DMARC: ochrona poczty e-mail

Co to jest DMARC? Jak działa? Jak włączyć DMARC i zabezpieczyć skrzynki e-mail? Wszystko, co warto wiedzieć.

Co to jest DMARC i jak dokładnie działa? Dlaczego warto oraz w jaki sposób wdrożyć tę technologię? W tym artykule znajdziesz odpowiedzi m.in. na te pytania oraz podstawowe informacje o funkcjonowaniu poczty elektronicznej. Zapoznaj się z nimi, aby podnieść bezpieczeństwo korzystania ze swojego maila.

🏆️ Zobacz ranking hostingów (Październik 2021)

Co to jest DMARC?

DMARC (ang. Domain-based Message Authentication, Reporting, and Conformance) to mechanizm wspierający uwierzytelnianie poczty elektronicznej, którego celem jest zabezpieczenie przed podszywaniem się pod nadawcę oraz raportowanie naruszeń.

Odbywa się to za pomocą poinformowania serwera poczty przychodzącej (a więc serwera, który obsługuje skrzynkę mailową adresata), o tym, co ma zrobić z wiadomością mailową, która została odrzucona przez SPF i DKIM

DMARC
Zasada działania DMARC (ilustracja)

Napisałem, że jest to mechanizm. Ogólnie DMARC należy rozumieć jako zbiór zasad, wobec których ma postępować serwer adresata wiadomości mailowej. DMARC nie jest oddzielnym protokołem uwierzytelniania, gdyż opiera się na protokołach uwierzytelniania SPF i DKIM. Można powiedzieć, że jest uzupełnieniem tych technologii.

Poczta elektroniczna – podstawowa teoria

Aby poznać dogłębniej temat DMARC, musisz posiadać wiedzę o kilku aspektach technicznych:

  • przede wszystkim artykuł ten przydatny jest dla osób lub firm, które korzystają z poczty elektronicznej we własnej domenie (a więc końcówka adresu e-mail po @ jest taka sama jak adres Twojej strony www). Najprawdopodobniej utrzymujesz swoją stronę internetową na jakimś hostingu, gdzie oprócz miejsca na dysku dla plików swojej witryny, otrzymałeś także możliwość tworzenia adresów pocztowych we własnej domenie
  • ważnym elementem technologii DMARC jest rekord w strefie DNS domeny. Już wyjaśniam: strefa DNS to miejsce, gdzie zapisane są różne zaawansowane konfiguracje Twojej domeny. Odbywa się to za pomocą rekordów. Każdy pojedynczy rekord, składający się z nazwy, typu i wartości odpowiada za jakąś funkcjonalność
  • za odbieranie i wysyłanie wiadomości pod kątem technicznym odpowiada serwer pocztowy. Nie musi być to osobny komputer. Najczęściej, w przypadku usług hostingowych, jest to osobne oprogramowanie zainstalowane na tym samym serwerze, gdzie znajduje się Twoja strona internetowa. Są dwa rodzaje serwerów: serwer poczty wychodzącej (odpowiada za wysyłanie wiadomości) oraz serwer poczty przychodzącej (zajmuje się odpowiednim odbieraniem wiadomości)
  • SPF (Sender Policy Framework) – mechanizm, który ma na celu weryfikację, czy wysyłana wiadomość mailowa pochodzi rzeczywiście od osoby, która ma prawo korzystać z danej domeny. Serwer poczty przychodzącej weryfikuje, sprawdzając odpowiedni wpis w strefie DNS domeny, z której została wysłana wiadomość, czy dany serwery poczty wychodzącej ma prawo wysyłać wiadomości dla tej domeny
  • DKIM (DomainKeys Identified Mail) – metoda uwierzytelniania poczty elektronicznej, poprzez dołączanie do nagłówka wiadomości podpisu cyfrowego, który został wygenerowany na podstawie klucza prywatnego. Serwer poczty przychodzącej weryfikuje podpis cyfrowy z użyciem klucza publicznego, zapisanego w rekordzie DNS domeny, z której został wysłany mail.

Jak to działa DMARC?

Przede wszystkim powinieneś dogłębnie zapoznać się z protokołami SPF i DKIM. W skrócie wygląda to tak, że:

  • serwer poczty przychodzącej sprawdza, czy istnieje rekord DMARC w strefie DNS domeny, która widnieje w adresie wysyłanego maila
  • jeśli rekord DMARC został znaleziony, sprawdzane zostają testy SPF i DKIM
  • następuje sprawdzanie “domain alignment”, tzn. czy przynajmniej jedna z domen uwierzytelnionych przez protokół DKIM lub SPF jest zgodna z domeną znajdującą się w polu “Od”, która widnieje w nagłówku wiadomości
  • jeśli wiadomość nie przeszła testów SPF lub DKIM, DMARC na podstawie polityki określonej w rekordzie DNS domeny, podejmuje jedno z określonych działań wobec przychodzącej wiadomości:
  • kieruje wiadomość do SPAMU odbiorcy
  • całkowicie usuwa wiadomość
  • dostarcz normalnie maila do skrzynki odbiorczej adresata
  • dodatkowo, co jest chyba jednym z najważniejszych elementów tego mechanizmu, DMARC wysyła raport do nadawcy wiadomości, informując o szczegółach zdarzenia, związanych z wysyłaniem danego maila.

To, w jaki sposób DMARC się zachowa, w przypadku niepowodzenia DKIM i SPF, zależy właśnie od rekordu DMARC w strefie DNS.

Jak włączyć DMARC?

Wdrożenie DMARC polega w praktyce na prawidłowym wpisie do strefy DNS – należy utworzyć odpowiedni rekord:

Zacznij od sprawdzenia, czy taki rekord widnieje już w strefie DNS Twojej domeny. Być może dostawca usług hostingowych już go skonfigurował i Ty nie musisz nic robić. Takie sprawdzenie może nastąpić na kilka sposobów, 2 najpopularniejsze z nich to:

  1. Zaloguj się do panelu administracyjnego serwera i odnajdź konfigurację strefy DNS. Zobacz, czy znajduje się tam rekord o typie TXT, który w swojej wartości ma fragment “DMARC”.
  2. Skorzystaj z narzędzi na Twoim komputerze z zainstalowanym systemem Windows, Linux lub macOS. W windowsie przejdź do wiersza poleceń (CMD) i wpisz komendę: nslookup -type=txt _dmarc.nazwatwojejdomeny.pl. Użytkownicy Linuxa lub macOS wpisują w terminalu: dig txt _dmarc.nazwatwojejdomeny.pl. Uzyskasz listę rekordów o typie TXT, gdzie również powinieneś sprawdzić, czy istnieje taki, który w swojej wartości posiada DMARC.

Jeżeli rekord DMARC istnieje, nie musisz praktycznie nic robić, wystarczy, że sprawdzisz jaką ma wartość – jak jest skonfigurowany.

W przypadku, gdy rekord DMARC nie został odnaleziony, powinieneś go utworzyć z panelu administracyjnego wykupionego przez Ciebie hostingu:

  • w nazwie możesz wpisać: _dmarc
  • typ: TXT
  • wartość, np. v=DMARC1; p=quarantine; sp=reject; rua=mailto:[email protected]

Wartość rekordu DMARC składa się z różnych parametrów, które ogólnie określamy jako identyfikatory. Występują identyfikatory wymagane (a więc takie, które musisz podać – bez nich DMARC nie zadziała) oraz opcjonalne (nie musisz ich wpisywać, odpowiadają za bardziej zaawansowane funkcje)

Identyfikatory wymagane:

  • v=DMARC1 – to początek, który określa, że chodzi o rekord DMARC. Jeśli ten zapis będzie wyglądać inaczej, wówczas DMARC nie zadziała
  • p= – ta wartość mówi Ci, co ma zrobić serwer poczty adresata, z mailami, które nie przeszły kontroli DMARC. Dozwolone są następujące wartości:
    • none – nie wpływa na dostarczenie maila, tylko zbiera informacje. O tym, czy mail zostanie dostarczony zdecydują inne ustawienia serwera poczty przychodzącej
    • quarantine – mail trafia do kwarantanny, jest uznawany za podejrzany, w praktyce najprawdopodobniej wyląduje w skrzynce SPAM adresata
    • reject – całkowite odrzucenie wiadomości, odbiorca nie otrzyma maila

Najpopularniejsze identyfikatory opcjonalne:

  • rua= – wpisujesz tu adresy mailowe, na które będą przesyłane raporty o wiadomościach, które nie przeszły weryfikacji DMARC. Są to tzw. raporty zbiorcze (aggregate reports)
  • ruf= – tu wpisujesz adresy mailowe, na które przychodzić będą kopie niedostarczonych wiadomości. Są to bardziej szczegółowe raporty, określane jako forensic reports.
  • sp= – to samo co p, ale dotyczy szczegółowej polityki dla subdomen. Możesz np. dla domeny głównej określić none, ale już dla subdomen reject
  • ri= – wartość określająca częstotliwość dostarczania raportów rua

Istnieją jeszcze inne identyfikatory opcjonalne, możesz zapoznać się z nimi na stronie dmarc.org

Raporty DMARC

Tak jak widzisz po konfiguracji rekordu DMARC w strefie DNS domeny, zawiera ona identyfikatory, w których wpisywane są adresy mailowe. To właśnie na te skrzynki otrzymywać możesz raporty, które będą zawierać sporo informacji o tym, czy ktoś próbuje wysyłać maile, podszywając się pod Twoją domenę. 

Oprócz czystej informacji, dzięki tym raportom będziesz mógł lepiej konfigurować zabezpieczenia twoich skrzynek mailowych. Zobaczysz, czy np. niektóre Twoje wiadomości niepotrzebnie zostały oznaczone jako SPAM. Dzięki temu będziesz mógł zmienić konfigurację DMARC, aby Twoje maile nie trafiały np. do SPAMU adresatów.

Dlaczego warto stosować DMARC?

Przede wszystkim DMARC chroni Cię przed phishingiem, a więc podszywaniem się pod Twoją osobę czy firmę. Chodzi o to, aby zabezpieczyć się jak najlepiej, by nikt nie wysłał maila w Twoim imieniu, lub mówiąc inaczej: by takie maile były odrzucane przez serwery poczty przychodzącej i nie trafiały do odbiorców.

Ogólne zalety stosowania DMARC:

  • bardzo proste wdrożenie (wystarczy podstawowa wiedza z zakresu dodawania rekordów do strefy DNS domeny)
  • jest to darmowa technologia
  • świetnie uzupełnia protokoły DKIM i SPF
  • dzięki raportom otrzymasz informacje, czy w ogóle ktoś próbuje podszywać się pod Twoją firmę czy osobę i ewentualnie, jakiej treści są to wiadomości
  • ochrona przed tym, aby Twoje wiadomości niepotrzebnie nie trafiały do skrzynki SPAM adresatów. Ma to ważne znaczenie biznesowe. Wyobraź sobie, że Twój ważny kontrahent nie otrzyma Twoje wiadomości, gdyż serwer poczty przychodzącej po stronie adresata odrzucił wiadomość, np. z powodu błędnej konfiguracji któregoś z protokołów, odpowiedzialnych za uwierzytelnianie poczty e-mail.

Podsumowanie

Wiesz, jak powinien wyglądać rekord DMARC, a więc w praktyce powinieneś wdrożyć samodzielnie taką technologię (oczywiście, gdy jeszcze nie została wdrożona – niektórzy dostawcy hostingowi domyślnie ją instalują). Jeżeli nie czujesz się na siłach i nie posiadasz wystarczającej wiedzy technicznej, możesz zlecić komuś takie zadanie lub napisać do obsługi hostingu i poprosić o włączenie DMARC.

Mechanizm DMARC, w połączeniu z protokołami DKIM i SPF pozwoli Ci na zapewnienie lepszej ochrony dla Twojego biznesu – często korespondencja mailowa jest podstawą utrzymywania kontaktów biznesowych i przeprowadzania różnych transakcji. Warto to także wdrożyć, jeśli jesteś właścicielem np. bloga internetowego i korespondujesz ze swoimi odbiorcami.

Pamiętaj, że każdy sposób, aby walczyć z cyberprzestępcami i oszustami, zmniejsza prawdopodobieństwo, że zostaniesz w jakikolwiek sposób oszukany.

Szukasz bezpiecznego hostingu z DMARC dla swoich stron WWW? Zobacz ranking hostingów, w którym znajdziesz oferty firm sprawdzonych pod kątem korzystania z SPF, DKIM i DMARC.

Każdy z hostingów w tym zestawieniu został przeze mnie gruntownie przetestowany i zrecenzowany, aby upewnić się, że polecam wyłącznie bezpieczne, sprawdzone i pewne rozwiązania. Zapraszam.