PodporaZnalostní báze

DMARC záznam domény

Co je DMARC a jak ho správně do DNS domény nasadit.

DMARC (Domain-based Message Authentication, Reporting & Conformance) je technologie, která staví na SPF a DKIM a poskytuje nadstavbu, která umožňuje tyto dvě technologie provázat za účelem ochrany domén a značek proti jejich zneužití třetími stranami.

Pro připomenutí:

SPF (Sender Policy Framework) je základní bezpečnostní technika, pomocí které se ověřuje, že je e-mail zaslaný z legitimní IP adresy.

DKIM (DomainKey Identified Mail) je metoda, která chrání obsah e-mailu vytvořením digitálního podpisu.

Nejde však jen o technologii pro ochranu, ale především o monitoring, který vám, pokud budete DMARC používat, umožní nahlédnout i do informací o tom, jak a kým je vaše doména zneužívána.

Technologie DMARC je v zásadě určena pro každého, ale určité společnosti by měly na její implementaci klást větší důraz – zejména banky, dodavatelé služeb a energií, instituce státu a samosprávy a také společnosti, které investovaly do své značky a chtějí si ji chránit. Příjemci tak u zpráv autorizovaných technologií DMARC, u nichž je zcela jasný původ, mohou důvěřovat, že odesílatelem je opravdu ten, za koho se zpráva vydává. Právě důvěryhodnost, na níž je kladen důraz, je zásadním důvodem k nasazení u subjektů, které se mohou potýkat se záměnou.

Jak DMARC nasadit

Abyste mohli využít všechny možnosti, jaké vám Mailkit pro práci s DMARCem nabízí, je potřeba do DNS vaší domény nasadit záznam v tomto tvaru:  _dmarc IN CNAME vase-domena-cz.dmarc.mailkit.com.

Pozor, záznam je obvykle potřeba nasadit včetně tečky na konci. Správné nasazení záznamu si můžete ověřit pomocí nástroje DMARC Inspector na serveru Dmarcian.com. Po správném nasazení a zpropagování bude záznam vypadat takto:

v=DMARC1; p=none; rua=mailto:dmarc-rua@mailkit.com;

Pojďme se podívat, z čeho se záznam skládá:

Tag Hodnota Popis
v DMARC1 Verze DMARC záznamu. Vždy by měla mít hodnotu DMARC1. Chybná nebo chybějící verze záznamu může způsobit ignorování celého záznamu.
p none Pravidla aplikovaná na e-maily, u kterých kontrola DMARC selže.

none – používá se ke shromažďování zpětné vazby a monitorování toků na doméně bez jakéhokoli jejich ovlivnění

quarantine – umožňuje providerům považovat e-maily, u nichž kontrola DMARC selže, za podezřelé. Tyto e-maily pak většinou skončí ve složce SPAM.

reject – přímo odmítne všechny e-maily, u kterých kontrola DMARC selže, tzn. e-maily pak nejsou příjemcům vůbec doručeny
rua mailto:dmarc-rua@mailkit.com RUA adresa je určena pro zasílání agregovaných dat z domén, které přijaly vaše zprávy, a které se prezentovaly, že byly odeslány z vaší domény.

Právě díky RUA adrese poté můžete v reportech doručitelnosti vidět detailní data o e-mailových tocích na vaší doméně, která pak můžete analyzovat. Cílem analýzy by mělo být prošetření každého neověřeného e-mailu a případná úprava SPF záznamu či nasazení DKIM záznamů na serverech tak, aby bylo dosaženo 100% autentifikace.

DMARC ale není jen sofistikovanou a pokročilou technologii pro autentifikaci e-mailů a ochranu domén. Pro marketéry je mnohem atraktivnějším tématem implementace BIMI. Nevíte, co je BIMI? Přečtěte si našeho Průvodce na blogu. Už teď se můžete připravit na BIMI v Gmailu. Co pro to musíte udělat, se dozvíte v dalším článku u nás na blogu.

Pokud byste měli jakékoliv dotazy k nasazení správného DMARC záznamu, k zobrazení reportů doručitelnosti či přípravě BIMI, neváhejte kontaktovat naši zákaznickou podporu.