====== DMARC - Domain-based Message Authentication, Reporting and Conformance ======
  * https://en.wikipedia.org/wiki/DMARC
  * https://tarhelywiki.hu/?p=1165

<note><WRAP>
A TLS feletti modern levéltovábbítás 3 fő pillére:

  * [[tudasbazis:email:spf|SPF - Sender Policy Framework]]
  * [[tudasbazis:email:dkim|DKIM - DomainKeys Identified Mail]]
  * DMARC - Domain-based Message Authentication, Reporting and Conformance
</WRAP></note>

A ''DMARC'' rekord írja le, hogy a domain-ünk támogat-e [[tudasbazis:email:spf|SPF]]-et és/vagy [[tudasbazis:email:dkim|DKIM]]-et. Valamint ha ezeket megsértik a domainünk leveleti, akkor mi legyen velük, hogyan legyünk erről értesítve.

<note important>Bár a ''DMARC'' [[https://dmarc.org/wiki/FAQ#What_happens_if_a_sender_uses_DMARC_and_ADSP.3F|specifikáció]] szerint kiváltja a [[tudasbazis:email:spf|SPF]] és [[tudasbazis:email:dkim:adsp|DKIM (ADSP)]] kötelezőségét szabályzó részét, ettől függetlenül olyan fogadó szerverek esetén, akik nem támogatják még a ''DMARC'' rekordokat, érdemes lehet őket beállítani.</note>


===== Információ tárolása =====
  * ''TXT'' típusú DNS bejegyzés
  * [[tudasbazis:email:spf|SPF]]/[[tudasbazis:email:dkim|DKIM]] sértés esetén domain és subdomain policy
  * reporting beállítások (xml formátumú csatolmánnyal)


===== Beállítás =====
==== Generálás ====
  * https://mxtoolbox.com/DMARCRecordGenerator.aspx

<note important>Sajtát domain-ünk SMTP szerveréhez mindenképp érdemes legalább egy ''p=none'' DMARC bejegyzést rögzíteni, amivel kimondjuk, hogy ne legyen semmi az [[tudasbazis:email:spf|SPF]]/[[tudasbazis:email:dkim|DKIM]]-et megsértő levelekkel. Majd ha már minden frankón megy, akkor lehet keményíteni egy ''p=quarantine''-el, vagy akár egy ''p=reject''-tel.</note>


==== Példa ====
++++ Példa szerver rekordok: | <code bash>
dig +noall +answer A foo.hu MX foo.hu CNAME mail.foo.hu
</code><WRAP indent><code>
$ORIGIN foo.hu.
foo.hu.       3600  IN A      11.22.33.44
mail.foo.hu.  3600  IN CNAME  foo.hu.
foo.hu.       3600  IN MX     10 mail.foo.hu.
</code></WRAP>++++

Példa **DMARC** rekordok: <code bash>
dig +noall +answer TXT _dmarc.foo.hu
</code><WRAP indent><code>
_dmarc.foo.hu.  3600  IN  TXT  "v=DMARC1; p=none; sp=quarantine; pct=100;
                               rua=mailto:bar@foo.hu; ruf=mailto:bar@foo.hu"
</code><code>
_dmarc.foo.hu.  3600  IN  TXT  "v=DMARC1; p=reject; rua=mailto:bar@foo.hu"
</code></WRAP>


==== Ellenőrzés ====
  * https://mxtoolbox.com/domain/
  * https://mxtoolbox.com/dmarc.aspx
  * [[tudasbazis:email:ellenorzes|email:ellenorzes]]


===== Riportok =====
  * https://mxtoolbox.com/DmarcReportAnalyzer.aspx
  * https://github.com/dmarc-viewer/dmarc-viewer

Nagyobb szolgáltatók a ''DMARC'' beállításaink alapján küldhetnek nekünk jelentést (''.xml'' formátumban) a tőlünk kapott leveleinkről.

<note tip>Tanácsos egy erre alkalmas programmal indőnként megnézni, vagy valamilyen eszközt bevetni a feladatra.</note>

<note important><WRAP>Ha külsö domain email címét akarjuk megadni, a fogadó DNS-ét is ki kell egészítenünk:
<code>
foo.hu._report._dmarc.not-foo.hu IN TXT "v=DMARC1;"
</code>
<cite>https://en.wikipedia.org/wiki/DMARC#Reports</cite>
</WRAP></note>