DMARC stał się standardem ochrony domen przed phishingiem i spoofingiem. Ale osiągnięcie zgodności nie polega tylko na opublikowaniu rekordu; chodzi o monitorowanie uwierzytelniania poczty e-mail, naprawianie pojawiających się problemów i spełnianie rosnących standardów określonych przez dostawców takich jak Google i Yahoo.
Niniejszy przewodnik zawiera wszystko, co musisz wiedzieć, aby przejść od wdrożenia do pełnej, ciągłej zgodności z DMARC. Każda sekcja zawiera linki do głębszych artykułów, z których można dowiedzieć się więcej i podjąć konkretne działania.
Zanim przejdziemy do konfiguracji, warto zrozumieć, czym właściwie jest monitorowanie DMARC i dlaczego jest ono tak istotną częścią zgodności.
Każda wiadomość e-mail wysyłana przez Twoją organizację przechodzi przez różne systemy: platformy marketingowe, działy wsparcia, systemy rozliczeniowe, a nawet automatyczne powiadomienia. Każdy z tych systemów musi udowodnić serwerom odbierającym pocztę, że jest upoważniony do wysyłania w imieniu Twojej domeny.
Do tego właśnie służy DMARC. Sprawdza, czy każda wiadomość przechodzi uwierzytelnianie (przy użyciu SPF lub DKIM) i czy te kontrole są zgodne z nazwą domeny.
Ale DMARC robi również coś równie ważnego: raportuje, jak tewiadomości zostały wykonane. Dostawcy skrzynek pocztowych, tacy jak Gmail, Yahoo i Microsoft, wysyłają codzienne raporty DMARC, które pokazują:
Monitorując te raporty, możesz dokładnie zobaczyć, co dzieje się z Twoim ruchem e-mail:
Nawet jeśli to nie Ty zarządzasz rekordami DNS, zrozumienie tych podstaw pomoże Ci rozpoznać, o co toczy się gra. Monitorowanie DMARC to nie tylko naprawianie błędów technicznych; to utrzymywanie zaufania do swojej domeny, utrzymywanie wiadomości e-mail z dala od folderów spamu i zachowanie zgodności z nowymi standardami wysyłania Google i Yahoo.
Jeśli chcesz zrozumieć więcej na temat podstawowych pojęć DMARC i jego roli w zapobieganiu spoofingowi i phishingowi, zapoznaj się z naszym przeglądem DMARC na wysokim poziomie.
Gdy masz już te podstawy, kolejne kroki są praktyczne: konfiguracja DMARC, czytanie raportów i działanie na podstawie tego, co znajdziesz. Zacznijmy od tego, jak uruchomić DMARC.
Aby to zrobić, musisz mieć dostęp do swojego DNS. Jeśli go nie masz, skontaktuj się z programistą (programistami) w swojej organizacji, którzy są za to odpowiedzialni.
Jeśli Twoja polityka DMARC nie jest jeszcze aktywna, Twoim pierwszym celem jest opublikowanie rekordu DMARC w DNS i rozpoczęcie zbierania raportów.
Twój rekord DMARC powinien wyglądać następująco:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=rRozpoczęcie od p=none pozwala bezpiecznie monitorować wyniki uwierzytelniania poczty elektronicznej bez wpływu na jej dostarczanie.
Aby uzyskać praktyczny opis krok po kroku, jakwłączyć DMARC, przeczytaj Polityka DMARC nie jest włączona? Jak to zrobić w 5 prostych krokach.
Pouruchomieniu polityki, dostawcy skrzynek pocztowych zaczynają wysyłać codzienne raporty zbiorcze i raporty kryminalistyczne w czasie rzeczywistym na adresy wymienione w rekordzie. Te dwa rodzaje raportów są podstawą monitorowania DMARC.
Raporty zbiorcze podsumowują całą aktywność e-mail z Twojej domeny każdego dnia. Pokazują one:
Dowiedz się, jak czytać iinterpretować te raporty XML w naszym przewodniku:
Jak czytać raporty zbiorcze DMARC.
Raporty Forensic (lub raporty o niepowodzeniach) dostarczają szczegółowych danych na poziomie wiadomości, gdy określony e-mail nie przejdzie uwierzytelnienia. Pomagają one szybko wykryć spoofing i zdiagnozować błędy konfiguracji.
Dowiedz się więcej w Jak czytać raporty DMARC Forensic.
Razem, raporty te dają jasny obraz tego, jak działa uwierzytelnianie poczty elektronicznej w Twojej domenie.
Monitorowanie to nie tylko zbieranie danych. Chodzi o działanie na nich. Podczas analizy raportów, prawdopodobnie napotkasz takie problemy jak:
Rozwiązywanie tych problemów pomaga zapewnić zgodność domeny i niezawodne docieranie wiadomości do skrzynek odbiorczych.
Aby zapoznać się z kompleksowymprocesem rozwiązywania problemów, zobacz Jak rozwiązywać i naprawiać problemy DMARC. Ten przewodnik przeprowadzi Cię przez każdy typ błędu, jak go interpretować w raportach i jak go naprawić w ustawieniach DNS lub usługi poczty elektronicznej.
Od 2024 r. Google i Yahoo wymagają od nadawców masowych uwierzytelniania wszystkich wiadomości e-mail za pomocą SPF, DKIM i DMARC oraz posiadania jasnej polityki w tym zakresie.
Nawet jeśli nie jesteś dużym nadawcą, przestrzeganie tych standardów pomaga zapewnić, że reputacja Twojej domeny pozostanie silna.
Zgodność obejmuje:
Aby uzyskać pełne wyjaśnienie tych nowych wymagań i jak je spełnić, przeczytaj Navigating New Email Compliance: Przewodnik po komunikatach o błędach Google i Yahoo.
Gdy polityka DMARC jest już w pełni egzekwowana, możesz pójść o krok dalej, wdrażając BIMI (Brand Indicators for Message Identification).
BIMI wyświetla zweryfikowane logo obok uwierzytelnionych wiadomości e-mail w skrzynkach odbiorczych takich jak Gmail i Yahoo, dając odbiorcom wizualny sygnał zaufania.
Aby zakwalifikować się do BIMI, Twoja domena musi:
p=kwarantanna lub p=odrzucenieDowiedz się, jak skonfigurować BIMIw naszym przewodniku: BIMI: Następny krok do bezpieczeństwa poczty e-mail po DMARC.
Ręczna analiza raportów XML jest czasochłonna, zwłaszcza w wielu domenach. Dlatego też większość organizacji korzysta z narzędzi monitorujących DMARC, które automatycznie zbierają i wizualizują dane.
Narzędzia te pomagają
Przejrzeliśmy najpopularniejsze opcje w naszym artykule towarzyszącym: 5 najlepszych narzędzi i usług do monitorowania DMARC.
DMARCeye pomaga uprościć każdą część procesu monitorowania DMARC, od wdrożenia do egzekwowania i bieżącej konserwacji.
Dzięki DMARCeye możesz:
Możesz myśleć o DMARCeye jako o ciągłym audycie, zapewniającym, że Twoje uwierzytelnianie poczty elektronicznej pozostanie zgodne, dokładne i skuteczne długo po początkowej konfiguracji.