DMARC-kirje seadistamine
DMARC ühendab SPF-i ja DKIM-i ning ütleb vastuvõtvale serverile, mida teha kirjaga, mis kontrollist läbi ei lähe — jälgida, karantiini suunata või tagasi lükata. Samuti saadab see sulle raporteid domeeni väärkasutuse kohta. See juhend näitab, kuidas DMARC turvaliselt seadistada: jälgimisest alustades kuni täieliku jõustamiseni.
Mis on DMARC-kirje?
DMARC (Domain-based Message Authentication, Reporting and Conformance) on DNS TXT-kirje nimega _dmarc.sinudomeen.ee. See ütleb vastuvõtvale postiserverile, mida teha kirjaga, mis ei läbi SPF- ega DKIM-kontrolli, ja kuhu saata raportid.
Ilma DMARC-ita võib igaüks saata kirju sinu nime alt ja vastuvõtja ei tea, et need on võltsitud. Suured postiteenused (Google, Yahoo, Microsoft) eeldavad DMARC-i üha rangemalt — masspostitajatele on see juba kohustuslik.
Kuidas DMARC-kirje seadistada
- Veendu, et SPF ja DKIM töötavad. DMARC tugineb neile. Kui SPF-kirje puudub, seadista esmalt see.
- Alusta jälgimisest. Esimene kirje kasutab poliitikat
p=none— see ei blokeeri veel midagi, aga kogub raportid selle kohta, kes su domeeni nimel kirju saadab. Nii näed enne jõustamist, kas kõik seaduslikud saatjad on korras. - Lisa TXT-kirje nimele
_dmarc. Määra vähemalt poliitika ja raportiaadress (rua). - Analüüsi raporteid. Paari nädala pärast vaata üle, kes saadab. Kui kõik seaduslikud saatjad läbivad SPF/DKIM-i, sea poliitikaks
p=quarantine(kahtlased karantiini) ja hiljemp=reject(võltsitud tagasi lükata). - Kontrolli tulemust e-posti auditiga ja veendu, et poliitika on jõustatud.
Alustuskirje (jälgimine, ei blokeeri veel midagi):
_dmarc.sinudomeen.ee. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@sinudomeen.ee"
Jõustatud kirje pärast jälgimisperioodi:
_dmarc.sinudomeen.ee. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@sinudomeen.ee; adkim=s; aspf=s"
Poliitikad: none, quarantine, reject
p=none— ainult jälgib. Kirju ei blokeerita, aga saad raportid. Õige koht alustamiseks, vale koht püsivalt peatuda.p=quarantine— kahtlased karantiini. Kirjad, mis kontrollist läbi ei lähe, suunatakse rämpskasti.p=reject— võltsitud tagasi. Rangeim ja soovitatuim lõppseisund: läbikukkunud kirjad ei jõua adressaadini üldse.
Levinud vead
- Jäädakse
p=nonejuurde. Jälgimine üksi ei kaitse kedagi. Eesmärk on jõudaquarantine- võireject-poliitikani. - Vale kirje nimi. DMARC-kirje peab olema täpselt
_dmarc.sinudomeen.ee, mitte juurdomeenil. - Puudub
rua. Ilma raportiaadressita ei näe sa, kes su domeeni kasutab — jõustamine muutub pimedaks hüppeks. - Range kooskõla liiga vara.
adkim=s; aspf=snõuab täpset domeenivastet; lülita sisse alles siis, kui raportid kinnitavad, et saatjad on korras.
Tasuta e-posti audit näitab su domeeni DMARC-poliitikat, kontrollib SPF-i ja DKIM-i kooskõla ning koostab sulle sobiva DMARC-kirje.
Kontrolli oma DMARC-kirjetVirtuaal.com klientidele
Kui su domeen ja e-post on Virtuaal.com-i juures, saad kirjed lisada majutuse haldusliidesest. Samm-sammult juhised leiad Virtuaal.com-i abikeskusest.
Seotud juhendid
Korduma kippuvad küsimused
Kuidas DMARC-i seadistada?
Lisa DNS-i TXT-kirje nimega _dmarc.sinudomeen.ee. Alusta poliitikaga p=none (ainult jälgimine) ja raportiaadressiga rua=mailto:..., analüüsi paar nädalat raporteid ning liigu siis p=quarantine- ja p=reject-poliitikale. dns.vork.ee e-posti auditis on kirjegeneraator, mis koostab sobiva DMARC-kirje sinu eest.
Mis vahe on p=none, p=quarantine ja p=reject vahel?
p=none ainult jälgib ega blokeeri midagi — sobib alustamiseks. p=quarantine suunab kontrollist läbi kukkunud kirjad rämpskasti. p=reject lükkab need täielikult tagasi. Soovitatav lõppseisund on p=reject, kuhu liigud alles siis, kui raportid kinnitavad, et kõik seaduslikud saatjad on korras.
Kas DMARC üksi kaitseb domeeni võltsimise eest?
DMARC tugineb SPF-ile ja DKIM-ile — kõik kolm töötavad koos. DMARC ütleb, mida teha kirjaga, mis SPF- või DKIM-kontrolli läbi ei lähe. Ilma korrektse SPF-ita (ja soovitatavalt DKIM-ita) ei ole DMARC-il millelegi tugineda.