DMARC (Domain-based Message Authentication, Reporting, and Conformance) je emailová autentizační technologie, která pomáhá organizacím chránit své domény před zneužitím, jako je phishing a spoofing. DMARC kombinuje a využívá standardy SPF (Sender Policy Framework) a DKIM (DomainKeys Identified Mail) a přidává k nim možnosti reportování a zásad pro zacházení s emaily, které selžou při ověřování.
Základní principy DMARC
1. SPF a DKIM jako základ
DMARC vyžaduje, aby byly správně nastaveny a používány mechanismy SPF a DKIM. SPF ověřuje IP adresu odesílatele, zatímco DKIM ověřuje podpis v hlavičce emailu. Oba tyto standardy poskytují základní vrstvu ověřování, na které DMARC staví.
2. Tagy DMARC záznamu
DMARC záznam je publikovaný v DNS záznamech domény a obsahuje několik klíčových tagů:
- v=DMARC1: Verze DMARC záznamu.
- p=: Zásady pro zacházení s emaily, které neprošly ověřením (none, quarantine, reject).
- rua=: Adresa pro zasílání agregovaných reportů.
- ruf=: Adresa pro zasílání forenzních reportů.
- pct=: Procento emailů, na které se mají zásady aplikovat.
- adkim=: Zpřísnění pro vyhodnocení DKIM (s - strict, r - relaxed).
- aspf=: Zpřísnění pro vyhodnocení SPF (s - strict, r - relaxed).
Nastavení politiky DMARC
1. Žádné akce (p=none)
Toto je počáteční fáze implementace DMARC, kdy jsou emaily, které selhají v ověření, pouze reportovány, ale nejsou jinak zpracovávány nebo omezovány. Toto nastavení se doporučuje na začátku nasazení DMARC pro sběr dat a analýzu.
2. Karanténa (p=quarantine)
V této fázi jsou emaily, které selžou v ověření, přesměrovány do karantény (například do složky spam). Toto nastavení je střední cestou, která umožňuje organizacím postupně zvyšovat rigoroznost své emailové politiky.
3. Odmítnutí (p=reject)
Nejstriktnější nastavení DMARC. Emaily, které selhají v ověření, jsou kompletně odmítnuty a nejsou doručeny příjemci. Toto nastavení se doporučuje po důkladné analýze a testování, aby nedošlo k nežádoucímu odmítnutí legitimních emailů.
Výhody a rizika DMARC
Výhody
- Zvýšení důvěryhodnosti emailů od dané domény.
- Ochrana značky a uživatelů před phishingovými a spoofingovými útoky.
- Lepší viditelnost a kontrola nad emailovou komunikací díky reportům.
Rizika
- Přísné nastavení bez dostatečného testování může vést k odmítnutí legitimních emailů.
- Potřeba správné konfigurace SPF a DKIM, aby DMARC efektivně fungoval.
DMARC je významným nástrojem v boji proti zneužití emailových domén. Při správném nastavení a postupné implementaci může výrazně zlepšit bezpečnost a důvěryhodnost emailové komunikace. Klíčem je pečlivá příprava, testování a průběžná analýza reportů pro optimalizaci nastavení.