Despre DMARC

Ce este DMARC ?
DMARC, cunoscut si sub numele de Domain-based Message Authentification, Reporting and Conformance, este o forma de autentificare a mail-ului care se construieste pe un protocol existent de autentificare. Aceste protocoale de autentificare joaca un rol important in protejarea utilizatorilor impotriva continuturilor malitioase sau mail-urilor de tip spam.

DMARC permite unui utilizator care a primit un mail sa confirme faptul ca mail-ul vine cu siguranta de la persoana care detine adresa respectiva de mail si nu este doar un alt mesaj de spam sau un atac de tip phishing. Aceasta metoda previne spammerilor sa trimita versiuni impersonate a campului din header-ului mail-ului de “from”. (mail-ul de la care vad utilizatorii ca vine mail-ul).

DMARC combina practic alte doua tipuri de autentificare a mail-urilor: SPF si DKIM. El asigura ca primitorul mail-ului blocheaza orice fel de mail-uri frauduloase care pot veni de la un anumit domeniu.





Cum functioneaza DMARC?

Ca orice alta metoda de autentificarea a mail-urilor, persoana care trimite mail-ul publica o politica DMARC in server-ul lor DNS. Un server DNS in principiu traduce un domeniu (de exemplu hosterion.ro) intr-o adresa de IP pentru a gasi site-ul corect.

In politica DMARC, persoana care trimite mail-ul, specifica cum este autentificat mail-ul si ce ar trebui sa faca server-ul care primeste mail-ul cu acel mesaj daca politica nu este respectata.

Cand un mesaj ajunge pe un server de mail, server-ul verifica politica DMARC pentru domeniu in campul de header a mail-ului dupa care inspecteaza semnatura DKIM si SPF-ul mesajului. Pentru a putea trece si testul DMARC-ului, mesajul trebuie sa trimita atat semnatura DKIM cat si SPF-ul si macar una din cele doua metode de autentificare sa treaca testul supus de server-ul de mail.

Ce inseamna mai exact sa treaca testul server-ului de mail? Pentru un SPF de exemplu, mail-ul de returnare cat si mail-ul de pe care a fost trimis (campurile envelope from si from) trebuie sa se potriveasca. Pentru a trece testul DKIM, trebuie sa se potriveasca campul din semnatura DKIM d=domeniu si domeniul din campul from al mesajului.

Daca mesajul nu trece testul DMARC, politica implementata spune server-ului care a primit mesajului ce sa faca cu el. In functie de cum este setat DMARC, mail-ul poate fi bagat intr-o carantina (un alt folder decat inbox, de exemplu folder-ul SPAM) sau sa fie respins in totalitate.

Cum verificam DMARC-ul?

Aceste metode de autentificare a mail-urilor pot fi verificate folosind utilitare online https://mxtoolbox.com/dmarc.aspx

Pentru a modifica/adauga/genera sau sterge o inregistrare DKIM, SPF sau DMARC pentru un domeniu gazduit la Hosterion pe un pachet de shared hosting puteti intra in cPanel -> Zone Editor.





Cum arata un record DMARC?

Un record DMARC este un TXT record specific pe care il gasim in zona DNS a domeniului. Acesta arata de obicei ceva asemanator cu:

v=DMARC1; p=none; sp=none; ruf=mailto:support@hosterion.ro; rf=afrf; pct=100; ri=86400

Pentru a clarifica urmeaza sa explicam fiecare bucata de informatie din acest DMARC:

  • v=DMARC1 - versiunea de protocol folosita de DMARC, trebuie sa fie trecuta prima tot timpul.
  • p=none - politica record-ului DMARC pentru domeniu, aceasta spune server-ului primitor ce sa faca cu mail-ul si poate avea urmatoarele valori: none, quarantine sau reject
  • sp=none - politica record-ului DMARC pentru subdomenii, aceasta spune server-ului primitor ce sa faca cu mail-urile care nu trec testul DMARC primite de la un subdomeniu si poate avea urmatoarele valori: none, quarantine sau reject
  • ruf=mailto:email@domeniu.ro - adresele de email catre care sunt trimise informatii legate de raporturile mesajelor care nu au trecut aceasta verificare, aici se pot trece mai multe adrese separate cu virgula
  • rf=afrf - formatul care este folosit pentru mesajele de tip raport trimise in cazul in care mail-urile nu au trecut verificarea DMARC, valorile pot fi afrf si iodef
  • pct=100 - procentul de mesaje trimise de la domeniu care trebuie verificate de politica DMARC, aici orice valoare intre 0 si 100 este corecta
  • ri=86400 - indica o cerere catre primitori pentru a genera rapoarte legat de mail-urile primite, valoarea poate fi orice numar de tip int pe 32 de biti.

Mai sunt cateva tag-uri pe care le putem folosi care nu sunt prezente in inregistrarea DMARC mentionata mai sus:

  • rua=mailto:email@domeniu.ro - adresele de mail catre care se trimit raport-urile de tip aggregate, aici se pot trece mai multe adrese separate cu virgula
  • adkim=s - modul de verificarea a DKIM-ului
  • aspf=r - modul de verificare a SPF-ului

Raporturile DMARC

Server-ul care primeste mail-ul genereaza un raport DMARC care poate transmite server-ului de pe care a fost trimis mail-ul ce s-a intamplat cu mail-ul primit.

Sunt doua tipuri de raporturi DMARC: forensic si aggregate.

Forensic reports - include mesajul specific care nu a trecut autentificarea DMARC. Acest raport poate ajuta server-ul care a trimis mail-ul pentru a identifica mai usor problemele din cauza caror mail-ul nu a fost autentificat corect pe server-ul de mail primitor.

Aggregate reports - acest raport doar ofera statusurile mail-urilor in general trimise si rezultatele obtinute de acestea la autentificare

DKIM-ul se poate seta pe orice pachet de hosting de pe site-ul nostru, hosterion.ro. In cazul in care intampinati probleme sau doriti sa va ajutam cu setarea lui puteti sa contactati serviciul nostru de suport.