Co je DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) je bezpečnostní mechanismus, který chrání e-mailové domény před zneužitím, phishingem a podvrženými e-maily.

Kombinuje a rozšiřuje dva základní ověřovací mechanismy:

SPF (Sender Policy Framework) – určuje, které servery mohou odesílat e-maily za vaši doménu.
DKIM (DomainKeys Identified Mail) – elektronicky podepisuje e-maily, čímž potvrzuje jejich pravost.

DMARC umožňuje správně definovat pravidla, jak mají e-mailové servery nakládat s podezřelými e-maily, které neprojdou ověřením SPF nebo DKIM.

Jak DMARC funguje?

Příjemcův e-mailový server ověří SPF a DKIM záznamy odesílatele.
Podle DMARC pravidel vyhodnotí, zda e-mail splňuje bezpečnostní podmínky.
A podle nastavení DMARC se následně rozhodne, co se s e-mailem, který prověrkou neprojde, stane:
- none – e-mail se doručí bez omezení (pouze reportování).
- quarantine – e-mail se označí jako spam.
- reject – e-mail je odmítnut a příjemce ho vůbec neobdrží.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Jak nastavit DMARC?

DMARC se nastavuje jako TXT záznam v DNS domény.

Přihlaste se do správy DNS (např. v Zákaznickém Centru nebo VPS Centru).
Přidejte nový TXT záznam s názvem _dmarc.
Nastavte pravidlo podle požadované úrovně zabezpečení.

Se správným nastavením vám pomohou i různé online nástroje. Jedním z nich je například Valimail. V článku také detailněji popisujeme doporučený postup nastavení pro začátečníky.

Příklad striktního nastavení DMARC:

v=DMARC1; p=reject; adkim=s; aspf=s;

Význam jednotlivých parametrů:

v=DMARC1 – verze protokolu.
p=reject – říká, že e-maily, které neprojdou ověřením, budou odmítnuty.
adkim=s – říká, jak přísně by měly být použité zásady DKIM v rámci kontroly e-mailů. „s“ znamená přísnou kontrolu DKIM podpisu.
aspf=s – říká, jak přísně by měly být použité zásady SPF v rámci kontroly e-mailů. „s“ znamená přísnou kontrolu.

Striktní DMARC je vhodný pro organizace, které chtějí maximální ochranu proti podvrženým e-mailům.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Volnější nastavení DMARCu

Pokud s DMARC záznamem teprve začínáte, doporučujeme nejprve sbírat data a analyzovat chování e-mailů. Zapátrejte, kde všude se ve vaší firmě odesílají e-maily (např. při fakturaci, informace z e-shopu, či na podpoře jsou také e-maily, které těmto pravidlům podléhají).

Příklad volného nastavení DMARC záznamu

v=DMARC1; p=none; rua=mailto:reporty@vasedomena.cz; adkim=s; aspf=s;

p=none – říká, že DMARC neblokuje e-maily, ale sbírá reporty.
rua=mailto:reporty@vasedomena.cz – je e-mailová adresa, kam budou reporty o doručených e-mailech zasílány.

Volné nastavení umožňuje sledovat e-maily před přechodem na přísnější pravidla.

Jak ověřit správnost DMARC záznamu?

Po nastavení DMARCu můžete jeho funkčnost ověřit pomocí online nástrojů:

MXToolbox DMARC Test
nslookup -type=TXT _dmarc.vasedomena.cz (pro Linux/macOS)

Pokud DMARC reporty ukazují pokusy o podvržení e-mailů, doporučujeme postupně zpřísnit politiku na quarantine nebo reject.

Shrnutí a další kroky

DMARC pomáhá chránit e-maily před phishingem a podvržením tím, že definuje pravidla pro ověřování e-mailů pomocí SPF a DKIM.

Než nastavíte DMARC, ujistěte se, že máte správně nakonfigurované SPF a DKIM záznamy.
Pokud si nejste jistí, začněte s volným nastavením (p=none) a sledujte, co řeknou reporty.
Pro maximální bezpečnost doporučujeme nastavit p=reject.

Na SPF a DKIM nezapomínejte při kontrole také. Obzvlášť pokud se vám odesílají e-maily i někde jinde (např. při fakturaci, informace z e-shopu, či na podpoře). Předejdete tak komplikacím s jejich nedoručením.