Jak si vyžádat zasílání DMARC reportů
Co to je a proč je dobré takový report mít?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) reporty jsou generovány a zasílány e-mailovými poskytovateli a službami, které přijímají e-maily z vaší domény. Když e-mailový poskytovatel přijme e-mail z vaší domény, zkontroluje DMARC politiku vaší domény a ověří, zda e-mail splňuje autentizační požadavky SPF a DKIM. Na základě výsledků ověření a nastavení vaší DMARC politiky pak e-mailový poskytovatel rozhodne, jak naložit s e-mailem.
E-mailoví poskytovatelé, jako jsou Microsoft a Seznam, zasílají DMARC reporty na základě informací, které mají o e-mailech z vaší domény. Tyto reporty obsahují informace o úspěšnosti autentizace e-mailů, které byly odeslány z vaší domény a doručeny jejich uživatelům.
Není zaručeno, že každý e-mailový poskytovatel nebo služba bude zasílat DMARC reporty, ale mnoho velkých poskytovatelů, jako jsou Google, Microsoft, Yahoo, Seznam a další, tak činí. Každý z těchto poskytovatelů má své vlastní postupy pro generování a zasílání DMARC reportů. Z toho důvodu můžete obdržet reporty od různých e-mailových poskytovatelů, což vám pomáhá získat ucelenější přehled o úspěšnosti autentizace e-mailů z vaší domény.
Co obsahuje report?
Ukázkový report pro společnosti Microsoft vypadá následovně:
<?xml version="1.0"?>
<feedback xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<version>1.0</version>
<report_metadata>
<org_name>Enterprise Outlook</org_name>
<email>dmarcreport@microsoft.com</email>
<report_id>934e8ef4a7544ed99f4db5984f03a94e</report_id>
<date_range>
<begin>1681516800</begin>
<end>1681603200</end>
</date_range>
</report_metadata>
<policy_published>
<domain>bestonline.cz</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>reject</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
<record>
<row>
<source_ip>185.178.175.48</source_ip>
<count>4</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<envelope_to>alessykora.cz</envelope_to>
<envelope_from>innovative-www1.zcom.cz</envelope_from>
<header_from>bestonline.cz</header_from>
</identifiers>
<auth_results>
<spf>
<domain>innovative-www1.zcom.cz</domain>
<scope>mfrom</scope>
<result>none</result>
</spf>
</auth_results>
</record>
</feedback>
Tento DMARC report z Microsoftu poskytuje informace o tom, jak byly e-maily odeslané z domény bestonline.cz ověřeny na základě DMARC politiky.
Zde je přehled informací uvedených v reportu:
- Report_metadata: obsahuje informace o reportu, jako je název organizace, e-mail, ID reportu a časový rozsah, ve kterém byly e-maily sledovány.
- Policy_published: informace o DMARC politice vaší domény bestonline.cz. Například:
- adkim a aspf nastaveny na 'r' znamená, že je použit režim relaxace pro DKIM a SPF ověření.
- p nastaveno na 'none' znamená, že nebyla provedena žádná konkrétní akce, pokud došlo k selhání ověření.
- sp nastaveno na 'reject' znamená, že e-maily od subdomén by měly být odmítnuty, pokud selžou ověření DMARC.
- pct (procento) nastaveno na 100 znamená, že DMARC politika se vztahuje na 100% e-mailů z vaší domény.
- fo (forensic reporting) nastaveno na 0 znamená, že nejsou generovány žádné podrobné zprávy o selháních.
- source_ip: IP adresa odesílatele e-mailu.
- count: počet e-mailů odeslaných z dané IP adresy.
- policy_evaluated: výsledek ověření DKIM a SPF.
- dkim a spf: hodnoty 'fail' znamenají, že ověření DKIM a SPF selhaly.
- Record: obsahuje detaily o e-mailech, které byly zaznamenány během časového rozsahu reportu.
- Identifiers: informace o e-mailových adresách použitých v obálce a hlavičce e-mailu.
- envelope_to: e-mailová adresa příjemce.
- envelope_from: e-mailová adresa odesílatele.
- header_from: adresa odesílatele uvedená v hlavičce e-mailu.
- Auth_results: výsledky ověření SPF.
- domain: doména použitá pro ověření SPF.
- scope: rozsah ověření (mfrom = mail from).
- result: výsledek ověření SPF (none znamená, že SPF nebylo ověřeno).
Obdobný report ze Seznamu:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<version>1.0</version>
<report_metadata>
<org_name>seznam.cz a.s.</org_name>
<email>abuse@seznam.cz</email>
<report_id>szn_bestonline.cz-2023-04-17</report_id>
<date_range>
<begin>1681689600</begin>
<end>1681776000</end>
</date_range>
</report_metadata>
<policy_published>
<domain>bestonline.cz</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>reject</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
<record>
<row>
<source_ip>2a01:111:f400:fe0c::62b</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>bestonline.cz</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>bestonline.cz</domain>
<result>pass</result>
<selector>selector1</selector>
</dkim>
<spf>
<domain>bestonline.cz</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record><record>
<row>
<source_ip>2a01:111:f400:fe1a::631</source_ip>
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>bestonline.cz</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>bestonline.cz</domain>
<result>pass</result>
<selector>selector1</selector>
</dkim>
<spf>
<domain>bestonline.cz</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Tento report od Seznam.cz tedy ukazuje, že e-maily odeslané z těchto IP adres byly úspěšně ověřeny pomocí DKIM a SPF. To znamená, že e-maily odeslané z těchto IP adres by měly být doručeny příjemcům bez problémů.
Je důležité sledovat reporty od různých firem, protože mohou poskytnout různé pohledy na doručitelnost e-mailů a pomoci vám identifikovat potenciální problémy.
Jak si nastavit, že chcete reporty získávat?
Jednoduše si ke své doméně přidejte následující DNS záznam:
- Hostname: _dmarc.vasedomena.cz
- TTL: ponechte vaše standardní jako u ostatních záznamů
- Typ: txt
- Hodnota: v=DMARC1;p=none;rua=mailto:vasmail@vasedomena.cz;
ruf=mailto:vasmail@vasedomena.cz;sp=reject;ri=84600 (pište bez mezer)
Vysvětlení:
_dmarc.bestonline.cz
: Tento název záznamu ukazuje, že se jedná o DMARC záznam pro doménu bestonline.cz.1800
: Toto je TTL (Time to Live) záznamu v sekundách, což znamená, že DNS servery by měly uchovávat tento záznam v cache po dobu 1800 sekund (30 minut) před dalším dotazováním.TXT
: Tento záznam je uložen jako textový (TXT) záznam v DNS.v=DMARC1
: Toto označuje verzi DMARC protokolu, který je použit (v tomto případě verze 1).p=none
: Tato část záznamu definuje politiku pro hlavní doménu. Hodnota "none" znamená, že e-maily, které selžou v DMARC ověření, nebudou zamítnuty ani karanténovány, ale budou zpracovány jako obvykle. Tato volba je často používána pro monitorování a sběr dat před uplatněním přísnější politiky.rua=mailto:vasmail@vasedomena.cz
:: Toto je adresa, na kterou mají být zasílány DMARC agregované reporty, které poskytují informace o úspěšnosti autentizace e-mailů.ruf=mailto:vasmail@vasedomena.cz
: Toto je adresa, na kterou mají být zasílány DMARC forenzní reporty, které poskytují podrobnější informace o e-mailech, které selhaly v DMARC ověření.sp=reject
: Tato část záznamu definuje politiku pro subdomény. Hodnota "reject" znamená, že e-maily, které selžou v DMARC ověření a pocházejí ze subdomén, budou zamítnuty.ri=84600
: Toto je interval reportování v sekundách, který určuje, jak často by měly být DMARC reporty generovány a odesílány. V tomto případě je interval nastaven na 84600 sekund (23 hodin 30 minut). Abyste to nemuseli počítat, tak měsíční report je ri=2592000 🙂