Definicja
DMARC (Domain-based Message Authentication, Reporting, and Conformance) to skalowalny mechanizm uwierzytelniania poczty elektronicznej, który pozwala właścicielowi domeny publikować w DNS politykę odczytywaną maszynowo, deklarując, co serwery odbierające powinny zrobić, gdy przychodząca wiadomość zawodzi kontrole wyrównania SPF lub DKIM, oraz umożliwiając tym serwerom wysyłanie strukturyzowanych raportów z powrotem do właściciela domeny. Trzy wartości polityki DMARC — none, quarantine i reject — dają właścicielom domen stopniowaną kontrolę nad tym, jak nieuwierzytelnione emaile podszywające się pod ich domenę są traktowane przez globalną infrastrukturę odbiorczą.
DMARC został opracowany wspólnie przez grupę uczestników branży, w tym PayPal, Google, Microsoft, Yahoo, ReturnPath i innych interesariuszy ekosystemu poczty elektronicznej, i po raz pierwszy opublikowany jako IETF RFC 7489 w marcu 2015 roku. Specyfikacja jest utrzymywana przez grupę roboczą DMARC.org. Rozszerza i koordynuje dwa wcześniejsze standardy uwierzytelniania: SPF (RFC 7208) i DKIM (RFC 6376), których używa jako sygnałów wejściowych, ale nie zastępuje.
Jak to działa
Polityka DMARC jest publikowana jako rekord DNS TXT pod _dmarc.<domain>. Reprezentatywny rekord wygląda tak: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. Kluczowe tagi to:
v=DMARC1— identyfikator wersjip=— polityka:none(tylko monitorowanie),quarantine(dostarczaj do spamu/junk) lubreject(odrzuć wiadomość całkowicie)rua=— URI miejsca docelowego raportów zbiorczych; otrzymuje codzienne podsumowania XML wyników uwierzytelniania od uczestniczących dostawców skrzynekruf=— URI miejsca docelowego raportów kryminalistycznych; otrzymuje zaczernione raporty na poziomie wiadomości dla pojedynczych awariipct=— procent wiadomości, do których stosuje się polityka (pozwala na stopniowe wdrażanie)adkim=iaspf=— tryb wyrównania:s(strict, wymaga dokładnego dopasowania domeny) lubr(relaxed, dopuszcza dopasowanie subdomeny)
Krytyczną innowacją wprowadzoną przez DMARC jest wyrównanie identyfikatora. Przejście SPF lub przejście DKIM jest uważane za zgodne z DMARC tylko wtedy, gdy uwierzytelniona domena jest wyrównana z domeną nagłówka RFC5322.From — adresem „From:”, który widzą użytkownicy poczty. Zamyka to lukę pozostawioną przez SPF i DKIM działające niezależnie: wiadomość może przejść SPF na innej domenie (nadawca koperty) i przejść DKIM dla domeny podpisującej trzeciej strony, a mimo to być oszukańcza, jeśli nagłówek From pokazuje inną domenę. DMARC wymaga, aby co najmniej jeden z SPF lub DKIM dał wyrównane przejście.
Raporty zbiorcze (RUA) są dostarczane jako skompresowane pliki XML, zazwyczaj w ciągu 24 godzin od końca okresu raportowania, przez dostawców skrzynek, w tym Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast i innych. Te raporty zawierają liczby wiadomości na IP źródłowy, wyniki SPF, wyniki DKIM oraz dyspozycję DMARC. Narzędzia takie jak DMARCIAN, Valimail, Postmark DMARC Digests i Google Postmaster Tools dostarczają pulpity, które parsują i wizualizują te raporty.
Gdzie się z tym spotkasz
DMARC spotyka się tam, gdzie zachodzi wysokowolumenowa lub wysokostawkowa wysyłka poczty. Od lutego 2024 zarówno Google, jak i Yahoo wymagają od nadawców więcej niż 5000 wiadomości dziennie do adresów Gmail lub Yahoo Mail posiadania opublikowanego rekordu DMARC z co najmniej p=none — znaczącej zmiany polityki branżowej, która faktycznie uczyniła DMARC obowiązkowym dla nadawców masowych. Microsoft ogłosił podobne wymagania dla konsumenckich skrzynek Outlook.com w 2025 roku.
Dla platform konkursowych wysyłających emaile potwierdzenia głosu na dużą skalę DMARC pełni dwie role. Po pierwsze, chroni reputację domeny nadawcy, instruując serwery odbierające, aby odrzucały sfałszowane wiadomości — uniemożliwiając trzeciej stronie podszywanie się pod adres From platformy konkursowej w kampaniach phishingowych, co zaszkodziłoby pozycji dostarczalności domeny. Po drugie, raporty zbiorcze DMARC zapewniają operacyjny kanał monitorowania: właściciel domeny może zobaczyć, dla wszystkich uczestniczących dostawców skrzynek, jaki ułamek wiadomości wychodzących przechodzi SPF i DKIM, oraz sygnalizować nieprawidłowe konfiguracje infrastruktury, zanim spowodują masowe awarie emaili potwierdzających.
Dostawcy usług email, w tym SendGrid, Mailgun, Amazon SES, Postmark i SparkPost, publikują wytyczne dotyczące konfiguracji DMARC obok ich własnej infrastruktury wysyłającej. Narzędzia diagnostyki DNS, w tym MXToolbox DMARC Lookup, DMARC Inspector od DMARCIAN i sprawdzacz rekordów EasyDMARC, pozwalają właścicielom domen walidować opublikowane polityki.
Praktyczne przykłady
Firma konkursowa zaczyna wysyłać emaile potwierdzające z nowej subdomeny confirm.votes.example.com. Domena nadrzędna votes.example.com ma p=reject w swoim rekordzie DMARC. Ponieważ rekordy SPF i DKIM dla nowej subdomeny nie są jeszcze skonfigurowane, emaile potwierdzające zawodzą wyrównanie DMARC i są odrzucane przez Gmail. Administrator diagnozuje problem za pomocą danych raportu zbiorczego pokazującego 100% awaryjność DMARC na subdomenie, dodaje odpowiednie rekordy DNS SPF include i selektora DKIM oraz tymczasowo resetuje politykę DMARC subdomeny (sp=none) w trakcie wdrażania.
Marka prowadzi konkurs zgłoszeń zdjęć z nagrodami sumującymi się do 50 000 USD. Oszust próbuje wysyłać emaile phishingowe używając domeny konkursu marki jako adresu From, kierując wyborców na fałszywą stronę potwierdzenia w celu zebrania danych logowania email. Ponieważ polityka DMARC domeny to p=reject, Gmail, Outlook i Yahoo Mail odrzucają oszukańcze wiadomości przed dostarczeniem, chroniąc zarówno uczestników konkursu, jak i reputację nadawcy marki.
Powiązane pojęcia
DMARC zależy od Rekordu SPF i DKIM jako swoich wejść uwierzytelniania — przejście DMARC wymaga, aby co najmniej jedno z nich było wyrównane z domeną nagłówka From. Dla operacji konkursowych łączny wpływ SPF, DKIM i DMARC na umieszczenie w skrzynce odbiorczej jest głównym czynnikiem technicznym decydującym o tym, czy wiadomości potwierdzające Email Confirmation Vote dotrą do skrzynek wyborców. Standard BIMI, który pozwala na wyświetlanie logo marki w klientach skrzynki jako wskaźnika zaufania, wymaga polityki DMARC p=quarantine lub p=reject jako warunku wstępnego.
