Pierwszym krokiem, który musisz podjąć przy wdrażaniu certyfikatu VMC, jest uzyskanie zgodności z DMARC. To skrót od Domain-based Message Authentication, Reporting & Conformance i działa jako środek do kontrolowania zasad i ustawień na poziomie Twojej domeny w zakresie sprawdzania poprawności wiadomości, dyspozycji i raportowania.
Wymóg DMARC dla VMC jest korzystny dla całego ekosystemu poczty e-mail jako całości, ponieważ wymusza sprawdzanie poprawności wiadomości, zapewniając wyższy poziom bezpieczeństwa. Dodatkowo określa, co należy zrobić z wiadomościami e-mail, które nie przejdą wyżej wymienionych testów - poddanie ich kwarantannie, odrzucenie lub usunięcie.
Przed przystąpieniem do konfigurowania rekordu upewnij się, czy posiadasz ustawiony rekord DMARC dla swojej domeny. Sprawdzisz to narzędziem np. MxToolbox. Poniżej prezentujemy przykład wyniku rekordu DMARC z prawidłowymi ustawieniami:
Twój rekord DMARC musi zawierać „p=quarantine” lub „p=reject”. To oznacza, że nie zezwalasz na dostarczanie wiadomości, które nie zostały uwierzytelnione przez Twój system pocztowy. Jeśli wybierzesz "p=quarantine", nieuwierzytelnione wiadomości będą przekazywane do folderu spam lub junk.
Jeśli Twoja domena nie przejdzie którejkolwiek z powyższych kontroli, to pokazujemy Ci, jak skonfigurować DMARC dla Twojej domeny.
Konfiguracja DMARC
W celu konfiguracji rekordu DMARC, musisz posiadać skonfigurowane rekordy SPF i DKIM w panelu usługi Twojego hostingu. To czynniki definiujące, jak serwer pocztowy powinien postępować, gdy otrzyma wiadomość, która nie przeszła weryfikacji SPF i DKIM.
Ustaw tryb monitorowania DMARC, tworząc rekord DNS o typie TXT i nadając mu nazwę:
„_dmarc”
oraz przykładową wartość rekordu:
v=DMARC1;p=quarantine;sp=none;pct=100;adkim=r;aspf=r;fo=0;rf=afrf;ri=86400;rua=mailto:dmarcreports@twoja_domena.pl
Oto co oznaczają poszczególne wartości w podanym przykładzie:
- "_dmarc" to standardowy prefiks dla nazwy rekordu DMARC w systemie DNS.
- "v=DMARC1" oznacza używaną wersję protokołu DMARC. Aktualnie DMARC1 jest jedyną dostępną wersją.
- "p=quarantine" określa politykę DMARC do zastosowania, gdy wiadomość e-mail nie przechodzi weryfikacji SPF i/lub DKIM.
- “sp=none” to polityka dla subdomen. W tym przypadku "none" oznacza, że DMARC nie powinien mieć wpływu na wiadomości e-mail wysyłane z subdomen.
- “adkim=r” określa restrykcyjny tryb weryfikacji oparty na DKIM. W tym przypadku "r" oznacza "relaxed" (luźny), co określa, akceptację wiadomości, które nie dokładnie pasują do identyfikatora domeny w sygnaturze DKIM, ale mają końcówkę pasującą do identyfikatora domeny.
- “aspf=r” określa restrykcyjny tryb weryfikacji oparty na SPF. Podobnie jak w przypadku "adkim", "r" oznacza "relaxed" - akceptację wiadomości niedokładnie pasujących do identyfikatora domeny w nagłówku „From”(„Od”).
- “fo=0” definiuje, kiedy powinny być generowane raporty o błędach. Wartość "0" oznacza, że raporty są generowane, jeśli zarówno SPF, jak i DKIM zawodzą.
- “rf=afrf” określa format raportów o błędach. W tym przypadku "afrf" oznacza "Authentication Failure Reporting Format". Raporty AFRF są wysyłane, gdy wiadomość e-mail nie przechodzi autentykacji DMARC.
- “ri=86400” określa interwał (w sekundach), co ile powinny być wysyłane raporty. W tym przypadku "86400" oznacza, że raporty powinny być wysyłane co 24 godziny.
- "pct=100" określa procent wiadomości, do których powinna być stosowana polityka DMARC. W tym przypadku "100" oznacza, że polityka DMARC powinna być stosowana do 100% wiadomości.
- "rua=mailto:dmarcreports@twoja_domena.pl": Podany przykładowy adres e-mail jest miejscem, do którego będą wysyłane raporty zawierające informacje o ilości wiadomości, które przeszły lub nie przeszły weryfikacji SPF i DKIM.
Dla celów uzyskania VMC możesz ustawić „p=quarantine” albo „p=reject”. Jeśli nie jesteś pewien, którą opcję wybrać, jednym ze sposobów jest najpierw ustawienie „quarantine”, a następnie przeprowadzenie ręcznej weryfikacji. Następnie możesz odpowiednio zaktualizować swój rekord SPF i ostatecznie zmienić ustawienie na „reject”, gdy filtrowanie będzie działać poprawnie.
W przypadku hostingu MSERWIS opartego na oprogramowaniu cPanel, rekord DMARC dodasz łatwo logując się do swojego konta, przechodząc do zakładki „Edytor Stref”, a następnie klikając w przycisk “Zarządzaj” znajdujący się obok swojej domeny.
Zapoznaj się także z pozostałymi przydatnymi uwagami:
- Upewnij się, że skonfigurowałeś uwierzytelnianie SPF i DKIM dla wszystkich domen, których używasz do wysyłania wiadomości e-mail. Jeśli pominiesz jakiś serwer, wysyłane przez niego e-maile nie zostaną dostarczone.
- Nie musisz czekać na skonfigurowanie DMARC, aby rozpocząć proces VMC – kontrola DMARC jest częścią procedury sprawdzania poprawności certyfikatu, więc możesz rozpocząć implementację VMC równolegle.
- Rekord DMARC nie weryfikuje poprawności ustawień rekordów SPF i DKIM i sprawdza jedynie ich obecność. Poprawność tych dwóch rekordów sprawdzisz np. używając narzędzia isnotspam.com.