Nastavení DMARC u Webhostingu C4
Revize textu: 6.6.2023
Co je DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) je další bezpečnostní prvek v ochraně proti zneužití domény při e-mailové komunikaci. DMARC doplňuje již nastavené záznamy DKIM a SPF, jejich existence je pro nastavení DMARC nutností.
DMARC validuje odesílané e-maily a podle nastavených parametrů dokáže reportovat informace o tom jaká pošta byla za určitý čas z domény odesílána a jak ji server příjemce vyhodnotil. Tyto výsledky dokáže zasílat pravidelně e-mailem.
Jak funguje DMARC?
DMARC využívá zpětné vazby serverů adresáta, které podle nastavených parametrů v DMARC zašlou zpátky příslušný report. DMARC funguje na principu porovnávání údajů o doméně v odeslaných zprávách s nastavenými hodnotami záznamů DKIM a SPF. Pokud porovnání souhlasí, je zpráva validní. V některých případech nemusí nutně dojít k absolutní shodě porovnávaných hodnot, třeba při využívání rozesílky pomocí třetí strany, která může mít ve zprávě hodnoty svoje, nikoli od předmětné domény.
DMARC umožňuje nastavení reportů podle široké škály parametrů.
Nastavení DMARC u Webhostingu C4
Pro nastavení DMARC je třeba vytvořit ve Správě DNS v administračním systému hostingových služeb DNS TXT záznam ve formátu DMARC.
- Přihlašte se do administrace hostingových služeb.
- Přejděte do správy DNS kliknutím v menu na odkaz Správa DNS.
- Vyberte ve formuláři TXT záznam a klikněte na tlačítko Přidat nový záznam.
- Do prvního pole (Název) zadejte _dmarc
- Do čtvrtého pole (RDATA) budeme definovat znění jednotlivých parametrů DMARC záznamu, oddělených středníkem
Příkladný jednoduchý DMARC záznam může vypadat např. takto:
v=DMARC1; p=none; rua=mailto:schranka@nazev-vasi-domeny.cz; sp=none; adkim=r; aspf=r
- Klikněte na tlačítko Uložit.
Změna DNS záznamu se projeví do hodiny.
Tento konkrétní zápis DMARC parametrů nám udává:
v=DMARC1
- je použita verze protokolu DMARC1
p=none
- pravidlo, že se zprávami, které neprojdou kontrolou nebude nijak nakládáno, příjemce nebude brát ohled na výsledek testu
rua=mailto:schranka@nazev-vasi-domeny.cz
- na jakou e-mailovou adresu (správce webu) budou zaslány reporty a výsledky DMARC
sp=none
- jaká politika DMARC má být použita pro subdomény, zde žádná
adkim=r
- použit méně restriktivní mód pro DKIM
aspf=r
- použít měně restriktivní mód pro SPF
Parametry DMARC pro nastavení v RDATA u záznamu můžete definovat podle potřeby následovně:
v
- verze protokolu, v současné chvíli jen hodnota DMARC1
pct
- zprávy, které budou kontrolovány, vyjádřené v procentech % (100 = 100 % zpráv)
ruf
- e-mail (správce webu) pro zasílání podrobných (forenzních) reportů, včetně selhané zprávy, detailní informace
rua
- e-mail (správce webu) pro zasílání souhrnných (agregovaných) reportů - statistické údaje o zaslaných zprávách
p
- nastavení politiky DMARC (udává, co se má dít se zprávami, které kontrolou neprojdou)
none – žádné pravidlo, DMARC je nastaven je z důvodu reportu nebo testování, server příjemce výsledek nijak nezohledňuje
quarantine – pravidlo, kdy server příjemce zohledňuje výsledek zpráv a nevalidní může označit za spam
reject – pravidlo, kdy server příjemce nevalidní zprávu odmítne a nedoručí
sp
- nastavení politiky pro subdomény (např. neco.nazev-vasi-domeny.cz), nastavuje se totožně jako parametr p pro DMARC
adkim
- DKIM alignment mód kontroly
s (strict) – přísný (přesný) - musí nastat přesná shoda doménového názvu ve všech bodech kontroly
r (relaxed) – uvolněný, kde stačí, aby odpovídala jen doména 2 řádu (neco.c4.cz znamená shodu pro c4.cz)
aspf
- SPF alignment mód kontroly
s (strict) – přísný (přesný) - musí nastat přesná shoda doménového názvu ve všech bodech kontroly
r (relaxed) – uvolněný, kde stačí, aby odpovídala jen doména 2 řádu (neco.c4.cz znamená shodu pro c4.cz)
rf
- formát reportu např. afrf (Authentication Failure Reporting Using the Abuse Reporting Format)
ri
- nastavení zasílacího cyklu pro souhrnné (agregované) reporty DMARC (ve vteřinách)
fo
- nastavení zasílání podrobných (forenzních) reportů (report je samostatný pro každou konkrétní odeslanou zprávu)
0 – report je serverem příjemce odeslán jestliže zpráva neprojde kompletní kontrolou DKIM i SPF
1 – report je serverem příjemce odeslán jestliže zpráva neprojde DKIM nebo SPF, ale může být přesto validována pomocí DMARC
d – report je serverem příjemce odeslán jestliže zpráva neprošle kontrolou DKIM
s – report je serverem příjemce odeslán jestliže zpráva neprošla kontrolou SPF
Pokud si nechcete sestavovat řetězec pro DMARC do sloupce RDATA v DNS sami, můžete využít některý z generátorů např.