Nacházíte se zde: Úvod Podpora Nápověda E-maily DMARC

Co je DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) je řešení pro validaci e-mailových zpráv, které umožňuje detekovat a předcházet podvrženým e-mailům (například s falešným odesílatelem). DMARC je postaven na mechanismech SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) a stanovuje, jak se mají příjemci zpráv zachovat v případě, že SPF a/nebo DKIM kontrola selže. Kromě toho nabízí možnost získávat přehled o těchto situacích. Koordinuje tedy výsledek DKIM a SPF kontrol a specifikuje, za jakých podmínek má být adresa odesílatele v e-mailu (hlavička From:) považována za důvěryhodnou.

Nastavení DMARC

DMARC je speciální TXT záznam, nastavit jej můžete v klientské sekci ve správě své domény v části DNSPřidat TXT záznam. S návrhem základního záznamu Vám pomůže generátor umístěný tamtéž. Pokud má DMARC platit pro "hlavní" doménu (např. example.com), nastavuje se jako doména 3. řádu s názvem _dmarc (tedy _dmarc.example.com). Pokud má platit pro subdoménu (např. sub.example.com), nastaví se jako doména 4. řádu _dmarc.subdoména (např. _dmarc.sub.example.com).

Pro fungování DMARC je třeba mít aktivní SPF a DKIM.

Konkrétní nastavení záznamu záleží na Vašich preferencích, jak se mají přijímací servery ke zprávám zasílaným jménem Vaší domény chovat. Informace o možných parametrech záznamu najdete níže.

Nastavení DMARC pro Google

Od 1. února 2024 zavádí Google změny pro odesílatele, kteří na účty Gmail (@gmail.com nebo @googlemail.com) odesílají více než 5000 zpráv denně. Nově bude podmínkou úspěšného přijetí zprávy kromě správné konfigurace SPF a DKIM i nastavení DMARC.

Podle dostupných informací by mělo stačit doméně nastavit neutrální DMARC, tedy záznam například ve tvaru v=DMARC1; p=none; rua=mailto:vas-email@vasedomena.cz.

Parametry DMARC záznamu

DMARC záznam se skládá z různých parametrů oddělených středníkem a mezerou. Prvním z parametrů je identifikace v=DMARC1;. Následuje přehled dalších možností.

Parametr Popis Možné hodnoty
p Zvolená politika DMARC, tedy jak má příjemce naložit se zprávou, která neprojde kontrolou. none - výsledek kontroly nemá vliv na doručení; jen reportování
quarantine - příjemce zohlední výsledek kontroly, obvykle zprávu označí jako spam
reject - příjemce zprávu odmítne
sp Zvolená politika DMARC pro subdomény. stejné jako u p
rua E-mailová adresa pro zasílání agregovaných (souhrnných) reportů. Report obsahuje informace o zprávách za nějaké období (standardně 1 den). Zahrnuty jsou jak zprávy, které kontrolou prošly, tak ty, co neprošly. mailto:mail@example.com
ri Interval pro zasílání agregovaných reportů v sekundách. kladné celé číslo
ruf E-mailová adresa pro zasílání forenzních (chybových) reportů. Report obsahuje informace o jedné zprávě, která neprošla kontrolou. mailto:mail@example.com
fo Podmínky zasílání forenzních reportů.

0 - report je odeslán, když selže kontrola SPF i DKIM současně (výchozí hodnota)
1 - report je odeslán, když selže buď kontrola SPF nebo DKIM
d - report je odeslán, když selže kontrola DKIM
s - report je odeslán, když selže kontrola SPF

pct Procento zpráv, které bude zkontrolováno (100 znamená 100%, tedy všechny zprávy). kladné celé číslo do 100
adkim Způsob kontroly DKIM. r (relaxed) - shoda nastane, souhlasí-li hlavní doména (tzn. zahrnuje i subdomény)
s (strict) - doména musí být totožná
aspf Způsob kontroly SPF. stejné jako u adkim

Pokud je e-mailová adresa/adresy pro zasílání reportů na jiné doméně, musí tato mít tato jiná doména nastavený speciální TXT záznam, který přijímání reportů povolí. Například pro přijímání reportů pro doménu example.com na adrese report@example.net se bude jednat o záznam example.com._report._dmarc.example.net, hodnota záznamu je jednoduše v=DMARC1.

Příklady hodnot DMARC záznamu

v=DMARC1; p=none - do doručení zprávy není nijak zasahováno, bez reportování

v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ri=86400 - v případě selhání DMARC kontroly je zpráva označena jako spam, na e-mail dmarc@example.com jsou zasílány souhrnné reporty maximálně jednou za den

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; adkim=s; aspf=s - v případě selhání DMARC kontroly je zpráva odmítnuta, na e-mail dmarc@example.com jsou zasílány souhrnné i forenzní reporty, kontroly DKIM a SPF jsou striktní

Zpět na nadřazené téma

Nahoru