PORADNIKI

7 min. czytania

DMARC: ochrona poczty e-mail

Poczta e-mail

Fot. Freepik

Co to jest DMARC? Jak dzia┼éa? Jak w┼é─ůczy─ç DMARC i zabezpieczy─ç skrzynki e-mail? Wszystko, co warto wiedzie─ç.

Spis tre┼Ťci
E-mail

Co to jest DMARC i jak dok┼éadnie dzia┼éa? Dlaczego warto oraz w jaki spos├│b wdro┼╝y─ç t─Ö technologi─Ö? W tym artykule znajdziesz odpowiedzi m.in. na te pytania oraz podstawowe informacje o funkcjonowaniu poczty elektronicznej. Zapoznaj si─Ö z nimi, aby podnie┼Ť─ç bezpiecze┼ästwo korzystania ze swojego maila.

Co to jest DMARC?

DMARC (ang. Domain-based Message Authentication, Reporting, and Conformance) to mechanizm wspieraj─ůcy uwierzytelnianie poczty elektronicznej, kt├│rego celem jest zabezpieczenie przed podszywaniem si─Ö pod nadawc─Ö oraz raportowanie narusze┼ä.

Odbywa si─Ö to za pomoc─ů poinformowania serwera poczty przychodz─ůcej (a wi─Öc serwera, kt├│ry obs┼éuguje skrzynk─Ö mailow─ů adresata), o tym, co ma zrobi─ç z wiadomo┼Ťci─ů mailow─ů, kt├│ra zosta┼éa odrzucona przez SPF i DKIM

DMARC
Zasada działania DMARC (ilustracja)

Napisa┼éem, ┼╝e jest to mechanizm. Og├│lnie DMARC nale┼╝y rozumie─ç jako zbi├│r zasad, wobec kt├│rych ma post─Öpowa─ç serwer adresata wiadomo┼Ťci mailowej. DMARC nie jest oddzielnym protoko┼éem uwierzytelniania, gdy┼╝ opiera si─Ö na protoko┼éach uwierzytelniania SPF i DKIM. Mo┼╝na powiedzie─ç, ┼╝e jest uzupe┼énieniem tych technologii.

Poczta elektroniczna ÔÇô podstawowa teoria

Aby poznać dogłębniej temat DMARC, musisz posiadać wiedzę o kilku aspektach technicznych:

  • przede wszystkim artyku┼é ten przydatny jest dla os├│b lub firm, kt├│re korzystaj─ů z poczty elektronicznej we w┼éasnej domenie (a wi─Öc ko┼äc├│wka adresu e-mail po @ jest taka sama jak adres Twojej strony www). Najprawdopodobniej utrzymujesz swoj─ů stron─Ö internetow─ů na jakim┼Ť hostingu, gdzie opr├│cz miejsca na dysku dla plik├│w swojej witryny, otrzyma┼ée┼Ť tak┼╝e mo┼╝liwo┼Ť─ç tworzenia adres├│w pocztowych we w┼éasnej domenie
  • wa┼╝nym elementem technologii DMARC jest rekord w strefie DNS domeny. Ju┼╝ wyja┼Ťniam: strefa DNS to miejsce, gdzie zapisane s─ů r├│┼╝ne zaawansowane konfiguracje Twojej domeny. Odbywa si─Ö to za pomoc─ů rekord├│w. Ka┼╝dy pojedynczy rekord, sk┼éadaj─ůcy si─Ö z nazwy, typu i warto┼Ťci odpowiada za jak─ů┼Ť funkcjonalno┼Ť─ç
  • za odbieranie i wysy┼éanie wiadomo┼Ťci pod k─ůtem technicznym odpowiada serwer pocztowy. Nie musi by─ç to osobny komputer. Najcz─Ö┼Ťciej, w przypadku us┼éug hostingowych, jest to osobne oprogramowanie zainstalowane na tym samym serwerze, gdzie znajduje si─Ö Twoja strona internetowa. S─ů dwa rodzaje serwer├│w: serwer poczty wychodz─ůcej (odpowiada za wysy┼éanie wiadomo┼Ťci) oraz serwer poczty przychodz─ůcej (zajmuje si─Ö odpowiednim odbieraniem wiadomo┼Ťci)
  • SPF (Sender Policy Framework) ÔÇô mechanizm, kt├│ry ma na celu weryfikacj─Ö, czy wysy┼éana wiadomo┼Ť─ç mailowa pochodzi rzeczywi┼Ťcie od osoby, kt├│ra ma prawo korzysta─ç z danej domeny. Serwer poczty przychodz─ůcej weryfikuje, sprawdzaj─ůc odpowiedni wpis w strefie DNS domeny, z kt├│rej zosta┼éa wys┼éana wiadomo┼Ť─ç, czy dany serwery poczty wychodz─ůcej ma prawo wysy┼éa─ç wiadomo┼Ťci dla tej domeny
  • DKIM (DomainKeys Identified Mail) ÔÇô metoda uwierzytelniania poczty elektronicznej, poprzez do┼é─ůczanie do nag┼é├│wka wiadomo┼Ťci podpisu cyfrowego, kt├│ry zosta┼é wygenerowany na podstawie klucza prywatnego. Serwer poczty przychodz─ůcej weryfikuje podpis cyfrowy z u┼╝yciem klucza publicznego, zapisanego w rekordzie DNS domeny, z kt├│rej zosta┼é wys┼éany mail.

Jak to działa DMARC?

Przede wszystkim powiniene┼Ť dog┼é─Öbnie zapozna─ç si─Ö z protoko┼éami SPF i DKIM. W skr├│cie wygl─ůda to tak, ┼╝e:

  • serwer poczty przychodz─ůcej sprawdza, czy istnieje rekord DMARC w strefie DNS domeny, kt├│ra widnieje w adresie wysy┼éanego maila
  • je┼Ťli rekord DMARC zosta┼é znaleziony, sprawdzane zostaj─ů testy SPF i DKIM
  • nast─Öpuje sprawdzanie ÔÇťdomain alignmentÔÇŁ, tzn. czy przynajmniej jedna z domen uwierzytelnionych przez protok├│┼é DKIM lub SPF jest zgodna z domen─ů znajduj─ůc─ů si─Ö w polu ÔÇťOdÔÇŁ, kt├│ra widnieje w nag┼é├│wku wiadomo┼Ťci
  • je┼Ťli wiadomo┼Ť─ç nie przesz┼éa test├│w SPF lub DKIM, DMARC na podstawie polityki okre┼Ťlonej w rekordzie DNS domeny, podejmuje jedno z okre┼Ťlonych dzia┼éa┼ä wobec przychodz─ůcej wiadomo┼Ťci:
  • kieruje wiadomo┼Ť─ç do SPAMU odbiorcy
  • ca┼ékowicie usuwa wiadomo┼Ť─ç
  • dostarcz normalnie maila do skrzynki odbiorczej adresata
  • dodatkowo, co jest chyba jednym z najwa┼╝niejszych element├│w tego mechanizmu, DMARC wysy┼éa raport do nadawcy wiadomo┼Ťci, informuj─ůc o szczeg├│┼éach zdarzenia, zwi─ůzanych z wysy┼éaniem danego maila.

To, w jaki spos├│b DMARC si─Ö zachowa, w przypadku niepowodzenia DKIM i SPF, zale┼╝y w┼éa┼Ťnie od rekordu DMARC w strefie DNS.

Jak w┼é─ůczy─ç DMARC?

Wdro┼╝enie DMARC polega w praktyce na prawid┼éowym wpisie do strefy DNS ÔÇô nale┼╝y utworzy─ç odpowiedni rekord:

Zacznij od sprawdzenia, czy taki rekord widnieje ju┼╝ w strefie DNS Twojej domeny. By─ç mo┼╝e dostawca us┼éug hostingowych ju┼╝ go skonfigurowa┼é i Ty nie musisz nic robi─ç. Takie sprawdzenie mo┼╝e nast─ůpi─ç na kilka sposob├│w, 2 najpopularniejsze z nich to:

  1. Zaloguj si─Ö do panelu administracyjnego serwera i odnajd┼║ konfiguracj─Ö strefy DNS. Zobacz, czy znajduje si─Ö tam rekord o typie TXT, kt├│ry w swojej warto┼Ťci ma fragment ÔÇťDMARCÔÇŁ.
  2. Skorzystaj z narz─Ödzi na Twoim komputerze z zainstalowanym systemem Windows, Linux lub macOS. W windowsie przejd┼║ do wiersza polece┼ä (CMD) i wpisz komend─Ö: nslookup -type=txt _dmarc.nazwatwojejdomeny.pl. U┼╝ytkownicy Linuxa lub macOS wpisuj─ů w terminalu: dig txt _dmarc.nazwatwojejdomeny.pl. Uzyskasz list─Ö rekord├│w o typie TXT, gdzie r├│wnie┼╝ powiniene┼Ť sprawdzi─ç, czy istnieje taki, kt├│ry w swojej warto┼Ťci posiada DMARC.

Je┼╝eli rekord DMARC istnieje, nie musisz praktycznie nic robi─ç, wystarczy, ┼╝e sprawdzisz jak─ů ma warto┼Ť─ç ÔÇô jak jest skonfigurowany.

W przypadku, gdy rekord DMARC nie zosta┼é odnaleziony, powiniene┼Ť go utworzy─ç z panelu administracyjnego wykupionego przez Ciebie hostingu:

  • w nazwie mo┼╝esz wpisa─ç: _dmarc
  • typ: TXT
  • warto┼Ť─ç, np. v=DMARC1; p=quarantine; sp=reject; rua=mailto:twojaskrzynka@nazwatwojejdomeny.pl

Warto┼Ť─ç rekordu DMARC sk┼éada si─Ö z r├│┼╝nych parametr├│w, kt├│re og├│lnie okre┼Ťlamy jako identyfikatory. Wyst─Öpuj─ů identyfikatory wymagane (a wi─Öc takie, kt├│re musisz poda─ç ÔÇô bez nich DMARC nie zadzia┼éa) oraz opcjonalne (nie musisz ich wpisywa─ç, odpowiadaj─ů za bardziej zaawansowane funkcje)

Identyfikatory wymagane:

  • v=DMARC1 ÔÇô to pocz─ůtek, kt├│ry okre┼Ťla, ┼╝e chodzi o rekord DMARC. Je┼Ťli ten zapis b─Ödzie wygl─ůda─ç inaczej, w├│wczas DMARC nie zadzia┼éa
  • p= ÔÇô ta warto┼Ť─ç m├│wi Ci, co ma zrobi─ç serwer poczty adresata, z mailami, kt├│re nie przesz┼éy kontroli DMARC. Dozwolone s─ů nast─Öpuj─ůce warto┼Ťci:
    • none ÔÇô nie wp┼éywa na dostarczenie maila, tylko zbiera informacje. O tym, czy mail zostanie dostarczony zdecyduj─ů inne ustawienia serwera poczty przychodz─ůcej
    • quarantine ÔÇô mail trafia do kwarantanny, jest uznawany za podejrzany, w praktyce najprawdopodobniej wyl─ůduje w skrzynce SPAM adresata
    • reject ÔÇô ca┼ékowite odrzucenie wiadomo┼Ťci, odbiorca nie otrzyma maila

Najpopularniejsze identyfikatory opcjonalne:

  • rua= ÔÇô wpisujesz tu adresy mailowe, na kt├│re b─Öd─ů przesy┼éane raporty o wiadomo┼Ťciach, kt├│re nie przesz┼éy weryfikacji DMARC. S─ů to tzw. raporty zbiorcze (aggregate reports)
  • ruf= ÔÇô tu wpisujesz adresy mailowe, na kt├│re przychodzi─ç b─Öd─ů kopie niedostarczonych wiadomo┼Ťci. S─ů to bardziej szczeg├│┼éowe raporty, okre┼Ťlane jako forensic reports.
  • sp= ÔÇô to samo co p, ale dotyczy szczeg├│┼éowej polityki dla subdomen. Mo┼╝esz np. dla domeny g┼é├│wnej okre┼Ťli─ç none, ale ju┼╝ dla subdomen reject
  • ri= ÔÇô warto┼Ť─ç okre┼Ťlaj─ůca cz─Östotliwo┼Ť─ç dostarczania raport├│w rua

Istniej─ů jeszcze inne identyfikatory opcjonalne, mo┼╝esz zapozna─ç si─Ö z nimi na stronie dmarc.org

Raporty DMARC

Tak jak widzisz po konfiguracji rekordu DMARC w strefie DNS domeny, zawiera ona identyfikatory, w kt├│rych wpisywane s─ů adresy mailowe. To w┼éa┼Ťnie na te skrzynki otrzymywa─ç mo┼╝esz raporty, kt├│re b─Öd─ů zawiera─ç sporo informacji o tym, czy kto┼Ť pr├│buje wysy┼éa─ç maile, podszywaj─ůc si─Ö pod Twoj─ů domen─Ö. 

Opr├│cz czystej informacji, dzi─Öki tym raportom b─Ödziesz m├│g┼é lepiej konfigurowa─ç zabezpieczenia twoich skrzynek mailowych. Zobaczysz, czy np. niekt├│re Twoje wiadomo┼Ťci niepotrzebnie zosta┼éy oznaczone jako SPAM. Dzi─Öki temu b─Ödziesz m├│g┼é zmieni─ç konfiguracj─Ö DMARC, aby Twoje maile nie trafia┼éy np. do SPAMU adresat├│w.

Dlaczego warto stosowa─ç DMARC?

Przede wszystkim DMARC chroni Ci─Ö przed phishingiem, a wi─Öc podszywaniem si─Ö pod Twoj─ů osob─Ö czy firm─Ö. Chodzi o to, aby zabezpieczy─ç si─Ö jak najlepiej, by nikt nie wys┼éa┼é maila w Twoim imieniu, lub m├│wi─ůc inaczej: by takie maile by┼éy odrzucane przez serwery poczty przychodz─ůcej i nie trafia┼éy do odbiorc├│w.

Og├│lne zalety stosowania DMARC:

  • bardzo proste wdro┼╝enie (wystarczy podstawowa wiedza z zakresu dodawania rekord├│w do strefy DNS domeny)
  • jest to darmowa technologia
  • ┼Ťwietnie uzupe┼énia protoko┼éy DKIM i SPF
  • dzi─Öki raportom otrzymasz informacje, czy w og├│le kto┼Ť pr├│buje podszywa─ç si─Ö pod Twoj─ů firm─Ö czy osob─Ö i ewentualnie, jakiej tre┼Ťci s─ů to wiadomo┼Ťci
  • ochrona przed tym, aby Twoje wiadomo┼Ťci niepotrzebnie nie trafia┼éy do skrzynki SPAM adresat├│w. Ma to wa┼╝ne znaczenie biznesowe. Wyobra┼║ sobie, ┼╝e Tw├│j wa┼╝ny kontrahent nie otrzyma Twoje wiadomo┼Ťci, gdy┼╝ serwer poczty przychodz─ůcej po stronie adresata odrzuci┼é wiadomo┼Ť─ç, np. z powodu b┼é─Ödnej konfiguracji kt├│rego┼Ť z protoko┼é├│w, odpowiedzialnych za uwierzytelnianie poczty e-mail.

Podsumowanie

Wiesz, jak powinien wygl─ůda─ç rekord DMARC, a wi─Öc w praktyce powiniene┼Ť wdro┼╝y─ç samodzielnie tak─ů technologi─Ö (oczywi┼Ťcie, gdy jeszcze nie zosta┼éa wdro┼╝ona ÔÇô niekt├│rzy dostawcy hostingowi domy┼Ťlnie j─ů instaluj─ů). Je┼╝eli nie czujesz si─Ö na si┼éach i nie posiadasz wystarczaj─ůcej wiedzy technicznej, mo┼╝esz zleci─ç komu┼Ť takie zadanie lub napisa─ç do obs┼éugi hostingu i poprosi─ç o w┼é─ůczenie DMARC.

Mechanizm DMARC, w po┼é─ůczeniu z protoko┼éami DKIM i SPF pozwoli Ci na zapewnienie lepszej ochrony dla Twojego biznesu ÔÇô cz─Östo korespondencja mailowa jest podstaw─ů utrzymywania kontakt├│w biznesowych i przeprowadzania r├│┼╝nych transakcji. Warto to tak┼╝e wdro┼╝y─ç, je┼Ťli jeste┼Ť w┼éa┼Ťcicielem np. bloga internetowego i korespondujesz ze swoimi odbiorcami.

Pamiętaj, że każdy sposób, aby walczyć z cyberprzestępcami i oszustami, zmniejsza prawdopodobieństwo, że zostaniesz w jakikolwiek sposób oszukany.

Zobacz też: Hosting poczty e-mail we własnej domenie