DMARC je způsob, kterým můžete příjemcům e-mailů dát vědět, jak mají naložit s podvrženými zprávami, které se tváří jako odeslané z vaší domény, což je oblíbená taktika např. phishingových zpráv.
DMARC (Domain-based Message Authentication, Reporting and Conformance) rozšiřuje a doplňuje mechanismy SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail), které umí takové podvržené zprávy detekovat, ale již neříkají, jak s takovou zprávou naložit.
Google a Yahoo od února 2024 vyžadují nastavený DMARC u domén, ze kterých přijde větší množství zpráv za určité období na schránky hostované na jejich platformách (u Google jde o 5000 a více zpráv během 24 hodin). Zprávy z domén, které limit překročí, a nebudou mít správně nastavený DMARC, začnou Google i Yahoo během roku 2024 postupně odmítat. Detaily k tomuto opatření, a zda se vás tato změna týká, najdete v sekci Vyžadování DMARC ze strany Googlu a Yahoo na konci článku.
DMARC se nastavuje v DNS záznamech, konkrétně jako záznam typu TXT pro subdoménu _dmarc
, tedy například pro _dmarc.domena-eshopu.cz
. Hodnota záznamu vždy musí začínat textem v=DMARC1;
(středník i velikost písmen jsou důležité). Další nastavení se pak oddělují středníkem ;
.
DMARC mechanismus vám umožňuje pomocí značky p
určit, co by měl příjemce udělat s podvrženou zprávou, která se tváří jako odeslaná z vaší domény (např. má nepravdivě v hlavičce zprávy vaší e-mailovou adresu From: info@domena-eshopu.cz
). Tato značka určuje, jakou politiku (anglicky „policy“) by měl příjemce k podvržené zprávě zaujmout a podle toho s ní naložit:
p=quarantine
– zpráva by měla být označena jako podezřelá, a např. přesunutá do složky Spamp=reject
– zpráva by měla být zcela odmítnutap=none
– příjemce může zprávu zpracovat dle svého nejlepšího uváženíPro začátek můžete nastavit jako politiku p=none
, nebo p=quarantine
, a teprve později přejít na p=reject
.
V rámci DMARC politik můžete rovněž určit, aby vám příjemci posílali souhrnné (tzv. agregované), nebo chybové (někdy nazývány též forenzní) strojově čitelné reporty v XML formátu. Chybové reporty obsahují zpravidla výpis všech zpráv, které byly vyhodnoceny jako podvržené. Souhrnné reporty obsahují i informace o zprávách, které nejsou podvržené, a tedy mohou být tyto reporty značně obsáhlé.
Zasílání reportů nemusí všichni příjemci podporovat, ale minimálně velcí e-mailoví poskytovatelé (Google, Microsoft, Seznam, Yahoo, apod.) tyto reporty zasílají, a to obvykle jednou denně. Pro prohlížení a vyhledávání v reportech doporučujeme využít některý z dostupných specializovaných nástrojů pro tento účel, jako jsou např. nástroje od dmarcian či od Report URI.
Zasílání souhrnných reportů je možné povolit pomocí značky rua
, zasílání chybových reportů pak pomocí značky ruf
. V obou případech je vždy u značky nutné uvést adresu, na kterou mají být reporty zasílány, a to ve tvaru rua=mailto:adresa@domena-eshopu.cz
, nebo ruf=mailto:adresa@domena-eshopu.cz
. V obou případech je vždy nutné uvést před adresu mailto:
.
V případě, že byste chtěli zasílat reporty na adresu na jiné doméně, než ke které je DNS TXT záznam s DMARC definicí vytvořený, bylo by třeba u této jiné domény zasílání povolit v jejích DNS záznamech. Pokud byste tedy například v rámci DMARC na doméně domena-eshopu.cz
chtěli zasílat reporty na adresu info@jina-domena.cz
, bylo by v DNS záznamech domény jina-domena.cz
potřeba vytvořit TXT záznam pro subdoménu domena-eshopu.cz._report._dmarc.jina-domena.cz
s hodnotou v=DMARC1;
.
Pokud s DMARC u vaší domény začínáte, mohlo by se vám hodit nastavení, které poštovním serverům říká, aby vybraná DMARC politika (určená značkou p
) byla aplikována pouze na určité procento podvržených zpráv. Toto je možné určit značkou pct
, a uvedením podílu podvržených zpráv, na které má být politika aplikována, ve tvaru pct=12
. Tedy uvedením například pct=10
určíte, že vámi vybraná politika má být aplikována pouze na 10 % podvržených zpráv.
Pokud chcete politiku aplikovat na všechny podvržené zprávy, není nutné do DMARC definice uvádět pct=100
, protože když značku pct
neuvedete, politika se bude vždy aplikovat na všechny zprávy.
DMARC se nastavuje v DNS záznamech domény, ze které jsou e-maily odesílány. A to konkrétně jako záznam typu TXT, a vždy pro subdoménu _dmarc
. Tedy například pro doménu domena-eshopu.cz
by šlo o TXT záznam pro subdoménu _dmarc.domena-eshopu.cz
.
Hodnota záznamu vždy musí začínat textem v=DMARC1;
(vč. středníku a velikosti písmen). Další nastavení v hodnotě záznamu se pak oddělují středníkem. Konkrétní způsob nastavení TXT záznamu záleží na tom, kde DNS záznamy vaší domény spravujete.
Kontrolu nastavení DMARC u vaší domény můžete provést i pomocí online nástrojů jako je DMARC Inspector nebo DMARC Check. Samotný DNS TXT záznam pro DMARC si můžete sestavit i pomocí nástroje DMARC Record Wizard.
Pokud máte u vaší domény jmenné servery nasměrované na Shoptet, a spravujete tím pádem DNS záznamy z administrace obchodu, můžete nový TXT záznam pro DMARC nastavit přímo v administraci obchodu. V sekci Nastavení → Hosting → DNS přejděte na záložku TXT záznamy a klikněte na tlačítko Přidat. Do pole Doména vložte _dmarc
a do pole Text vložte hodnotu samotného DMARC záznamu, tedy minimálně v=DMARC1;
Pokud máte u vaší domény jmenné servery nasměrované na jiného poskytovatele, bude nutné DNS TXT záznam pro DMARC nastavit v administraci tohoto poskytovatele. V případě nejasností s nastavením doporučujeme nahlédnout do nápovědy poskytovatele, případně konzultovat přímo s jejich podporou.
Pokud nevíte, nebo si nejste jistí, kde máte DNS záznamy vaší domény spravovat, můžete to zjistit snadno například v administraci obchodu, v sekci Nastavení → Hosting → DNS. Pokud v této sekci uvidíte upozornění „Používáte externí nameservery. Jakákoliv změna DNS musí být provedena na stránce doménového registrátora.“, znamená to, že máte jmenné servery domény (tzv. nameservery) nasměrované mimo Shoptet. Kam přesně, můžete zjistit na dané stránce u položky Nameservery.
Pokud uvedené upozornění v administraci nevidíte, znamená to, že máte jmenné servery nasměrované na Shoptet, a můžete postupovat podle části DNS záznamy domény mám u Shoptetu.
Pro snadnější pochopení a nastavení DMARC pro vaší doménu uvádíme několik příkladů, a to pro hypotetickou subdoménu _dmarc.domena-eshopu.cz
:
v=DMARC1; p=none
– příjemce e-mailů bude podvržené zprávy zpracovávat dle vlastního interního nastavenív=DMARC1; p=none; rua=mailto:adresa@domena-eshopu.cz; ruf=mailto:adresa@domena-eshopu.cz
– příjemce bude podrvžené zprávy zpracovávat dle vlastního nastavení a bude posílat souhrnné i chybové reporty na adresu adresa@domena-eshopu.czv=DMARC1; p=quarantine
– příjemce každou podvrženou zprávu označí jako podezřelou, a uloží jí do složky Spam (nebo do jiné podobné složky, v závislosti na svých nastaveních)v=DMARC1; p=quarantine; rua=mailto:adresa@domena-eshopu.cz; ruf=mailto:adresa@domena-eshopu.cz
– příjemce všechny podvržené zprávy označí jako podezřelé, uloží do složky Spam, a bude posílat souhrnné i chybové reporty na uvedené adresyv=DMARC1; p=reject; pct=25; rua=mailto:adresa@domena-eshopu.cz; ruf=mailto:adresa@domena-eshopu.cz
– příjemce čtvrtinu podezřelých zpráv odmítne, na zbytek aplikuje politiku “quarantine” a např. je uloží do složky Spam. Bude také posílat souhrnné i chybové reporty o všech zprávách na uvedené adresyPokud s DMARC nastavením u vaší domény začínáte, a nejste si jistí jaká konkrétní nastavení v DMARC záznamu uvést, doporučujeme pro začátek použít následující základní nastavení:
v=DMARC1; p=none; adkim=s; aspf=s; rua=mailto:adresa@domena-eshopu.cz; ruf=mailto:adresa@domena-eshopu.cz
– Parametry adkim=s
a aspf=s;
určují, že e-maily musí přesně odpovídat doméně uvedené v DKIM a SPF záznamech, jinak bude zpráva označena s chybou. Zprávy s chybou se ovšem díky p=none
nebudou blokovat, ale pouze nahlašovat. Hlášení o problémech budou zasílána na adresy uvedené v rua
a ruf
.Při odesílání zpráv přes mailové servery Shoptetu nesmí být politika DMARC (p=
) nastavena na hodnotu reject
, jinak může docházet k problémům s doručováním zpráv.
Google a Yahoo od února 2024 začali vyžadovat nastavený DMARC mechanismus u všech domén, ze kterých jsou ve větším množství odesílány zprávy do e-mailových schránek na Gmailu či na Yahoo. Konkrétní pravidla a podmínky obou poskytovatelů se částečně liší, v obou případech ale bude docházet k vynucování pravidel postupně. Zezačátku budou k případným nedostatkům v nastavení obě společnosti tolerantnější, postupem času pak budou pravidla vynucovat se vzrůstající přísností.
Aktuální a oficiální shrnutí nejčastějších otázek ke změnám pro odesílatele e-mailů najdete v nápovědě Google. Zde vám přinášíme souhrn toho nejdůležitějšího:
@gmail.com
či @googlemail.com
). Zprávy na adresy na vlastních doménách v rámci Google Workspace se do limitu nezapočítávajív=DMARC1; p=none
Aktuální a oficiální shrnutí nejčastějších otázek ke změnám pro odesílatele e-mailů najdete v FAQ článku Yahoo. Oproti informacím od Google jsou informace od Yahoo mnohem stručnější a méně konkrétní. Podobně jako u Google, se i u Yahoo nová pravidla týkají pouze hromadných odesílatelů (bulk senders), kdy je za odesílatele považována jakákoliv schránka z jedné základní domény.
Yahoo ovšem nijak nespecifikuje hranici limitu, kdy začne doménu považovat za hromadného odesílatele, ani časové období, ze kterého je limit vypočítáván, a ani neříká, zda má status bulk sender nějaké datum expirace, a nebo zda je stejně jako u Google „navždy“.
Stejně jako Google, i Yahoo od února 2024 vyžaduje u zpráv z domén, které vyhodnotí jako hromadné odesílatele, aby měly kromě SPF a DKIM ochran, nastavenou i nějakou DMARC politiku. Vynucování těchto nových pravidel bude i u Yahoo postupné, ovšem bez dalšího bližšího určení.