnej nazwy (_dmarc.przykładowa_domena.pl) oraz zakończenie jej kropką, a także dodanie wartości docelowej w cudzysłowie.
Pamiętaj także, że rekord DMARC powinien być w strefie DNS tylko jeden. W przeciwnym wypadku zabezpieczenie nie będzie działać prawidłowo.
Alternatywnie, w celu utworzenia wartości docelowego rekordu, możesz także skorzystać z generatora rekordu DMARC.
Podsumowanie
Zabezpieczenie DMARC jest mechanizmem, który pozwala określić politykę autoryzacji i raportowania wiadomości e-mail, wysyłanych z danej domeny. Dzięki temu możesz zwiększyć bezpieczeństwo komunikacji e-mail i chronić się przed niepożądanymi wiadomościami.