Definition
DMARC (Domain-based Message Authentication, Reporting, and Conformance) är en skalbar e-postautentiseringsmekanism som låter en domänägare publicera en maskinläsbar policy i DNS, deklarera vad mottagande e-postservrar ska göra när ett inkommande meddelande misslyckas med SPF- eller DKIM-justeringskontroller, och göra det möjligt för dessa servrar att skicka strukturerade rapporter tillbaka till domänägaren. DMARC:s tre policyvärden — none, quarantine och reject — ger domänägare graderad kontroll över hur oautentiserad e-post som påstår sig komma från deras domän behandlas av den globala mottagningsinfrastrukturen.
DMARC utvecklades gemensamt av en grupp branschdeltagare, däribland PayPal, Google, Microsoft, Yahoo, ReturnPath och andra intressenter i e-postekosystemet, och publicerades först som IETF RFC 7489 i mars 2015. Specifikationen underhålls av DMARC.org-arbetsgruppen. Den utvidgar och samordnar två tidigare autentiseringsstandarder: SPF (RFC 7208) och DKIM (RFC 6376), som den använder som ingångssignaler men inte ersätter.
Hur det fungerar
En DMARC-policy publiceras som en DNS TXT-post på _dmarc.<domain>. En representativ post ser ut så här: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. Nyckeltaggarna är:
v=DMARC1— versionsidentifierarep=— policy:none(endast övervaka),quarantine(leverera till spam/skräp) ellerreject(kassera meddelandet helt)rua=— destinations-URI för aggregerade rapporter; tar emot dagliga XML-sammanfattningar av autentiseringsresultat från deltagande brevlådeleverantörerruf=— destinations-URI för forensiska rapporter; tar emot redigerade meddelandenivårapporter för enskilda misslyckandenpct=— procent meddelanden som policyn gäller för (tillåter stegvis utrullning)adkim=ochaspf=— justeringsläge:s(strict, kräver exakt domänmatchning) ellerr(relaxed, tillåter underdomänsmatchning)
Den kritiska innovationen som DMARC introducerar är identifierarjustering. Ett SPF-pass eller DKIM-pass anses bara vara DMARC-kompatibelt om den autentiserade domänen är justerad med RFC5322.From-huvuddomänen — “From:“-adressen som e-postanvändare ser. Detta täpper till luckan som SPF och DKIM lämnar genom att verka oberoende: ett meddelande kan passera SPF på en annan domän (envelope-avsändaren) och passera DKIM för en tredjepartssignerande domän, men ändå vara bedrägligt om From-huvudet visar en annan domän. DMARC kräver att minst en av SPF eller DKIM producerar ett justerat pass.
Aggregerade rapporter (RUA) levereras som komprimerade XML-filer, vanligen inom 24 timmar efter rapportperiodens slut, av brevlådeleverantörer inklusive Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast och andra. Dessa rapporter innehåller per-käll-IP-räkningar av meddelanden, SPF-resultat, DKIM-resultat och DMARC-disposition. Verktyg som DMARCIAN, Valimail, Postmark DMARC Digests och Google Postmaster Tools tillhandahåller dashboards som tolkar och visualiserar dessa rapporter.
Var du stöter på det
DMARC påträffas där högvolym- eller högvärdes-e-postsändning sker. Sedan februari 2024 kräver både Google och Yahoo att avsändare av mer än 5 000 meddelanden per dag till Gmail- eller Yahoo Mail-adresser har en DMARC-post publicerad med åtminstone p=none — en betydande branschpolicyändring som i praktiken gjorde DMARC obligatoriskt för bulksändare. Microsoft tillkännagav liknande krav för Outlook.com-konsumentbrevlådor 2025.
För tävlingsplattformar som skickar e-postbekräftelseröster i stor skala fyller DMARC två roller. För det första skyddar det den sändande domänens rykte genom att instruera mottagande servrar att avvisa förfalskade meddelanden — vilket hindrar en tredje part från att förfalska tävlingsplattformens From-adress i phishing-kampanjer, vilket skulle skada domänens leveransbarhetsställning. För det andra tillhandahåller DMARC-aggregatrapporter en operativ övervakningskanal: domänägaren kan se, över alla deltagande brevlådeleverantörer, vilken andel av utgående meddelanden som passerar SPF och DKIM, och flagga felkonfigurationer i infrastrukturen innan de resulterar i bulkbekräftelsemejlmisslyckanden.
E-posttjänsteleverantörer inklusive SendGrid, Mailgun, Amazon SES, Postmark och SparkPost publicerar vägledning för att konfigurera DMARC vid sidan av sin egen sändande infrastruktur. DNS-diagnostikverktyg inklusive MXToolbox DMARC Lookup, DMARCIAN:s DMARC Inspector och EasyDMARC:s record checker låter domänägare validera publicerade policyer.
Praktiska exempel
Ett tävlingsföretag börjar skicka bekräftelsemejl med en ny underdomän confirm.votes.example.com. Föräldradomänen votes.example.com har p=reject i sin DMARC-post. Eftersom SPF- och DKIM-posterna för den nya underdomänen ännu inte är konfigurerade misslyckas bekräftelsemejlen med DMARC-justering och avvisas av Gmail. Administratören diagnostiserar problemet via aggregerade rapportdata som visar 100 % DMARC-misslyckande på underdomänen, lägger till lämpliga DNS-poster för SPF include och DKIM-selektor och återställer underdomänens DMARC-underdomänpolicy (sp=none) tillfälligt under utrullningen.
Ett varumärke kör en fotoinlämningstävling med priser som totalt uppgår till 50 000 USD. En bedragare försöker skicka phishing-mejl med varumärkets tävlingsdomän som From-adress, och dirigera väljare till en falsk bekräftelsesida för att skörda e-postuppgifter. Eftersom domänens DMARC-policy är p=reject kasserar Gmail, Outlook och Yahoo Mail alla de bedrägliga meddelandena före leverans, vilket skyddar både tävlingsdeltagare och varumärkets avsändarrykte.
Relaterade begrepp
DMARC är beroende av både SPF Record och DKIM som sina autentiseringsindata — ett DMARC-pass kräver att minst en av dessa är justerad med From-huvuddomänen. För tävlingsoperationer är den kombinerade effekten av SPF, DKIM och DMARC på inkorgsplacering den primära tekniska faktorn som avgör om Email Confirmation Vote-bekräftelsemeddelanden når väljarnas inkorgar. BIMI-standarden, som tillåter visning av varumärkets logotyp i inkorgsklienter som en förtroendeindikator, kräver en p=quarantine- eller p=reject-DMARC-policy som förutsättning.
