Bezpieczeństwo, Uwierzytelnienia e-mail

DMARC – Co To Takiego?

EmailLabs Team,  Opublikowano: 19 May 2023, Zaktualizowano: 3 February 2025

DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób oszustw na poczcie e-mail.

Jeszcze do niedawna mówiło się o nim jako o swego rodzaju ciekawostce. Dziś staje się podstawowym protokołem bezpieczeństwa emaili.

Gdy właściciel domeny skonfiguruje DMARC w swoim rekordzie DNS, zyskuje wgląd w to, kto wysyła wiadomości email w imieniu jego domeny. Zasady DMARC pozwalają właścicielowi domeny zadecydować co zrobić z wiadomościami, które nie przejdą uwierzytelnienia. Może skierować je do folderu Spam lub odrzucić.

DMARC wykorzystuje techniki uwierzytelniania email SPF (Sender Policy Framework) i DKIM (Domain Keys Identified Mail) i dodaje ważną funkcję, a mianowicie raportowanie.

W skrócie można powiedzieć, że DMARC umożliwia odróżnienie legalnych wiadomości e-mail od fałszywych, które stanowią próbę oszustwa.

Rekord DMARC, SPF i DKIM Jako Sposoby Uwierzytelniania Poczty Elektronicznej

DMARC to rekord TXT, który jest przechowywany w DNS. Dzięki niemu odbiorcy poczty e-mail mają możliwość sprawdzenia autentyczności otrzymanych i odsiania fałszywych wiadomości. Do poprawnego działania protokołu DMARC konieczne jest wcześniejsze skonfigurowanie dwóch innych rekordów – SPF oraz DKIM.

  • Rekord SPF (Sender Policy Framework) służy do identyfikacji serwera pocztowego, który jest uprawniony do wysyłania poczty e-mail z konkretnej domeny. Zapewnia podstawową weryfikację tożsamości. Właściciel domeny używa odpowiednio sformatowanego rekordu DNS typu TXT, do wskazania, z jakiego adresu IP wysyłka wiadomości jest dopuszczalna. SPF zabezpiecza więc serwery pocztowe (SMPT) przed przyjmowaniem wiadomości pochodzących z podejrzanych lub niedozwolonych źródeł. Z pomocą SPF można znacznie ograniczyć spam.

Schemat działania rekordu SPF

  • Rekord DKIM (Domain Keys Identified Mails) służy natomiast do uwierzytelniania wysyłanych wiadomości elektronicznych. Odbiorcy mają dzięki niemu pewność, że nadawcą jest właściciel danego adresu e-mail, a nie podszywający się pod niego oszust. DKIM wykorzystuje kryptografię klucza publicznego i prywatnego, służącego do podpisywania wiadomości. Sprawdza w ten sposób czy e-mail pochodzi z domeny powiązanej z kluczem DKIM oraz, czy w trakcie transferu nie został zmodyfikowany.

Schemat działania rekordu DKIM

Rekord DMARC jest rozwiązaniem opierającym się na protokołach SPF i DKIM, uzupełniającym i rozszerzającym ich działanie. Określa dokładną politykę serwera pocztowego w przypadku otrzymania nieautoryzowanej wiadomości, która nie uzyskała pozytywnej weryfikacji dwóch powyższych protokołów.

Jednakże w przeciwieństwie do SPF i KDIM, DMARC pomaga uzyskać wgląd w planowane ataki, zadziałać błyskawicznie i poinformować klientów o zagrożeniu z wyprzedzeniem. Już sama świadomość tego, że osoby nieuprawnione do zarządzania naszą domeną zamierzają przeprowadzić atak, daje ogromną przewagę.

Zwiększ z nami dostarczalność i bezpieczeństwo komunikacji e-mail!

Porozmawiaj ze sprzedawcą

Jak Skonfigurować DMARC?

Pomijając czysto techniczne kwestie związane z tym, jak dodać rekord DMARC, konieczne jest wykonanie następujących trzech kroków.

1 .Ocena infrastruktury służącej do wysyłania wiadomości e-mail. Dotyczy to zarówno wszystkich serwerów pocztowych, jak i zewnętrznych usług wysyłających maile w imieniu nadawcy, np. dostawców infrastruktury serwerowej takich jak EmailLabs, czy platform do automatyzacji marketingu.

2. Stworzenie własnej polityki DMARC dla każdej domeny, która ma być chroniona – DMARC dodaje zasady do rekordu DNS organizacji, które mówią serwerom odbiorczym, jak postępować z wiadomościami e-mail wysyłanymi z danej domeny. Sama polityka DMARC może być ustawiona jako “odrzuć”, “kwarantanna” lub “brak”.

  • Odrzuć/reject: wiadomość zostanie odrzucona, jeśli nie przejdzie testów uwierzytelniania i nie została autoryzowana przez nadawcę.
  • Kwarantanna/quarantine: Wiadomości będą kierowane do zakładki SPAM, dopóki nie przejdą kontroli uwierzytelniania i nie zostaną autoryzowane przez nadawcę.
  • Brak/none: Serwer odbierający nie zrobi nic z wiadomościami, które nie przejdą kontroli uwierzytelniania.

3. Publikacja rekordu DMARC w DNS własnej domeny – można to zrobić osobiście albo korzystając z pomocy firmy, która dostarcza hosting DNS.

Polityka DMARC mówi jak postępować z wiadomościami e-mail wysyłanymi z danej domeny

Rekord DMARC – Schemat Działania

Jeśli domena i subdomeny mają prawidłowo skonfigurowany rekord DMARC, po wysłaniu maila schemat działania jest następujący:

  • serwer poczty przychodzącej używając DNS, sprawdza politykę DMARC ustaloną dla domeny nadawcy,
  • wiadomość e-mail oceniania jest następnie pod względem m.in. prawidłowości podpisu DKIM czy uwzględniania adresu IP nadawcy w rekordzie SPF,
  • po pomyślnej walidacji wiadomość przekazywana jest do skrzynki odbiorczej. Natomiast gdy jej nie przejdzie, to co się z nią stanie zależy już od polityki DMARC domeny nadawcy.

Schemat działania rekordu DMARC

Poszczególne Elementy DMARC

Jak wygląda wpis DMARC i co oznacza każdy z jego fragmentów? Omówmy wszystko w oparciu o następujący przykład:

„v=DMARC1;p=none;pct=100;rua=mailto:postmaster@dmarcdomain.com;
ruf=mailto:dmarc@dmarcdomain.com;rf=afrf”

  •  “v=DMARC1” to oznaczenie identyfikatora, którego szuka serwer odbierający; bez tego serwer nie uruchomi testu DMARC
  •  “p=….” informuje serwer odbierający, co zrobić z wiadomościami email, które nie przeszły testu DMARC. Mamy do czynienia z trzema politykami: none, quarantine i reject, o których więcej poniżej.

   -polityka „none” (nic): mówi odbiorcom wiadomości email o wysyłaniu raportów DMARC na adres opublikowany w tagach „rua” lub „ruf” rekordu DMARC; nie instruuje ona jednak odbiorców wiadomości, jak obsługiwać komunikaty email, które nie przejdą kontroli DMARC,

   -polityka „quarantine” (kwarantanna): ta polityka DMARC instruuje odbiorców wiadomości email, aby umieszczali wiadomości email, które nie przeszły kontroli DMARC, w folderze spamu; co więcej wysyłany jest raport DMARC,

   -polityka „reject” (odrzuć): oprócz wysyłania raportów DMARC, ta polityka całkowicie odrzuca wiadomości email, które nie przejdą kontroli DMARC.

  • “rua=mailto:postmaster@dmarcdomain.com”: ta część informuje serwer, gdzie należy wysłać zbiorcze raporty o awariach DMARC.
  • “ruf=mailto:dmarc@dmarcdomain.com”: dotyczy to raportów szczegółowych związanych z awariami DMARC: istnieje jeden wymóg dotyczący adresu email, a mianowicie: musi pochodzić z domeny, dla której publikowany jest rekord DMARC.
  • “rf=afrf”: po wybraniu adresu email, na który chcemy przesyłać raporty, powinniśmy wybrać rodzaj żądanego raportu. W takim przypadku rf = afrf oznacza zagregowany format raportowania awarii.
  • “pct=100”: ta część rekordu DMARC mówi serwerowi, jaki procent ich poczty powinien być poddany specyfikacjom polityki DMARC. Tłumacząc wpis powyżej, jeśli p = 100, 100% wiadomości, która nie przejdzie DMARC, zostanie odrzucona.

Raporty DMARC: Klasyfikacja

Możemy wyróżnić 2 typy raportów DMARC: zbiorcze oraz szczegółowe.

Raporty zbiorcze to dokumenty XML pokazujące dane o otrzymanych wiadomościach, które pochodzą z określonej domeny.

Z kolei raporty szczegółowe to pojedyncze kopie wiadomości, których uwierzytelnienie nie powiodło się, w specjalnym formacie o nazwie AFRF.

W raportach szczegółowych znajdziemy takie informacje, jak:

  • Temat wiadomości
  • Czas jej otrzymania
  • Adres IP
  • Wyniki uwierzytelnienia SPF, DKIM, DMARC
  • Domena From
  • Adres From
  • Message ID

Jakie Korzyści Daje Protokół DMARC?

DMARC to przede wszystkim zwiększona ochrona przed atakami typu phishing, m.in. poprzez zapewnienie pełnego wglądu w kanały, którymi dostarczana jest poczta e-mail. Oprócz tego DMARC:

  • wpływa korzystnie na reputację marki, zapewniając, że do skrzynek odbiorców trafiają tylko uzasadnione maile,
  • zmniejsza ilość wiadomości spam, zapobiegając docieraniu fałszywych wiadomości do odbiorców,
  • zwiększa dostarczalność wiadomości e-mail, jeśli zastosowanie protokołu jest poprawne,
  • zwiększa bezpieczeństwo, bo dzięki raportom łatwo wykryć i zidentyfikować osoby podszywające się pod użytkownika.

Wdrożenie protokołu DMARC niesie ze sobą szereg korzyści dla Twojej firmy

Zadbaj o Bezpieczeństwo Poczty E-mail z EmailLabs!

Zadaniem DMARC jest umożliwienie właścicielowi domeny weryfikacji czy ktoś nie wysyła fałszywych wiadomości e-mail w jego imieniu. Chroni go przed phishingiem oraz innymi cyberprzestępstwami. Warto pomyśleć o jego dodaniu, by uniknąć podszywania się przez oszustów pod daną domenę. Jest to szczególnie ważne dla wszystkich firm, a zwłaszcza tych, których działalność opiera się na e-biznesie.

Jeśli chcesz, mieć bezpieczną pocztę, z której maile transakcyjne i marketingowe skutecznie docierają do odbiorców, polecamy nasze usługi. Dysponujemy infrastrukturą serwerową umożliwiająca integrację z systemem wysyłkowym, który gwarantuje dostarczalność nawet do 98,8% wiadomości e-mail. Umożliwiają to integracje interfejsów Cloud SMTP i Email API RESTful z naszą infrastrukturą. Zapewniamy także bezpieczeństwo e-mail, stosując odpowiednie uwierzytelnienia, w tym DMARC. Jeśli potrzebujesz pomocy, aby dodać ten protokół, zapraszamy do kontaktu!

EmailLabs Team

EmailLabs Team

Jesteśmy grupą specjalistów zajmujących się tworzeniem merytorycznych i wciągających tekstów z zakresu maili i ich dostarczalności. Naszą wartością jest bycie częścią zespołu, który na co dzień tworzy usługę EmailLabs, dzięki czemu nasze treści w pełni odpowiadają na pytania i problemy naszych odbiorców. Masz jakieś pytania? Czekamy na Twoją wiadomość :)

Zobacz więcej wpisów autora

Załóż konto w EmailLabs już dziś

Zadbaj o najwyższą dostarczalność maili transakcyjnych, korzystając ze sprawdzonej infrastruktury!

left right

Najpopularniejsze

Najnowsze wpisy na blogu