Czym jest DMARC?

Począwszy od lutego 2024 r., Gmail i Yahoo wprowadzają nowe wymagania dotyczące uwierzytelniania, które wymagają użycia własnej domeny uwierzytelnionej DKIM ze wzmocnionym DMARC.

GetResponse zdecydowanie zaleca wszystkim nadawcom używanie jako pola nadawcy adresów e-mail z własnych domen wysyłających oraz skonfigurowanie zarówno DKIM, jak i DMARC.

Aby uzyskać dodatkowe informacje na temat tych modyfikacji, zapoznaj się z naszym wpisem na blogu:
Zmiany w uwierzytelnianiu Gmaila i Yahoo: Wszystko, co musisz wiedzieć

DMARC to skrót od “Domain-based Message Authentication, Reporting & Conformance“. Jest to protokół uwierzytelniania, zasad i raportowania poczty e-mail. Opiera się na popularnych protokołach SPF oraz DKIM. Poprawia i monitoruje ochronę domeny przed nieautoryzowanym użyciem, dodając powiązanie z nazwą domeny nadawcy („Od:”), z opublikowanymi politykami odbiorców dotyczącymi niepowodzenia uwierzytelnienia i raportuje nadawcom ze strony odbiorców.

Pozwala również właścicielom domeny na otrzymywanie powiadomień o wiadomościach, które nie są poprawnie uwierzytelnione, a wyglądają na wysłane z ich domeny.

Konfiguracja rekordu DMARC

Zanim zaczniesz konfigurować DMARC:

  • Skonfiguruj DKIM
  • Sprawdź, czy rekord DMARC już istnieje, poprzez zalogowanie się do panelu hostującego domenę

W rekordzie TXT DMARC, jest określona polityka DMARC. Konfiguracja polityki DMARC ustawia poziom rygorystyczności sprawdzania wiadomości oraz zalecane działania dla serwera odbierającego wiadomość, jeśli uwierzytelnienie się nie powiedzie.

Żeby skonfigurować podstawowe funkcje DMARC, musisz dodać odpowiedni rekord w ustawieniach serwera DNS Twojej domeny. Przygotuj rekord TXT określający podstawowy tekst dla rekordu DMARC, a następnie dodaj lub uaktualnij ten plik w ustawieniach DNS Twojej domeny, z której wysyłasz wiadomości.

Polityka DMARC może być skonfigurowana jednym rekordem. Oto przykład najprostszego rekordu, jakiego można użyć:

v=DMARC1; p=none;

Nazwa rekordu DMARC (host) powinna brzmieć _dmarc.twojadomena.com, gdzie twojadomena.com należy zastąpić rzeczywistym adresem URL domeny.

Innym przykładem może być:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Uwaga: adresy e-mail należy zmienić na faktycznie działające adresy e-mail, do których masz dostęp. Tagi użyte w tym przykładzie mogą nie być odpowiednie dla wszystkich. Przeczytaj ich opis poniżej.

Rekord DMARC zawiera wymagane i opcjonalne tagi, które definiują zasady uwierzytelniania emaili. Fundamentalny przykład rekordu DMARC musi zawierać następujące obowiązkowe tagi:

  • v tag – informuje o wersjach DMARC, jest zawsze ustawiony jako DMARC1
  • p tag – zawiera informacje na temat tego, co serwery muszą zrobić z wiadomościami, które nie przejdą uwierzytelnienia. Do wyboru są trzy wytyczne:
    • p=none – monitoruje wiadomości wysłane w Twojej domenie bez zmieniania serwerów odbiorców
    • p=quarantine – przekierowuje nieudane wiadomości do folderów junk lub spam nadal śledząc wysłane wiadomości.
    • p=reject – odrzuca nieudane wiadomości, powodując zwrot i nie docierają one do żadnego folderu odbiorcy.

Jeśli dopiero zaczynasz z DMARC, to najlepiej skonfigurować wytyczne używając p tag z wartością ustawioną na none.

Z biegiem czasu, po analizie przychodzących raportów, aby dowiedzieć się, jak Twoja domena jest uwierzytelniana przez serwery odbierające, możesz zmienić ustawienie tego tagu na quarantine lub reject.

Opcjonalne tagi dające możliwość dalszej personalizacji:

  • pct – opisuje procent nieuwierzytelnionych email, które powinny podlegać rejestracji DMARC. Zakres jest wyrażany od 0 do 100, gdzie 0 oznacza 0% wiadomości, a 100 oznacza 100%. Parametr pct jest opcjonalny, ale jeśli nie ustawisz go w rekordzie, to domyślną wartością będzie 100 i będzie on uwzględniać wszystkie wiadomości, które nie są uwierzytelnione.
  • rua=mailto:address@domain.com – określa adres email dla raportów od uczestniczących dostawców skrzynek pocztowych, co pomaga w identyfikacji problemów z domeną.
  • adkim – określa ustawienie identyfikatora DKIM
    • adkim=s – ustawienie będzie rygorystyczne, co oznacza, że nazwa domeny musi być dokładnie taka sama, jak nazwa domeny wpisana w nagłówkach wiadomości DKIM
    • adkim=r – ustawienie będzie przybliżone, gdzie wszystkie prawidłowe subdomeny użyte w nagłówku zostaną zaakceptowane
  • aspf – działa podobnie do adkim, jednak ma związek z wartościami SPF.
    • aspf=s – adres email nadawcy musi dokładnie pasować do nazwy domeny
    • aspf=r – każda prawidłowa subdomena może być użyta w nagłówku wiadomości

Każda domena, której używasz do wysyłania, wymaga ustawienia oddzielnego wpisu i podjęcia wszystkich powyżej opisanych działań. W przypadku subdomen, polityka DMARC kaskaduje. Jeżeli ustawisz je dla domen, a nie dla subdomen, to przejmą one automatycznie ustawienia domeny nadrzędnej. Możesz ustawić oddzielne zasady dla każdej subdomeny, używając parametru sp.

Więcej informacji na temat uwierzytelniania adresów email (nie tylko dla początkujących) można znaleźć na naszym blogu, a wyczerpujące informacje na temat funkcjonalności DMARC, można znaleźć na dmarc.org.