Shoptet Podpora logo
Shoptet PodporaMarketingNewsletteryCo je DMARC a jak jej nastavit
Obsah článku
  1. Základní principy DMARC
    1. Jak má příjemce se zprávou naložit
    2. Souhrnné a chybové reporty
    3. Omezení DMARC politiky
  2. Jak DMARC nastavit
    1. DNS záznamy domény mám u Shoptetu
    2. DNS záznamy domény mám u jiného poskytovatele
    3. Nevím, kde DNS záznamy domény mám
    4. Příklady nastavení DMARC záznamu
  3. Vyžadování DMARC ze strany Google a Yahoo
    1. Novinky v pravidlech a podmínkách zasílání na Gmail
    2. Novinky v pravidlech a podmínkách zasílání na Yahoo

Co je DMARC a jak jej nastavit

DMARC je způsob, kterým můžete příjemcům e-mailů dát vědět, jak mají naložit s podvrženými zprávami, které se tváří jako odeslané z vaší domény, což je oblíbená taktika např. phishingových zpráv.

DMARC (Domain-based Message Authentication, Reporting and Conformance) rozšiřuje a doplňuje mechanismy SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail), které umí takové podvržené zprávy detekovat, ale již neříkají, jak s takovou zprávou naložit.

Google a Yahoo od února 2024 vyžadují nastavený DMARC u domén, ze kterých přijde větší množství zpráv za určité období na schránky hostované na jejich platformách (u Google jde o 5000 a více zpráv během 24 hodin). Zprávy z domén, které limit překročí, a nebudou mít správně nastavený DMARC, začnou Google i Yahoo během roku 2024 postupně odmítat. Detaily k tomuto opatření, a zda se vás tato změna týká, najdete v sekci Vyžadování DMARC ze strany Googlu a Yahoo na konci článku.

Základní principy DMARC

DMARC se nastavuje v DNS záznamech, konkrétně jako záznam typu TXT pro subdoménu _dmarc, tedy například pro _dmarc.domena-eshopu.cz. Hodnota záznamu vždy musí začínat textem v=DMARC1; (středník i velikost písmen jsou důležité). Další nastavení se pak oddělují středníkem ;.

Jak má příjemce se zprávou naložit

DMARC mechanismus vám umožňuje pomocí značky p určit, co by měl příjemce udělat s podvrženou zprávou, která se tváří jako odeslaná z vaší domény (např. má nepravdivě v hlavičce zprávy vaší e-mailovou adresu From: info@domena-eshopu.cz). Tato značka určuje, jakou politiku (anglicky „policy“) by měl příjemce k podvržené zprávě zaujmout a podle toho s ní naložit:

  • p=quarantine – zpráva by měla být označena jako podezřelá, a např. přesunutá do složky Spam
  • p=reject – zpráva by měla být zcela odmítnuta
  • p=none – příjemce může zprávu zpracovat dle svého nejlepšího uvážení

Pro začátek můžete nastavit jako politiku p=none, nebo p=quarantine, a teprve později přejít na p=reject.

Souhrnné a chybové reporty

V rámci DMARC politik můžete rovněž určit, aby vám příjemci posílali souhrnné (tzv. agregované), nebo chybové (někdy nazývány též forenzní) strojově čitelné reporty v XML formátu. Chybové reporty obsahují zpravidla výpis všech zpráv, které byly vyhodnoceny jako podvržené. Souhrnné reporty obsahují i informace o zprávách, které nejsou podvržené, a tedy mohou být tyto reporty značně obsáhlé.

Zasílání reportů nemusí všichni příjemci podporovat, ale minimálně velcí e-mailoví poskytovatelé (Google, Microsoft, Seznam, Yahoo, apod.) tyto reporty zasílají, a to obvykle jednou denně. Pro prohlížení a vyhledávání v reportech doporučujeme využít některý z dostupných specializovaných nástrojů pro tento účel, jako jsou např. nástroje od dmarcian či od Report URI.

Zasílání souhrnných reportů je možné povolit pomocí značky rua, zasílání chybových reportů pak pomocí značky ruf. V obou případech je vždy u značky nutné uvést adresu, na kterou mají být reporty zasílány, a to ve tvaru rua=mailto:adresa@domena-eshopu.cz, nebo ruf=mailto:adresa@domena-eshopu.cz. V obou případech je vždy nutné uvést před adresu mailto:

V případě, že byste chtěli zasílat reporty na adresu na jiné doméně, než ke které je DNS TXT záznam s DMARC definicí vytvořený, bylo by třeba u této jiné domény zasílání povolit v jejích DNS záznamech. Pokud byste tedy například v rámci DMARC na doméně domena-eshopu.cz chtěli zasílat reporty na adresu info@jina-domena.cz, bylo by v DNS záznamech domény jina-domena.cz potřeba vytvořit TXT záznam pro subdoménu domena-eshopu.cz._report._dmarc.jina-domena.cz s hodnotou v=DMARC1;.

Omezení DMARC politiky

Pokud s DMARC u vaší domény začínáte, mohlo by se vám hodit nastavení, které poštovním serverům říká, aby vybraná DMARC politika (určená značkou p) byla aplikována pouze na určité procento podvržených zpráv. Toto je možné určit značkou pct, a uvedením podílu podvržených zpráv, na které má být politika aplikována, ve tvaru pct=12. Tedy uvedením například pct=10 určíte, že vámi vybraná politika má být aplikována pouze na 10 % podvržených zpráv.

Pokud chcete politiku aplikovat na všechny podvržené zprávy, není nutné do DMARC definice uvádět pct=100, protože když značku pct neuvedete, politika se bude vždy aplikovat na všechny zprávy.

Jak DMARC nastavit

DMARC se nastavuje v DNS záznamech domény, ze které jsou e-maily odesílány. A to konkrétně jako záznam typu TXT, a vždy pro subdoménu _dmarc. Tedy například pro doménu domena-eshopu.cz by šlo o TXT záznam pro subdoménu _dmarc.domena-eshopu.cz.

Hodnota záznamu vždy musí začínat textem v=DMARC1; (vč. středníku a velikosti písmen). Další nastavení v hodnotě záznamu se pak oddělují středníkem. Konkrétní způsob nastavení TXT záznamu záleží na tom, kde DNS záznamy vaší domény spravujete.

Kontrolu nastavení DMARC u vaší domény můžete provést i pomocí online nástrojů jako je DMARC Inspector nebo DMARC Check. Samotný DNS TXT záznam pro DMARC si můžete sestavit i pomocí nástroje DMARC Record Wizard.

DNS záznamy domény mám u Shoptetu

Pokud máte u vaší domény jmenné servery nasměrované na Shoptet, a spravujete tím pádem DNS záznamy z administrace obchodu, můžete nový TXT záznam pro DMARC nastavit přímo v administraci obchodu. V sekci Nastavení → Hosting → DNS přejděte na záložku TXT záznamy a klikněte na tlačítko Přidat. Do pole Doména vložte _dmarc a do pole Text vložte hodnotu samotného DMARC záznamu, tedy minimálně v=DMARC1; 

Obrázek 01 - Příklad nastavení TXT záznamu pro DMARC v administraci obchodu
Obrázek 01 - Příklad nastavení TXT záznamu pro DMARC v administraci obchodu

DNS záznamy domény mám u jiného poskytovatele

Pokud máte u vaší domény jmenné servery nasměrované na jiného poskytovatele, bude nutné DNS TXT záznam pro DMARC nastavit v administraci tohoto poskytovatele. V případě nejasností s nastavením doporučujeme nahlédnout do nápovědy poskytovatele, případně konzultovat přímo s jejich podporou. 

Nevím, kde DNS záznamy domény mám

Pokud nevíte, nebo si nejste jistí, kde máte DNS záznamy vaší domény spravovat, můžete to zjistit snadno například v administraci obchodu, v sekci Nastavení → Hosting → DNS. Pokud v této sekci uvidíte upozornění „Používáte externí nameservery. Jakákoliv změna DNS musí být provedena na stránce doménového registrátora.“, znamená to, že máte jmenné servery domény (tzv. nameservery) nasměrované mimo Shoptet. Kam přesně, můžete zjistit na dané stránce u položky Nameservery. 

Pokud uvedené upozornění v administraci nevidíte, znamená to, že máte jmenné servery nasměrované na Shoptet, a můžete postupovat podle části DNS záznamy domény mám u Shoptetu.

Příklady nastavení DMARC záznamu

Pro snadnější pochopení a nastavení DMARC pro vaší doménu uvádíme několik příkladů, a to pro hypotetickou subdoménu _dmarc.domena-eshopu.cz:

  • v=DMARC1; p=none – příjemce e-mailů bude podvržené zprávy zpracovávat dle vlastního interního nastavení
  • v=DMARC1; p=none; rua=mailto:adresa@domena-eshopu.cz; ruf=mailto:adresa@domena-eshopu.cz – příjemce bude podrvžené zprávy zpracovávat dle vlastního nastavení a bude posílat souhrnné i chybové reporty na adresu adresa@domena-eshopu.cz
  • v=DMARC1; p=quarantine – příjemce každou podvrženou zprávu označí jako podezřelou, a uloží jí do složky Spam (nebo do jiné podobné složky, v závislosti na svých nastaveních)
  • v=DMARC1; p=quarantine; rua=mailto:adresa@domena-eshopu.cz; ruf=mailto:adresa@domena-eshopu.cz – příjemce všechny podvržené zprávy označí jako podezřelé, uloží do složky Spam, a bude posílat souhrnné i chybové reporty na uvedené adresy
  • v=DMARC1; p=reject; pct=25; rua=mailto:adresa@domena-eshopu.cz; ruf=mailto:adresa@domena-eshopu.cz – příjemce čtvrtinu podezřelých zpráv odmítne, na zbytek aplikuje politiku “quarantine” a např. je uloží do složky Spam. Bude také posílat souhrnné i chybové reporty o všech zprávách na uvedené adresy

Vyžadování DMARC ze strany Google a Yahoo

Google a Yahoo od února 2024 začali vyžadovat nastavený DMARC mechanismus u všech domén, ze kterých jsou ve větším množství odesílány zprávy do e-mailových schránek na Gmailu či na Yahoo. Konkrétní pravidla a podmínky obou poskytovatelů se částečně liší, v obou případech ale bude docházet k vynucování pravidel postupně. Zezačátku budou k případným nedostatkům v nastavení obě společnosti tolerantnější, postupem času pak budou pravidla vynucovat se vzrůstající přísností.

Novinky v pravidlech a podmínkách zasílání na Gmail

Aktuální a oficiální shrnutí nejčastějších otázek ke změnám pro odesílatele e-mailů najdete v nápovědě Google. Zde vám přinášíme souhrn toho nejdůležitějšího:

  • změny od února 2024 se týkají pouze hromadných odesílatelů, tzv. bulk-senders, ty Google definuje takto:
    • během 24 hodin došlo ze schránek na jedné doméně k odeslání 5000 a více zpráv na adresy na Gmailu
    • limit je aplikován na základní doménu, tzn. pokud například odesílate e-maily jak z domény, tak i z její subdomény, jsou zprávy z obou domén zahrnuty do jednoho limitu
    • do limitu jsou započítávány pouze zprávy na osobní Gmail účty (tedy zpravidla adresy na @gmail.com či @googlemail.com). Zprávy na adresy na vlastních doménách v rámci Google Workspace se do limitu nezapočítávají
    • označení bulk sender nemá nijak omezenou platnost, tedy pokud vaší doménu Google jednou vyhodnotí jako hromadného odesílatele, zůstává vaší doméně tento status napořád (samozřejmě pokud se Google nerozhodne toto pravidlo změnit)
  • pro splnění podmínek je nutné mít u domény, ze které zprávy odesíláte, správně nastavené SPF, DKIM i DMARC mechanismy. Toto nejsou jediné požadavky, detailní přehled naleznete v nápovědě Google
  • u DMARC je minimální postačující nastavení hodnota v=DMARC1; p=none
  • při nesplnění podmínek bude Google postupovat následovně:
    • od února 2024 bude odesílatelům vracet k malému procentu zpráv chybová hlášení o nesplnění podmínek
    • od dubna 2024 začne odesílatelům odmítat část zpráv, které nesplní podmínky, podíl odmítnutých zpráv bude postupně navyšován
  • od 1. června 2024 začne Google u všech komerčních a reklamních zpráv od hromadných odesílatelů vyžadovat funkci odhlášení na jedno kliknutí („one-click-unsubscribe“) - více o této funkci najdete v nápovědě Google

Novinky v pravidlech a podmínkách zasílání na Yahoo

Aktuální a oficiální shrnutí nejčastějších otázek ke změnám pro odesílatele e-mailů najdete v FAQ článku Yahoo. Oproti informacím od Google jsou informace od Yahoo mnohem stručnější a méně konkrétní. Podobně jako u Google, se i u Yahoo nová pravidla týkají pouze hromadných odesílatelů (bulk senders), kdy je za odesílatele považována jakákoliv schránka z jedné základní domény.

Yahoo ovšem nijak nespecifikuje hranici limitu, kdy začne doménu považovat za hromadného odesílatele, ani časové období, ze kterého je limit vypočítáván, a ani neříká, zda má status bulk sender nějaké datum expirace, a nebo zda je stejně jako u Google „navždy“.

Stejně jako Google, i Yahoo od února 2024 vyžaduje u zpráv z domén, které vyhodnotí jako hromadné odesílatele, aby měly kromě SPF a DKIM ochran, nastavenou i nějakou DMARC politiku. Vynucování těchto nových pravidel bude i u Yahoo postupné, ovšem bez dalšího bližšího určení. 

Další články z kategorie