Tartalomjegyzék

DMARC - Domain-based Message Authentication, Reporting and Conformance

A TLS feletti modern levéltovábbítás 3 fő pillére:

A DMARC rekord írja le, hogy a domain-ünk támogat-e SPF-et és/vagy DKIM-et. Valamint ha ezeket megsértik a domainünk leveleti, akkor mi legyen velük, hogyan legyünk erről értesítve.

Bár a DMARC specifikáció szerint kiváltja a SPF és DKIM (ADSP) kötelezőségét szabályzó részét, ettől függetlenül olyan fogadó szerverek esetén, akik nem támogatják még a DMARC rekordokat, érdemes lehet őket beállítani.

Információ tárolása

Beállítás

Generálás

Sajtát domain-ünk SMTP szerveréhez mindenképp érdemes legalább egy p=none DMARC bejegyzést rögzíteni, amivel kimondjuk, hogy ne legyen semmi az SPF/DKIM-et megsértő levelekkel. Majd ha már minden frankón megy, akkor lehet keményíteni egy p=quarantine-el, vagy akár egy p=reject-tel.

Példa

Példa szerver rekordok:

Példa DMARC rekordok:

dig +noall +answer TXT _dmarc.foo.hu
_dmarc.foo.hu.  3600  IN  TXT  "v=DMARC1; p=none; sp=quarantine; pct=100;
                               rua=mailto:bar@foo.hu; ruf=mailto:bar@foo.hu"
_dmarc.foo.hu.  3600  IN  TXT  "v=DMARC1; p=reject; rua=mailto:bar@foo.hu"

Ellenőrzés

Riportok

Nagyobb szolgáltatók a DMARC beállításaink alapján küldhetnek nekünk jelentést (.xml formátumban) a tőlünk kapott leveleinkről.

Tanácsos egy erre alkalmas programmal indőnként megnézni, vagy valamilyen eszközt bevetni a feladatra.

Ha külsö domain email címét akarjuk megadni, a fogadó DNS-ét is ki kell egészítenünk:

foo.hu._report._dmarc.not-foo.hu IN TXT "v=DMARC1;"

https://en.wikipedia.org/wiki/DMARC#Reports