Co vlastně DMARC záznam je?
Pro většinu z nás je to nic neříkající zkratka. Jsme zvyklí na různá počítačová názvosloví a většina z nás zapomene na jejich význam hned po přečtení článku. Přesto pro úplnost zmíním, že DMARC znamená „Domain-based Message Authentication, Reporting, and Conformance“. Ne, nemusíte si to pamatovat.
Je to e-mailový bezpečnostní protokol, který napomáhá ochraně domény před zneužitím v případě phishingu a podobných e-mailových podvodů. Je to vlastně další stupeň ochrany, která doplňuje DKIM a SPF záznam. Pomocí tohoto záznamu říkáte příjemci, jak má s poštou naložit, pokud se ji nepovede ověřit přes zmiňované DKIM a SPF podpisy. Pomocí něj také dokážete získat informaci o tom, že email z vaší domény nebyl příjemci doručen, protože neprošel „bezpečnostní kontrolou“.
Cílem tohoto záznamu je tedy hlavně omezení podvodné pošty, která by se mohla šířit pod jménem vaší domény. Samozřejmě je pro správné fungování nutné i nastavení DKIM a SPF záznamu.
Co když ho mít nebudu?
Bohužel stále roste množství podvodných e-mailů a také jejich vynalézavost. To nutí poštovní klienty ke stále přísnějším pravidlům, kterým podléhá doručování e-mailů. A právě další zpřísnění naplánoval Google (GMAIL) a Yahoo.com. A je jasné, že ostatní je budou velmi rychle následovat. Bez tohoto záznamu tedy od února nebude možné ověřit důvěryhodnost vašich e-mailových zpráv. Pokud nemáte DMARC záznam nastavený, tak se vám od začátku února může častěji stávat, že se vaše zpráva zařadí do spam složky, nebo nebude klientovi doručena vůbec. A to nejen newsletter, ale také e-commerce emaily či ostatní zprávy. Opačně po nasazení záznamu mělo dojít k lepší doručitelnosti newsletterů, proto je doporučené si tento záznam správně nastavit.
Jak nastavím DMARC záznam?
Nejprve připomenu, že pro správné fungování je potřeba mít již aktivní DKIM a SPF záznamy. V případě, že tyto záznamy nastavené nemáte, je potřeba je nastavit. Doporučuji nasazovat postupně. Vyvarujete se tím problémům při hledání chyb. S nastavením by vám měl pomoci například váš registrátor domény nebo správce webových stránek. Na rozdíl od DMARC nedoporučuji nastavovat je bez základních znalostí jejich fungování.
Oproti tomu nastavení DMARC záznamu je jednoduché. Nastavíte ho jako nový TXT záznam u vaší domény. Přihlaste se do svého učtu u registrátora domény (ten od koho vám chodí faktura za doménu), najděte sekci editaci DNS záznamů a přidejte nový TXT záznam podle návodu níže.
Samotný záznam se skládá ze tří základních částí:
Název (nebo hostname) – v základu bude vždy stejný. Lišit se bude pouze v případě, že budete chtít záznam přidat pro konkrétní subdoménu. Pokud subdoména nemá vlastní záznam, použije se záznam hlavní domény.
TTL (time to live) – nejčastěji je minimum 1800. Pokud bude váš registrátor požadovat větší číslo, nastavte číslo větší, například 3600.
Hodnota (value) – samotná podoba DMARC záznamu. Je to vlastně souhrn jednotlivých parametrů oddělených středníkem.
Pokud jste lajk a nechcete tím trávit moc času, nebo tomu prostě nerozumíte, použijte tu nejjednodušší možnost a máte hotovo.
Nejjednodušší verze záznamu
| Název (hostname) | ttl | hodnota |
| _dmarc | 1800 | v=DMARC1; p=none; pct=100 |
Pokud chcete dmarc používat více a využívat celý jeho potenciál, můžete samozřejmě přidat do hodnoty záznamu další parametry. Přičemž povinné jsou dva. Parametry „v“ a „p“. Více v této tabulce:
| parametr | Co parametr znamená |
|---|---|
| v | verze, vždy uvádět jako první parametr s hodnotou DMARC1 |
| p | politika, druhý povinný parametr. Můžete si vybrat jednu ze tří možností: none, quarantine, reject. Určuje,co se má dít se zprávou, pokud neprojde ověřením. |
| sp | Totéž jako „p“, ale pro jednotlivé subdomény |
| adkim | režim porovnávání domény pro DKIM hodnoty jsou r (volný režim) nebo s (přísný režim) |
| aspf | režim porovnávání domény pro SPF hodnoty jsou r (volný režim) nebo s (přísný režim) |
| pct | procento pošty, pro které má být uplatněno DMARC ověření |
| rua | adresy, kam posílat agregovaná hlášení o zpracování DMARC |
| ri | interval mezi agregovanými hlášeními |
| rf | formát hlášení |
| ruf | adresy, kam posílat hlášení o selhání DMARC pro jednotlivé dopisy |
| fo | volby hlášení o selháních |
Pokročilejší příklad: v=DMARC1; p=quarantine; sp=none; pct=100; adkim=r; aspf=r; fo=1; rua=mailto:email@example.cz; ruf=mailto:email@example.cz; rf=afrf; ri=86400)
Více informací k jednotlivým parametrům, včetně nastavitelných hodnot naleznete například na webu root.cz
DMARC záznam můžete otestovat například na stránce https://mxtoolbox.com/dmarc.aspx a DKIM a SPF záznamy pak například zde: https://www.mail-tester.com/spf-dkim-check
Důležité: Pro každou doménu je možné mít pouze jeden DMARC záznam, pokud jich použijete více, bude to mít stejný vliv, jako když nemáte žádný. Zároveň mějte na paměti, že trvá až 24 hodin, než se změny v DNS záznamech projeví. Po jejich nastavení je tedy potřeba počkat, než se propíší, než bude možné je testovat.
