O DMARC záznamu byste měli přemýšlet ve chvíli, kdy chcete odesílat newslettery. Slouží k ověření e-mailových zpráv, podobně jako záznamy SPF a DKIM, které DMARC (Domain-based Message Authentication, Reporting & Conformance) kombinuje.

Pro lepší pochopení mrkněte na naše video:

Nastavení ze Zákaznického Centra krok za krokem

V první řadě byste měli vždy správně nastavit SPF záznam a DKIM. Až poté se pustit do DMARC záznamu.

DMARC se nastavuje stejně jednoduše, jako např. SPF záznam. Stačí pouze přidat DNS záznam v TXT.

1.) Přihlaste se tedy do administrace, do detailu domény, kde DNS záznamy spravujete a v DNS přidejte nový TXT záznam (do pole „záznam“ napište konkrétně „_dmarc“).

Celý zápis bude vypadat následovně:

Striktní nastavení DMARC

Jsou dvě možnosti, jak nastavit DMARC záznam –⁠ striktní a volné. My však doporučujeme nastavení striktní. Vysvětlíme si proč.

Hlavní rozdíl mezi volným a striktním režimem DMARC spočívá v tom, jak se zachází s e-maily, které neprojdou DMARC ověřením. Ve volném režimu jsou takové e-maily pouze nahlášené, ale stále doručené. Zatímco ve striktním režimu mohou přistát do karantény (do spamové složky) nebo rovnou zamítnuty (příjemci nedorazí).

Pro striktní zápis do pole „hodnota“ opište následující text:

v=DMARC1; p=reject; adkim=s; aspf=s;

Možnosti a vysvětlivky k DMARC záznamu:

• „p“ atribut má 3 možnosti: none, quarantine, reject. Říká nám, jak se má zachovat k e-mailu, který porušuje pravidla.
  • none: DMARC zde nijak nechrání. Příjemce neprovede žádnou akci navíc, provede pouze standardní kontrolu záznamů SPF a DKIM a až poté vyhodnotí důvěryhodnost e-mailu, který zpracuje podle sebe.
  • quarantine: je striktnější, „nebezpečný“ e-mail označuje jako určený do „karantény“ a pak jej pošle do nevyžádané pošty (např. do spamu).
  • reject: hodně striktní (a také doporučený) režim vhodný pro většinu případů. Pokud infikovaný e-mail neprojde ověřením, server příjemce e-mail rovnou odmítne. Jinými slovy se nedoručí vůbec, a to ani do spamu.
• Parametry „adkim“ a „aspf“ říkají, jak přísně by měly být použité zásady DKIM a SPF v rámci kontroly e-mailů.

Doporučujeme využívat nastavení adkim = s a aspf = s pro bezpečnější provoz e-mailů. Budete mít skutečnou jistotu, že e-maily budou odcházet opravdu od vás a ne od útočníka.

Začátečníkům doporučujeme využít volné nastavení spolu s atributem „rua“. S tím nasbíráte dost údajů o chování e-mailů a z volného nastavení můžete kdykoliv přejít na nastavení striktní. O tom, jak jej nastavit píšeme v textu níže.

Volné nastavení DMARC

Pro volné nastavení DMARC záznamu bude text vypadat následovně:

v=DMARC1; p=none; adkim=s; aspf=s;

RUA a RUF atributy pro datové a forenzní zprávy

Máte možnost vložit ještě 2 atributy, jako je „rua„, který poskytuje e-mailovou adresu pro souhrnné datové zprávy (respektive slouží pro obrázek toho, co se na mail serveru s e-maily děje) a „ruf„, který poskytuje adresu pro forenzní zprávy.

Forenzní reporty v současnosti nejsou podporovány a tedy ani zasílány. Postupujeme takto mj. z bezpečnostních důvodů, podobně jako i další poskytovatelé e-mailových služeb.

Seznam.cz

Výsledný záznam by vypadal:

v=DMARC1; p=none; rua=mailto:reporty@vasedomena.cz; adkim=s; aspf=s;

Velice podrobný popis a možnosti nastavení DMARC záznamu najdete v našem článku na blogu i v nápovědě od Seznamu.

Ověření správnosti DMARC záznamu

Zda je DMARC aktivní, můžete ověřit například pomocí nástroje MXToolBox. Stačí zadat doménu a nechat si zobrazit výsledek.