DMARC [Domain-based Message Authentication, Reporting, and Conformance] – czym jest i jak stosować

DMARC – co to jest?

Na samym początku zacznijmy od wyrażenia jakim jest DMARC. Skrót ten pochodzi od Domain-based Message Authentication, Reporting, and Conformance, co oznacza raportowanie oraz sprawdzanie uwierzytelniania i zgodności wiadomości na poziomie domeny internetowej. Nazwa jest taka długa nie bez powodu, ponieważ protokół DMARC oprócz ochrony poczty podobnie jak SPF, czy też DKIKM pełnie jeszcze inne ważne role. Można wręcz powiedzieć, że Domain-based Message Authentication, Reporting, and Conformance stanowi dopełnienie zabezpieczeń SPF oraz DKIM. DMARC pozwala bowiem na kompleksowe wdrożenie polityki bezpieczeństwa poczty elektronicznej email mającej na celu ochronę zarówno serwera poczty wychodzącej SMTP jak i odbiorców otrzymujących Twoje wiadomości. Działanie zabezpieczenia DMARC, które zostanie opisane w dalszej części tego poradnika możliwe jest właśnie tylko wtedy kiedy serwer poczty wychodzącej oraz domena są poprawnie skonfigurowane do obsługi SPF i/lub DKIM. W innym wypadku DMARC będzie zbędnym dodatkiem.

Protokół DMARC jest otwartym standardem, który został stworzony przez organizację dmarc.org.  Został on opublikowany w organizacji IETF [Internet Engineering Task Force] w marcu 2015 roku i od tamtego czasu stał się jednym z fundamentalnych elementów ochrony poczty email. Niestety, pomimo upływu wielu lat DMARC do dziś nie jest wciąż wspierany u wszystkich usługodawców pomimo tego, że koszt jego wdrożenia jest niewielki w stosunku do korzyści, które oferuje.

Sprawdźmy więc jakie zalety daje Ci korzystanie z DMARC:
✅ DMARC pozwala wdrożyć kompletną politykę bezpieczeństwa poczty email
✅ DMARC obsługuje raportowanie wszystkich wiadomości otrzymanych z Twojej domeny
✅ DMARC wzmacnia uwierzytelnianie domeny, z której wysyłane są wiadomości email
✅ DMARC pomaga chronić pocztę elektroniczną oraz odbiorców m.in. przed phisingiem
✅ DMARC pomaga zmniejszyć ilość odrzuconych wiadomości
✅ DMARC pozwala kontrolować sposób obsługi naszej poczty email

To tyle jeżeli chodzi o to czym jest DMARC i jakie są korzyści z jego stosowania. Teraz przejdźmy do opisu jak w praktyce działa uwierzytelnianie DMARC.

Jak działa DMARC?

Jak już wspomnieliśmy DMARC działa skutecznie tylko i wyłącznie wtedy kiedy Twój serwer pocztowy SMTP obsługuje zabezpieczenie SPF lub DKIM. Jego działanie można przyrównać do ochroniarza, który sprawdza, czy wiadomość email ma ważne uprawnienia pozwalające jej dostać się na serwer odbiorcy. Przepustką może być właśnie wspomniany SPF lub DKIM. Jeżeli wiadomość email posiada jedno z zezwoleń [najlepiej kiedy posiada oba] to zostanie ona dostarczona do odbiorcy. Jeżeli jednak wiadomość email nie posiada przepustki to ochroniarz nie pozwoli jej dostać się do serwera SMTP. Mało tego, powiadomi on centralę [w tym przypadku Twoją domenę i przypisaną do DMARC skrzynkę pocztową] o próbie włamania lub też podszycia się pod Twoją organizację.

O zabezpieczeniu SPF przeczytasz w naszym poradniku SPF [Sender Policy Framework] natomiast DKIM opisaliśmy w artykule DKIM [DomainKeys Identified Mail]. Pierwsze z nich dokonuje weryfikacji poczty email na rzecz DMARC na podstawie dozwolonych adresów IP, a drugie opiera się na dwóch kluczach szyfrujących wiadomości: prywatnym oraz publicznym, które muszą do siebie pasować.

Aby jednak zabezpieczenie DMARC zadziałało poprawnie konieczne jest odpowiednie skonfigurowanie 🤓 domeny za pomocą rekordu TXT. Budowa takiego rekordu wygląda następująco:

1️⃣ Pierwsza część obejmuje wersję DMARC i musi wyglądać identycznie jak poniższy kod:

v=DMARC1

2️⃣ Ta część zawiera natomiast politykę domeny głównej dla DMARC:

p=reject

W przypadku polityki reject wszystkie wiadomości, które nie są uwierzytelnione zostaną odrzucone przez serwer odbiorcy.

p=quarantine

Dla quarantine wiadomości, które nie spełniają uwierzytelnienia zostaną umieszczone w folderze spam.

p=none

Polityka none pozwala jedynie na monitorowanie wiadomości email bez podejmowania wobec nich akcji.

3️⃣  Ta część rekordu określa jaki odsetek wiadomości ma zostać poddany filtrowaniu [od 1 do 100%]:

pct=100

4️⃣ Wskazuje adres email na który mają spływać raporty DMARC:

rua=mailto:spam@siriuspro.pl

5️⃣ Pozwala generować znacznie bardziej szczegółowe raporty DMARC [rzadko wykorzystywane]:

ruf=mailto:spam@siriuspro.pl

6️⃣  Określa rodzaj otrzymywanego raportu wysyłanego na wskazany adres email:

rf=afrf

7️⃣ Ten rekord pozwala określić politykę DMARC podobnie jak p, lecz tym razem dla subdomen [brak tego ustawienia sprawi, iż subdomeny odziedziczą ustawienia domeny głównej]:

sp=reject

Ustawienie reject odrzuca wszystkie wiadomości z subdomen, które nie zostały uwierzytelnione.

sp=quarantine

Konfiguracja quarantine przenosi wszystkie nieuwierzytelnione wiadomości z subdomen do kwarantanny.

sp=none

Po ustawieniu none pozwala jedynie na monitorowanie wiadomości wysyłanych z subdomen.

8️⃣ Ta część definiuje zasady dopasowania podpisów DKIM:

adkim=s

Ścisłe dopasowania wymaga, aby nazwa domeny nadawcy była dokładnie taka jak określona w DKIM.

adkim=r

Dopuszcza uwierzytelnianie subdomen nawet jeżeli klucz DKIM został zdefiniowany tylko dla domeny głównej.

9️⃣ Ostatnia część określa zasady dopasowania podpisów SPF:

aspf=s

Podpis SPF wiadomości musi być zgodny z rekordem SPF przypisanym do domeny.

aspf=r

Dopuszcza częściowe dopasowanie poprzez akceptację subdomen dla wpisów SPF głównej domeny.

☑️ Finalnie więc rekord DMARC wygląda np. tak:

v=DMARC1 p=reject pct=100 rua=mailto:spam@siriuspro.pl ruf=mailto:spam@siriuspro.pl rf=afrf sp=reject adkim=s aspf=s

Tak skonfigurowany protokół DMARC nie tylko sprawi, że wszystkie nieuwierzytelnione wiadomości zostaną odrzucone, ale także otrzymasz szczegółowe raporty na temat wiadomości email, które wydają się pochodzić z domeny Twojej organizacji. Dodatkowo DMARC nie pozwoli na wykorzystywanie podpisów SPF i DKIM domeny głównej dla subdomen. Oczywiście konfiguracja DMARC może być inna i zależy od Twoich potrzeb. Jeżeli nie wiesz jak tego dokonać poprawnie to napisz do nas. Pomożemy 🤓

Aby protokół DMARC działał poprawnie wysyłane wiadomości muszą zawsze zawierać nagłówek return-path.

A teraz pokażemy Ci jak w praktyce wdrożyć 📩 DMARC. Zanim jednak to zrobimy kliknij także w nasz poradnik i dowiedz się jak zwiększyć dostarczalność maili.

DMARC krok po kroku

Podobnie jak DKIM, aby DMARC działał poprawnie powinien być wspierany przez serwer poczty SMTP Twojego usługodawcy. Aby dowiedzieć się, czy tak jest skontaktuj się z nim zanim przystąpisz do konfiguracji rekordu TXT dla DMARC.

Aby dodać rekord TXT konfiguracji DMARC na serwerze konieczne jest udanie się do zarządzania strefą DNS domeny. Na przykładzie popularnego panelu DirectAdmin takie opcje możemy znaleźć w zakładce Zarządzanie strefą DNS. Gdy tam przejdziesz zobaczysz wszystkie aktualne rekordy DNS dla swojej domeny internetowej:

Gdy zjedziesz na dół zobaczysz tabelkę, w której możesz dodać dowolny rekord do swojej domeny. Ciebie interesuje rekord TXT, w którym należy dodać rekord DMARC:

Rekord DMARC musi odwoływać się w swojej nazwie do _dmarc np. _dmarc.siriuspro.pl. W treści natomiast wstawiamy konfigurację DMARC. Następnie dodajemy rekord do strefy DNS i gotowe. Pamiętaj jednak, że propagacja, czyli czas uaktualnienia wszystkich serwerów DNS na świecie może zająć do 24 godzin i dopiero po tym czasie możesz faktycznie określić, czy DMARC działa poprawnie.

Jak to zrobić? To bardzo proste 💁‍♂️ Wyślij dowolną wiadomość ze swojej skrzynki email na inne dowolne konto w usłudze Gmail. Sprawdź, czy wiadomość nie trafiła czasem do spamu, a następnie otwórz ją i zobacz jej źródło. Zobaczysz tam szczegółowe informacje na temat serwera poczty SMTP, z którego została wysłana wiadomość jak i niej samej:

Sprawdź teraz, czy w wierszu DMARC widnieje opis PASS. Jeżeli tak – DMARC działa poprawnie. Jeżeli widzisz tam FAIL to znaczy, że albo DMARC nie został poprawnie skonfigurowany albo serwer, który próbował wysłać pocztę nie został poprawnie uwierzytelniony i należy sprawdzić rekordy SPF i DKIM.

I to tyle ☺️ w temacie zabezpieczenia DMARC na serwerze poczty wychodzącej SMTP. Mamy nadzieję, że poradnik się spodobał 👌

Uruchom DMARC razem z nami

Temat zabezpieczenia DMARC jak i DKIM oraz SPF dla poczty email może wydawać się trudny, ale nie musisz brać tego zadania na siebie. Wystarczy, że napiszesz do nas, a my zajmiemy się dla Ciebie wdrożeniem adekwatnej ochrony poczty email. Pomożemy Ci także w innych zadaniach związanych z domeną lub stroną internetową. Wycena naszej pracy jest zawsze bezpłatna, dlatego koniecznie skontaktuj się z nami już teraz za pomocą tego formularza kontaktowego i dowiedz się jak może pomóc w Twoim problemie.

No to do usłyszenia ✋