Autoryzacja wiadomości oparta na domenie, raportowanie i zgodność, czyli DMARC, to standard techniczny, który pomaga chronić nadawców i odbiorców wiadomości e-mail przed spamem, podrabianiem i phishingiem.
Business in a box.
Odkryj nasze rozwiązania.
Porozmawiaj z naszym zespołem sprzedaży
Zrozumienie DMARC
Domain-based Message Authentication, Reporting, and Conformance, czyli DMARC, to standard techniczny, który pomaga chronić nadawców i odbiorców e-maili przed spamem, podszywaniem się i phishingiem. DMARC pozwala organizacji opublikować politykę, która definiuje jej praktyki uwierzytelniania e-maili i zapewnia instrukcje dla serwerów pocztowych odbierających, jak je egzekwować. W tej edycji „DMARC Explained” dowiesz się, czym DMARC jest i jak działa.
Specyficznie, DMARC ustala metodę dla właściciela domeny, aby:
Opublikować swoje praktyki uwierzytelniania e-maili
Zadeklarować, jakie działania powinny być podjęte wobec poczty, która nie przechodzi weryfikacji uwierzytelniania
Umożliwić raportowanie działań podjętych w stosunku do poczty twierdzącej, że pochodzi z jego domeny
Sam DMARC nie jest protokołem uwierzytelniania e-maili, ale opiera się na kluczowych standardach uwierzytelniania SPF i DKIM. Wraz z nimi, uzupełnia SMTP, podstawowy protokół używany do wysyłania e-maili, ponieważ SMTP sam w sobie nie zawiera żadnych mechanizmów do wdrażania lub definiowania polityk uwierzytelniania e-maili.
Jak działa DMARC?
DMARC relies on the established SPF and DKIM standards for email authentication. It also piggybacks on the well-established Domain Name System (DNS). In general terms, the process of DMARC validation works like this:
A domain administrator publishes the policy defining its email authentication practices and how receiving mail servers should handle mail that violates this policy. This DMARC policy is listed as part of the domain’s overall DNS records.
When an inbound mail server receives an incoming email, it uses DNS to look up the DMARC policy for the domain contained in the message’s “From” (RFC 5322) header. The inbound server then checks evaluates the message for three key factors:
Does the message’s DKIM signature validate?
Did the message come from IP addresses allowed by the sending domain’s SPF records?
Do the headers in the message show proper “domain alignment”?
With this information, the server is ready to apply the sending domain’s DMARC policy to decide whether to accept, reject, or otherwise flag the email message.
After using DMARC policy to determine the proper disposition for the message, the receiving mail server will report the outcome to the sending domain owner.
Czym jest rekord DMARC?
Rekord DMARC jest zawarty w bazie danych DNS organizacji. Rekord DMARC jest specjalnie sformatowaną wersją standardowego rekordu DNS TXT z określoną nazwą, mianowicie „_dmarc.mydomain.com” (zauważ początkowy podkreślnik). Rekord DMARC wygląda mniej więcej tak: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Czytając z lewa na prawo w prostym angielskim, ten rekord mówi:
v=DMARC1 określa wersję DMARC
p=none określa preferowane traktowanie lub politykę DMARC
rua=mailto:dmarc-aggregate@mydomain.com to skrzynka pocztowa, do której powinny być wysyłane raporty zbiorcze
ruf=mailto:dmarc-afrf@mydomain.com to skrzynka pocztowa, do której powinny być wysyłane raporty śledcze
pct=100 to procent wiadomości, do których właściciel domeny chciałby zastosować swoją politykę
Dostępne są dodatkowe opcje konfiguracji dla właściciela domeny do użycia w rekordzie polityki DMARC, ale to są podstawy.
Co oznacza dopasowanie domeny DMARC?
„Domain alignment” to pojęcie w DMARC, które rozszerza walidację domeny wbudowaną w SPF i DKIM. DMARC domain alignment dopasowuje domenę „from” wiadomości z informacjami istotnymi dla tych innych standardów:
Dla SPF, domena From wiadomości i jej domena Return-Path muszą się zgadzać
Dla DKIM, domena From wiadomości i jej domena DKIM d= muszą się zgadzać
Dopasowanie może być zrelaksowane (dopasowanie do podstawowych domen, ale dopuszczanie różnych subdomen) lub rygorystyczne (dokładne dopasowanie całej domeny). Ten wybór jest określony w opublikowanej polityce DMARC nadawcy.
Czym są zasady DMARC p=?
Specyfikacja DMARC zapewnia trzy opcje dla właścicieli domen, aby mogli określić preferowane traktowanie poczty, która nie przechodzi kontroli walidacji DMARC. Te „p= polityki” są:
none: traktuj pocztę tak samo, jakby nie było żadnej walidacji DMARC
quarantine: zaakceptuj pocztę, ale umieść ją gdzieś indziej niż w skrzynce odbiorczej odbiorcy (zazwyczaj w folderze spamu)
reject: odrzuć wiadomość całkowicie
Pamiętaj, że właściciel domeny może jedynie żądać, a nie wymuszać, egzekwowanie swojego rekordu DMARC; to do przychodzącego serwera pocztowego należy decyzja, czy honorować żądaną politykę.
Co to jest raport DMARC?
Raporty DMARC są generowane przez serwery poczty przychodzącej jako część procesu walidacji DMARC. Istnieją dwa formaty raportów DMARC:
Raporty zbiorcze, które są dokumentami XML pokazującymi dane statystyczne dotyczące wiadomości odebranych, które twierdziły, że pochodzą z określonej domeny. Dane zgłaszane obejmują wyniki uwierzytelnienia i dyspozycję wiadomości. Raporty zbiorcze są zaprojektowane do odczytu maszynowego.
Raporty kryminalistyczne, które są pojedynczymi kopiami wiadomości, które nie przeszły uwierzytelnienia, każdy zawarty w pełnej wiadomości e-mail przy użyciu specjalnego formatu o nazwie AFRF. Raporty kryminalistyczne mogą być przydatne zarówno do rozwiązywania problemów z uwierzytelnianiem własnej domeny, jak i do identyfikacji złośliwych domen i witryn internetowych.
Jak DMARC odnosi się do SPF, DKIM lub innych standardów?
DKIM, SPF i DMARC to wszystkie standardy, które umożliwiają różne aspekty uwierzytelniania poczty elektronicznej. Rozwiązują one komplementarne kwestie.
SPF pozwala nadawcom określić, które adresy IP mogą wysyłać pocztę dla danego domeny.
DKIM zapewnia klucz szyfrowania i podpis cyfrowy, które potwierdzają, że wiadomość e-mail nie została sfałszowana ani zmieniona.
DMARC łączy mechanizmy uwierzytelniania SPF i DKIM w wspólne ramy i pozwala właścicielom domen zadeklarować, jak chcieliby, aby e-maile z tej domeny były traktowane, jeśli nie przejdą testu autoryzacji.
Czy potrzebuję DMARC?
Jeśli jesteś firmą wysyłającą e-maile komercyjne lub transakcyjne, zdecydowanie musisz wdrożyć jedną lub więcej form uwierzytelniania e-maili, aby zweryfikować, że e-mail pochodzi rzeczywiście od ciebie lub twojej firmy. Prawidłowa konfiguracja DMARC pomaga serwerom pocztowym odbierającym określić, jak oceniać wiadomości, które twierdzą, że pochodzą z twojej domeny, i jest to jeden z najważniejszych kroków, które możesz podjąć, aby poprawić swoją dostarczalność.
Jednak standardy takie jak DMARC mają swoje ograniczenia; MessageBird i inni eksperci e-mailowi zalecają wdrożenie polityki uwierzytelniania e-maili DMARC w konkrecie z całkowitą strategią komunikacyjną.
