DMARC, czyli Domain-based Message Authentication, Reporting and Conformance, to protokół techniczny służący do uwierzytelniania wiadomości wychodzących. DMARC służy jako pierwsza linia obrony przed różnymi zagrożeniami związanymi z pocztą elektroniczną, w tym phishingiem i spoofingiem.
Aby skonfigurować DMARCnależy utworzyć rekord DMARC. Utworzony rekord DMARC jest rekordem TXT, który jest następnie publikowany w DNS. To rozpoczyna proces uwierzytelniania poczty elektronicznej. Ustawiając rekord DMARC, umożliwiasz właścicielom domen instruowanie odbiorców, w jaki sposób powinni reagować na wiadomości e-mail wysyłane z nieautoryzowanych lub nielegalnych źródeł.
Kluczowe wnioski
- Rekord DMARC to wpis DNS TXT, który pomaga uwierzytelniać wychodzące wiadomości e-mail i zapobiegać atakom typu spoofing i phishing.
- Wybór właściwej polityki DMARC jest niezbędny do kontrolowania obsługi nieautoryzowanych wiadomości e-mail.
- Aby wdrożyć DMARC, rekord musi zostać opublikowany w systemie nazw domen (DNS) za pomocą narzędzi takich jak cPanel, GoDaddy lub Cloudflare.
- Nawet domeny, które nie wysyłają aktywnie wiadomości e-mail, powinny mieć restrykcyjny rekord DMARC, w szczególności "p=reject", aby zapobiec potencjalnym nadużyciom.
- Aby uzyskać optymalne wyniki, zaleca się utrzymywanie pojedynczego rekordu DMARC na domenę i stopniowe wdrażanie egzekwowania, aby uniknąć problemów z dostarczaniem wiadomości e-mail.
- Rozwiązania takie jak PowerDMARC automatyzują zarządzanie rekordami DMARC i upraszczają monitorowanie dzięki wykorzystaniu opartej na sztucznej inteligencji analizy zagrożeń.
Czym jest rekord DMARC?
Rekord DMARC jest rekordem DNS TXT, który określa, w jaki sposób serwery poczty elektronicznej powinny obsługiwać wiadomości, które nie przeszły pomyślnie kontroli uwierzytelniania (SPF i DKIM). Pomaga on właścicielom domen zapobiegać spoofingowi i phishingowi poprzez instruowanie serwerów odbiorców, czy mają odrzucać, poddawać kwarantannie lub zezwalać na nieautoryzowane wiadomości e-mail.
Kluczowe składniki rekordu DMARC
1. Tryby polityki DMARC
Polityka DMARC określa, w jaki sposób odbiorcy powinni obsługiwać wiadomości e-mail, które nie przeszły uwierzytelnienia DMARC. Jest ona oznaczona literą "p". Może mieć jedną z trzech następujących wartości:
- p=none: Nie podejmuje żadnych działań przeciwko nieautoryzowanym wiadomościom e-mail.
- p=kwarantanna: Aby oznaczyć podejrzane wiadomości e-mail.
- p=reject: Aby odrzucić nieautoryzowane wiadomości e-mail, zanim dotrą do odbiorców.
2. Opcje raportowania DMARC
- Raporty zbiorcze (rua=): Są to raporty podsumowujące wysyłane na określony adres e-mail, pokazujące wyniki uwierzytelniania dla wszystkich wiadomości e-mail z domeny.
- Raporty kryminalistyczne (ruf=): Są to szczegółowe raporty o niepowodzeniach wysyłane, gdy wiadomość e-mail nie przejdzie uwierzytelnienia DMARC.
3. Tryby dostosowania DMARC
- SPF Alignment (aspf=): Określa, czy domena nadawcy w nagłówku From: jest zgodna z rekordem SPF. Dostępna jest opcja ścisłego (s) wyrównania dla dokładnego dopasowania lub zrelaksowanego (r) wyrównania dla dopasowania organizacyjnego.
- DKIM Alignment (adkim=): Określa, czy domena podpisu D KIM jest zgodna z domeną w nagłówku From:. Dostępna jest opcja ścisłego (s) wyrównania dla dokładnego dopasowania lub zrelaksowanego (r) wyrównania dla dopasowania organizacyjnego.
Jak utworzyć rekord DMARC?
Aby utworzyć rekord DNS DMARC dla swojej domeny, upewnij się, że go posiadasz:
a) niezawodne narzędzie do generowania rekordów
b) dostęp do konsoli zarządzania DNS w celu opublikowania rekordu
Wykonaj kroki podane poniżej, aby utworzyć rekord:
1. Wygeneruj swój rekord DMARC
Zarejestruj się aby uzyskać dostęp do naszego portalu za pomocą adresu e-mail lub zarejestruj się za pomocą Gmail/Office 365. Przejdź do Narzędzia analityczne > PowerToolbox > Generator rekordów DMARC, aby rozpocząć tworzenie rekordu DMARC.
3. Zdefiniuj politykę DMARC dla swojego rekordu DMARC
Zdecyduj się na politykę DMARC w zależności od pożądanego poziomu egzekwowania (brak, kwarantanna lub odrzucenie). Oto jak wybrać politykę rekordów DMARC:
- Jeśli nie chcesz podejmować żadnych działań przeciwko niechcianym wiadomościom e-mail wysyłanym z Twojej domeny, wybierz "none".
- Jeśli chcesz poddać kwarantannie wiadomości e-mail, które nie przejdą DMARC, wybierz opcję "kwarantanna".
- Jeśli chcesz odrzucać lub odrzucać wiadomości e-mail, które nie przejdą uwierzytelnienia, co może zminimalizować ataki typu spoofing i phishing, wybierz opcję "odrzuć".
3. Skonfiguruj zalecane opcjonalne pola rekordu DMARC
Chociaż nie wszystkie pola są obowiązkowe, zalecamy skonfigurowanie kilku przydatnych pól opcjonalnych w rekordzie DMARC. Dowiedzmy się, czym one są:
- Pole raportowania zbiorczego (rua): Jeśli skonfigurujesz pole rua, będziesz otrzymywać dane uwierzytelniające DMARC bezpośrednio na swój adres e-mail.
- Pole raportowania Forensic (ruf): Uzyskaj wgląd w incydenty kryminalistyczne, takie jak cyberataki, konfigurując pole ruf w rekordzie DMARC.
- Tryby wyrównania DKIM/SPF" Wybierz, czy chcesz wybrać luźne czy ścisłe wyrównanie dla SPF i/lub DKIM.
Jak opublikować rekord DMARC?
Aby opublikować rekord DMARC, należy spełnić kilka warunków wstępnych:
- Musisz mieć dostęp do konsoli zarządzania DNS
- Musisz mieć uprawnienia do edycji i dodawania nowych rekordów DNS dla swojej domeny
Publikowanie rekordu DMARC za pomocą cPanel
1. Uzyskaj dostęp do konsoli zarządzania DNS cPanel
2. W sekcji Domeny kliknij Edytor stref DNS lub Zaawansowany edytor stref.
3. Dodaj rekord DMARC typu TXT (tex), wypełniając szczegóły, jak pokazano poniżej. W polu "TXT data" lub "value" należy wkleić wcześniej utworzony rekord DMARC.
Publikowanie rekordu DMARC w usłudze Godaddy
- Zaloguj się do portfela domen GoDaddy, aby uzyskać dostęp do strefy DNS.
- W sekcji Nazwa domeny znajdź i wybierz domenę wysyłającą e-maile.
- Pod nazwą domeny kliknij DNS
- Teraz wybierz Dodaj nowy rekord i rozpocznij publikację rekordu z następującymi szczegółami:
Typ: TXT
Nazwa: _dmarc
Wartośćwklej wartość swojego rekordu DMARC
Publikowanie rekordu DMARC za pomocą Cloudflare
- Zaloguj się na swoje konto Cloudflare.
- Wybierz żądane konto i domenę.
- Przejdź do DNS i kliknij Dodaj rekord.
- Wklej wygenerowany rekord DMARC do sekcji Dodaj rekord, jak w poniższym przykładzie:
Weryfikacja rekordu DMARC
Aby zweryfikować swój rekord DMARC i uniknąć częstego błędu "Nie znaleziono rekordu DMARC" można skorzystać z naszego bezpłatnego narzędzia weryfikacyjnego.
1. Zarejestruj się za darmo i przejdź do Narzędzia analityczne > PowerToolbox > DMARC Record Checker
2. Przejrzyj status, składnię i tagi rekordu DMARC, aby wykryć ewentualne błędy.
Typowe błędy rekordów DMARC
| Status | Co to oznacza | Co można zrobić |
|---|---|---|
| Ważny | Twój rekord DMARC jest poprawny i wolny od błędów. | Nic nie robić |
| Nieprawidłowy | Twój rekord DMARC zawiera błędy. Może to być spowodowane niekompletną lub błędną składnią. | Przejrzyj swoją składnię, zapoznaj się z naszym kompletnym przewodnikiem po tagach DMARC lub skontaktuj się z nami, aby uzyskać pomoc eksperta. |
| Nie znaleziono rekordu | Brak rekordu DMARC w systemie DNS. | Utwórz rekord DMARC dla swojej domeny i opublikuj go w DNS. |
Po wykryciu błędów w rekordzie należy wprowadzić niezbędne zmiany w systemie DNS i zapisać je. Możesz ponownie sprawdzić swój rekord po przetworzeniu zmian.
Rekord DMARC dla domen niewysyłających
Większość ludzi poprzestaje na zabezpieczeniu swoich aktywnych domen, ale nie wiedzą, że atakujący mogą podszyć się nawet pod domeny niewysyłające, aby wysyłać fałszywe wiadomości e-mail w Twoim imieniu! Aby temu zapobiec, należy wdrożyć następujące kroki DMARC dla domen niewysyłających wiadomości:
- Opublikuj niedozwolony rekord DMARC: Zacznij od opublikowania rekordu DMARC dla nieaktywnej domeny z wymuszoną polityką, taką jak p=reject.
- Ignorowanie raportowania: Ponieważ domena nie wysyła wiadomości e-mail, nie ma potrzeby konfigurowania dla niej raportów RUA lub RUF.
- Opublikuj restrykcyjny rekord SPF: Ustaw v=spf1 -all, aby zapobiec wysyłaniu wiadomości e-mail.
- Wyłącz zintegrowane usługi e-mail: Jeśli domena jest nadal połączona z zewnętrznymi serwerami e-mail, dobrym pomysłem może być ich ograniczenie, jeśli domena nie jest już używana.
Konsekwencje niezabezpieczenia nieaktywnych domen
Niewdrożenie DMARC dla domen niewysyłających może prowadzić do różnych konsekwencji, takich jak:
- Zwiększone ryzyko ataków typu spoofing i phishing
- Uszkodzenie reputacji marki i domeny
- Nadużycia w domenie pozostające niezauważone przez długi czas
Pojedynczy rekord DMARC na domenę
Podczas konfigurowania rekordu DMARC ważne jest, aby opublikować pojedynczy wpis rekordu dla każdej domeny. Wiele rekordów DMARC dla jednej domeny może powodować konflikty i nieuzasadnione błędy uwierzytelniania!
Dlaczego wiele rekordów DMARC stanowi problem?
- Błędy uwierzytelniania poczty e-mail: Odbiorcy wiadomości e-mail mogą nie wiedzieć, który rekord DMARC należy śledzić.
- Błędy konfiguracji i niespójności: Sprzeczne zasady (np. jeden rekord używający p=none i inny używający p=reject) prowadzą do nieprzewidywalnego egzekwowania.
- Niedokładne raportowanie: Raporty DMARC mogą być niekompletne lub niewiarygodne.
Najlepsze praktyki dla prawidłowego wdrożenia DMARC
Aby zapewnić prawidłową konfigurację rekordów DMARC, oto najlepsze praktyki dotyczące ich wdrażania:
- Opublikuj pojedynczy rekord dla DMARC na domenę.
- Należy unikać konfigurowania DMARC sp chyba że chcesz, aby subdomeny miały inną politykę.
- Użyj narzędzia Narzędzie do sprawdzania DMARC aby zweryfikować rekord po jego opublikowaniu.
- Regularnie monitoruj raporty DMARC, aby upewnić się, że podejrzane działania nie pozostaną niezauważone.
Następne kroki po opublikowaniu rekordu DMARC
Po opublikowaniu rekordu DMARC, następnym krokiem powinno być skupienie się na ochronie domeny przed oszustami i podszywającymi się. Jest to główny cel podczas wdrażania protokołów bezpieczeństwa i usług uwierzytelniania poczty elektronicznej.
Samo opublikowanie rekordu DMARC z polityką p=none nie zapewnia żadnej ochrony przed atakami typu domain spoofing i oszustwami e-mailowymi. W tym celu należy przejść na Egzekwowanie DMARC.
Aby przejść na egzekwowanie DMARC, stopniowe podejście jest najlepszym rozwiązaniem, aby uzyskać idealne wyniki bez negatywnego wpływu na dostarczalność. Oto proces, który można wykonać krok po kroku:
- Zacznij od polityki p=none, która jest trybem monitorowania.
- Włącz raportowanie DMARC dla swojej domeny, aby analizować ruch e-mail i dostarczalność.
- Przejdź do kwarantanny, utrzymując pct (procent) na poziomie 10 i stopniowo zwiększaj go do 100% w ciągu kilku tygodni.
- Gdy będziesz już pewny swojej konfiguracji, przejdź do p=reject, utrzymując pct na najniższym ustawieniu procentowym, a następnie stopniowo zwiększając do pełnego wymuszenia dla 100% wolumenu poczty.
Jak PowerDMARC upraszcza zarządzanie rekordami DMARC
Dla organizacji obsługujących wiele domen lub po prostu tych, które nie chcą oddawać się kłopotom związanym z ręczną konfiguracją i utrzymywaniem rekordów DMARC, jest PowerDMARC. Proste i przyjazne dla klienta rozwiązanie, które automatyzuje zarządzanie rekordami DMARC pod jednym dachem. Dzięki technologii Threat Intelligence opartej na sztucznej inteligencji i szczegółowemu raportowaniu, PowerDMARC pomaga ponad 2000 klientów na całym świecie uprościć ich podróż DMARC.
Aby rozpocząć, skorzystaj z bezpłatnego 15-dniowy okres próbny platformy już dziś!
Najczęściej zadawane pytania dotyczące rekordów DMARC
1. Dlaczego potrzebuję rekordu DMARC?
Rekordy DMARC pomagają zapobiegać podszywaniu się pod domenę, zmniejszając w ten sposób ryzyko różnych zagrożeń związanych z pocztą elektroniczną, takich jak phishing, spoofing i ataki ransomware. Bez rekordu DMARC, Twoja domena jest narażona na większe ryzyko zagrożenia lub niewłaściwego wykorzystania przez podmioty stanowiące zagrożenie.
2. Jakie są typowe błędy rekordów DMARC?
Niektóre typowe błędy konfiguracji DMARC obejmują:
- Posiadanie wielu rekordów DMARC, ponieważ domena może mieć tylko jeden rekord DMARC.
- Błędy składni, takie jak nieprawidłowe formatowanie (np. brak średników lub spacji).
- Nieprawidłowe wartości zasad, takie jak użycie nieprawidłowych znaczników, takich jak p=odrzucone zamiast p=odrzucone.
- Uszkodzone adresy e-mail do raportowania, takie jak nieprawidłowe adresy e-mail rua lub ruf, prowadzą do niedostarczonych raportów.
3. Czy mogę mieć wiele rekordów DMARC dla jednej domeny?
Nie, domena może mieć tylko jeden rekord DMARC. Jeśli istnieje wiele rekordów, dostawcy poczty e-mail mogą zignorować konfigurację, prowadząc do błędów uwierzytelniania i luk w zabezpieczeniach.
4. Jak długo trwa propagacja rekordu DMARC?
Czas propagacji rekordu DMARC zazwyczaj waha się od kilku minut do 48 godzin, w zależności od buforowania DNS i ustawień TTL (Time-to-Live).
5. Co się stanie, jeśli mój rekord DMARC jest nieprawidłowy?
Jeśli rekord DMARC jest nieprawidłowy, może to prowadzić do różnych problemów, takich jak nieudane próby uwierzytelnienia lub sprawdzenia i problemy z dostarczalnością wiadomości e-mail, a domena może być nawet podatna na spoofing.
6. Co się stanie, jeśli domena nie opublikowała rekordu DMARC?
Jeśli jesteś nadawcą masowym z nieopublikowanym rekordem DMARC, będziesz narażony na odrzucenie wiadomości e-mail podczas wysyłania wiadomości do Google i Yahoo skrzynek odbiorczych. Dodatkowo, Twoja domena może stać się głównym celem dla atakujących, ponieważ nie będzie żadnych ograniczeń w jej spoofingu.
- Jak utworzyć i opublikować rekord DMARC - 3 marca 2025 r.
- Jak naprawić "Nie znaleziono rekordu SPF" w 2025 roku - 21 stycznia 2025 r.
- Jak czytać raport DMARC - 19 stycznia 2025 r.