1. Esileht
  2. E-post
  3. DMARC reeglid

DMARC reeglid

DMARC ehk Domain-based Message Authentication Reporting and Conformance põimib SPF ja DKIM tehnoloogiad ühtseks e-posti aadresside võltsimise riski maandavaks reeglistikuks.

DMARC võimaldab domeeni haldajal kirjeldada DNS nimeserveri TXT kirjete abil konkreetsed reeglid, millele peavad vastama kõik kirjad, mis lähtuvad tema domeeniga seotud [From:] lähteaadressilt. Nii on näiteks võimalik määratleda, kas nõutud on kirja allkirjastamine DKIM tehnoloogia abil, lähetamine SPF poliitikale vastavalt IP aadressilt, või peavad olema täidetud mõlemad tingimused korraga. Lisaks on võimalik üldjoontes kirjeldada, mida teha nende kirjadega, mis DMARC reeglitele ei vasta.

Vaikimisi luuakse Zones DMARC reegel selline, mis lubab kirja saajal neid vastu võtta ka siis, kui üks eelpoolnimetatud kontrollidest ebaõnnestub.

Kuid seda on võimalik seadistada rangemaks. Näiteks on võimalik muuta DKIM allkiri kohustuslikuks, kasutades DMARC DNS kirjes silti adkim=s. Kui seda kombineerida omakorda poliitikat tähistava sildiga p=reject, siis ei tohiks seda reeglit rikkuva kirja vastuvõtjat teenindavad serverid ühtegi reegleid rikkuvat kirja vastu võtta.

See, kuidas e-posti serverid DMARC poliitikat omavate kirjadega käituvad, on siiski iga serveri haldaja otsustada. Näiteks ei pruugi hoolimata seadistatud poliitikast kõik serverid p=reject poliitikaga kirju alati tagasi lükata. Enamus suuremaid teenusepakkujaid nagu Gmail, Office365 ja ka Zone uus e-posti platvorm seda siiski teevad.

Nimeserveri kirje

Kui minna detailidesse, siis seadistatakse DMARC poliitikat spetsiaalse _dmarc alamdomeeni nimelise TXT kirjega, näiteks _dmarc.example.com. Selle TXT kirje sisu koosneb nimi=väärtus siltidest, mis on üksteisest semikooloniga eraldatud.

Näiteks:

"v=DMARC1;p=reject;rua=mailto:dmarcreports@example.com;"

Minu Zone haldusliideses saab DMARC poliitikat aktiveerida E-post ->  DKIM / SPF / DMARC menüüpunkti alt.

Vaikimisi lisatakse v=DMARC1; p=none TXT kirje, kuid soovi korral saab poliitikat sealtsamast kohe rangemaks muuta.

Poliitika

‘Policy’ ehk poliitika silt määrab DMARC reegli ranguse. DNS kirjes kirjeldatakse seda p= sildi abil. Võimalikud sildi väärtused on:

  • none – kirja vastuvõtja serverile ei anta konkreetseid suunised;
  • quarantine – karantiin, kirja vastuvõtja server peaks reegleid rikkuva kirja panema rämpsposti kausta või lisama sellele märke, et kiri on kahtlane;
  • reject – kirja vastuvõtja server peaks reegleid rikkuva kirja tagasi lükkama.

NB! Poliitika silt p= peab olema TXT kirjes kirjeldatud kohe peale versiooni v=!

Soovitav on DMARC poliitika rakendamisel liikuda järk-järgult rangemaks: none->quarantine->reject.

DKIM ja SPF rangus

adkim= ja aspf= siltide abil on võimalik kirjeldada, kas reeglid DKIM’ile ja SPF’ile on lõdvad või ranged. Vakimisi on nende mõlema väärtus ‘relaxed’ ehk lõtv. Kui aga väärtuseks määrata ‘strict’ (=s) ehk range, siis adkim=s sildi kasutamisel peab vastuvõtja server nõudma kõigilt kirjadelt DKIM allkirja ja aspf=s puhul tuleb nõuda, et kirjad peavad olema saadetud SPF DNS kirjes kirjeldatud IP aadressidelt. Lõdva (vaikimisi) poliitika puhul peab olema vähemalt üks neist korrektne.

NB!

Soovitame enne seadistuste rangeks muutmist väga sügavalt järgi mõelda, kas kõik sinu domeenist välja saadetavad kirjad ikka nendele tingimustele vastavad!

Aruanded

Üks tähelepanuväärne DMARC reeglite poolt pakutav võimalus on aruannete nõudmine e-posti serveritelt, kuhu on sinu domeeni nimel kirju saadetud.

PS! Aruandlus on mõeldud edasijõudnutele ja enne raporteerimise aktiveerimist soovitame lugeda täpsemaid DMARC dokumentatsiooni! Näiteks siit.

  • fo= sildi seadistamisega saab määrata mille kohta aruandeid saadetakse.
  • rf= sildi seadistamisega saab määrata vigade raporti formaadi.
  • ri= sildi seadistamisega saab määrata kui tihti raport saadetakse (vaikimisi 24h).
  • rua= sildi seadistamisega saab määrata e-posti aadressi kuhu raport tuleb saata, see peab olema formaadis mailto:dmarcreports@example.com. NB! See e-posti aadress peaks olema samas domeenis, vastasel juhul tuleb lisada raporti e-posti aadressi jaoks omakorda domeeni tsooni eraldi TXT kirje. See on aga teema edasijõudnutele.

Lisainfoks

  • Meeles tuleb pidada, et DMARC poliitika mõjub kirja From: (header from) päisele. SPF kontroll käib aga ümbriku saatja (envelope from) pihta. Kui need domeenid erinevad ja kirjal DKIM allkirja pole, siis DMARC kontroll ebaõnnestub! See mõjutab kirja koopiate saatmisi ja edasisuunamisi, kuna SRS muudab envelope from-i. 
  • DMARC dokumentatsioonis räägitakse pct= sildist, mis peaks määrama protsendi, kui paljudele kirjadele peab DMARC poliitikat rakendama. Reaalsuses pole me kohanud olukorda, kus see protsent midagi mõjutaks ja seda lisada ei ole vaja.
  • DMARC aruannete kogumiseks ja analüüsimiseks on olemas ka spetsiaalsed teenusepakkujad (nagu https://dmarcian.com/), kuid juhime tähelepanu, et paljude nende raportid on väga tehnilised ja keerulised tõlgendada.
  • DMARC rakendub vaid kirjadele, millel on üks From: aadress. (RFC järgi võib tehniliselt olla kirjal mitu From aadressi, aga reaalsuses seda väga ei kasutata).
Viimati muudetud 6. märts 2019

Kas sellest artiklist oli abi?

Artiklid samal teemal