DMARC jeb Domain-based Message Authentication Reporting and Conformance apvieno SPF un DKIM tehnoloģijas vienotā noteikumu kopā, lai mazinātu e‑pasta adreses viltošanas risku.
DMARC ļauj domēna administratoram, izmantojot DNS vārdu servera TXT ierakstus, noteikt konkrētus noteikumus, kuriem jāatbilst visiem e‑pastiem, kas tiek sūtīti no [From:] avota adreses, kas saistīta ar tā domēnu. Piemēram, var norādīt, vai vēstulei obligāti jābūt parakstītai ar DKIM tehnoloģiju, jābūt nosūtītai no IP adreses saskaņā ar SPF politiku, vai arī abiem nosacījumiem jāizpildās vienlaikus. Papildus tam var vispārīgi aprakstīt, ko darīt ar ziņojumiem, kas neatbilst DMARC noteikumiem.
Pēc noklusējuma Zone izveidotais DMARC noteikums ļauj pasta saņēmējam to pieņemt pat tad, ja viena no iepriekš minētajām pārbaudēm neizdodas.
Taču to ir iespējams iestatīt stingrāk. Piemēram, var padarīt DKIM parakstu obligātu, DMARC DNS ierakstā izmantojot tagu adkim=s. Ja to apvieno ar p=reject, kas savukārt apzīmē politiku, tad serveriem, kas apkalpo šī noteikuma pārkāpjošā pasta saņēmēju, nevajadzētu pieņemt nevienu noteikumus pārkāpjošu vēstuli.
Tomēr katrs servera administrators pats izlemj, kā e‑pasta serveri apstrādā vēstules ar DMARC politikām. Piemēram, ne visi serveri ar politiku p=reject vienmēr noraidīs e‑pastus neatkarīgi no iestatītās politikas. Tomēr lielākā daļa lielo pakalpojumu sniedzēju, piemēram, Gmail, Office365 un Zone, to dara.
Name server record
Iedziļinoties, DMARC politika tiek konfigurēta ar īpašu TXT ierakstu apakšdomēnam ar nosaukumu _dmarc, piemēram, _dmarc.example.com. Šī TXT ieraksta saturs sastāv no name=value tagiem, kas atdalīti ar semikoliem.
Piemērs:
"v=DMARC1;p=reject;rua=mailto:dmarcreports@example.com;"
Vadības panelī My Zone tu vari aktivizēt DMARC politiku izvēlnē Email -> DKIM / SPF / DMARC. Detalizētas instrukcijas ierakstu aktivizēšanai atradīsi šeit.
Pēc noklusējuma tiek pievienots TXT ieraksts v=DMARC1; p=quarantine, taču, ja vēlies, politiku var padarīt stingrāku.
Policies
Policy tags nosaka DMARC noteikuma stingrību. DNS ierakstā tas tiek aprakstīts, izmantojot tagu p=. Iespējamās taga vērtības ir:
none– serverim, kas saņem ziņojumu, netiek norādīta konkrēta politika;quarantine– karantīna; saņēmēja serverim noteikumus pārkāpjošais ziņojums jāievieto surogātpasta mapē vai jāpievieno atzīme, kas norāda, ka ziņojums ir aizdomīgs;reject– serverim, kas saņem ziņojumu, būtu jānoraida ziņojums, kas pārkāpj noteikumus.
NB! Politikas tags p= TXT ierakstā ir jākonfigurē uzreiz pēc versijas v=!
Ieteicams pakāpeniski pāriet uz stingrāku DMARC politikas ieviešanu: none->quarantine->reject.
DKIM and SPF stringency
Tagus adkim= un aspf= var izmantot, lai konfigurētu, vai DKIM un SPF noteikumi ir atviegloti vai stingri. Noklusējuma vērtība abiem ir “relaxed”. Tomēr, ja vērtība ir iestatīta uz “strict” (=s), tags adkim=s pieprasa saņēmēja serverim prasīt, lai visi ziņojumi būtu parakstīti ar DKIM, bet tags aspf=s pieprasa, lai ziņojumi tiktu sūtīti no IP adresēm, kas konfigurētas SPF DNS ierakstā. Pie atvieglotas (noklusējuma) politikas pietiek, ja pareizs ir vismaz viens no šiem.
Mēs iesakām ļoti rūpīgi apdomāt, pirms padari iestatījumus stingrākus, lai pārliecinātos, ka visi no tava domēna nosūtītie e‑pasti atbilst šiem nosacījumiem!
Reports
Viena no ievērojamākajām DMARC noteikumu iespējām ir spēja pieprasīt atskaites no e‑pasta serveriem, kas ir saņēmuši pastu uz tavu domēnu.
PS! Atskaites ir paredzētas pieredzējušiem lietotājiem, un mēs iesakām pirms atskaišu ieslēgšanas izlasīt detalizētāku DMARC dokumentāciju! Piemēram, šeit.
fo=konfigurējot tagu, tu vari norādīt, kuras atskaites tiek sūtītas.rf=konfigurējot tagu, tu vari norādīt kļūdu atskaites formātu.ri=konfigurējot tagu, tu vari norādīt, cik bieži atskaite tiek sūtīta (noklusējums ir 24h).rua=konfigurējot tagu, tu vari norādīt e‑pasta adresi, uz kuru jānosūta atskaite; tai jābūt formātāmailto:dmarcreports@example.com. NB! Šai e‑pasta adresei jābūt tajā pašā domēnā, pretējā gadījumā domēna zonā jāpieliek atsevišķs TXT ieraksts atskaišu e‑pasta adresei. Tomēr šī ir tēma pieredzējušiem lietotājiem.
Additional information
Ņem vērā, ka DMARC politika ietekmē e‑pastu From: (header from) galveni. Tomēr SPF pārbaude attiecas uz aploksnes sūtītāju (envelope from). Ja šie domēni atšķiras un ziņojumam nav DKIM paraksta, DMARC pārbaude neizdosies! Tas ietekmēs e‑pasta kopiju sūtīšanu un pārsūtīšanu, jo SRS mainīs envelope from.
- DMARC dokumentācijā ir minēts tags
pct=, kam it kā būtu jānorāda to e‑pastu procentuālā daļa, uz kuriem jāpiemēro DMARC politika. Reālajā dzīvē mēs neesam saskārušies ar situāciju, kur šis procents kaut ko ietekmētu, un to nav nepieciešams pievienot. - Ir pieejami specializēti pakalpojumu sniedzēji (piemēram, https://dmarcian.com/), kas apkopo un analizē DMARC atskaites, taču jāņem vērā, ka daudzas no viņu atskaitēm ir ļoti tehniskas un grūti interpretējamas.
- DMARC attiecas tikai uz ziņojumiem ar vienu From: adresi (tehniski, saskaņā ar RFC, vēstulē var būt vairāk nekā viena From adrese, taču praksē tas nav īpaši izplatīti).