V dnešní době se musíte zuby nehty bránit proti zneužití vlastní domény spamerem, který by jí rád použil ve svých mailech jako odesílající doménu. K tomu stačí jen málo a jako obrana slouží SPF, DKIM a DMARC. O prvních dvou zde již bylo psáno a nyní se podíváme na DMARC.
Dá se říci, že DMARC (Domain-based Message Authentication, Reporting and Conformance) je v podstatě mechanismus na validaci SPF a DKIM záznamu. Jedná se o TXT záznam v DNS odesilatele majícího DMARC a k tomu SPF a/nebo DKIM. Pokud takový email dostaneme, náš server bude validovat SPF, pokud je přítomen a DKIM, pokud je přítomen. Díky DMARCu se ale ještě navíc může rozhodnout, zda (ne)přijme zprávy, u kterých některá část nebo celá validace neuspěla – například neodpovídá SPF záznam nebo neexistuje selector u DKIMu (a politika adsp je například discard). Pomocí TXT záznamu tedy můžeme specifikovat zvlášť pro SPF a zvlášť pro DKIM, jak se má příjemce zachovat. Navíc ještě můžeme uvést email, na který budou chodit reporty ve formátu xml, nad kterými můžeme provádět různé analýzy ohledně doručitelnosti k příjemcům.
Do DNS se DMARC zapisuje jako _dmarc.doména, například:
_dmarc.linuxway.cz.
s hodnotou „v=DMARC1;p=reject;pct=100;rua=mailto:cw9tyntf@ag.dmarcian.com;adkim=s;aspf=s“
p= politika tzn. jak se má příjemce zachovat v případě problémů se zprávou – hodnoty none, reject, quarantine
pct= procento, na které se uplatňuje politika v „p=“, na zbytek se uplatní lehčí verze politiky. Například p=reject;pct=90 znamená, že na 90% mailů se uplatní reject politika v případě např. selhání SPF a na 10% politika quarantine.
adkim= zde volby strict nebo relaxed – při strict musí přesně sedět odesílající doména, při relaxed je možno odesílat email i ze subdomény (výchozjí hodnota je relaxed)
aspf= zde volby strict nebo relaxed – při strict musí sedět MAIL FROM a hlavička from:, při relaxed může být MAIL FROM i se subdoménou (výchozjí hodnota je relaxed)
rua= zapíšeme email, na který chceme dostávat reporty (např. mailto:fbl@domena.tld)
v=DMARC1 – povinná hodnota označující DMARC záznam
Ohledně rua ještě jedna poznámka. Pokud chceme odesílat feedbackové emaily na jinou než naší doménu, musí si daná přijímající doména vytvořit záznam DNS takto:
linuxway.cz._report._dmarc.ad.dmarcian.com. (zde příklad, kdy moje doména linuxway.cz posílá záznamy na ad.dmarcian.com)
Bez tohoto záznamu se feedbackové záznamy odesílat nebudou. Jedná se o potvrzení druhé strany, že se zasíláním souhlasí.
That’s all folks!
Time limit is exhausted. Please reload the CAPTCHA.