DMARC - mit jelent és hogyan lehet beállítani?

A DMARC lehetővé teszi, hogy tájékoztassa az e-mail címzettjeit arról, hogyan kezeljék a hamisított üzeneteket, amelyek úgy tűnnek hogy az Ön domainjéből származnak. (Ez az adathalászat támadásoknál egy gyakori taktika.)

A DMARC (Domain-based Message Authentication, Reporting and Conformance) kiegészíti az SPF-et (Sender Policy Framework) és a DKIM-et (DomainKeys Identified Mail), amelyek szintén képesek észlelni az ilyen hamisított üzeneteket, de már nem mondják meg, hogyan kell kezelni.

2024 februárjától a Google és a Yahoo megköveteli a DMARC-beállításokat azokon a domaineken, amelyekről egy bizonyos időszak alatt nagy mennyiségű üzenet érkezik a platformjukon tárolt postafiókokba (a Google esetében ez 5000 vagy több üzenet, 24 órán belül). A Google és a Yahoo 2024-től fokozatosan elutasítja azokat a domainekről érkező üzeneteket, amelyek túllépik ezt a korlátot, és nincs megfelelően beállítva a DMARC. Erről az intézkedésről és arról, hogy ez a változás érinti-e Önt, a cikk végén, a Google és a Yahoo DMARC-követelményei című részben talál további információt.

A DMARC alapelvei

A DMARC DNS-rekordokba van konfigurálva, különösen a _dmarc aldomain TXT-rekordjaként, például _dmarc.webaruhaz-domain.hu. A rekord értékének mindig a v=DMARC1; szöveggel kell kezdődnie (a pontosvessző és a kis- és nagybetűk is fontosak). A további beállítások pontosvesszővel ; vannak egymástól elválasztva.

Hogyan kell a címzettnek kezelnie a kapott üzenetet

A DMARC-mechanizmus lehetővé teszi, hogy a p címkével megadja, mit tegyen a címzett egy hamisított üzenettel, amely úgy tűnik, hogy az Ön domainjéből érkezett (pl. ha az üzenet fejlécében tévesen szerepel az Ön e-mail címe: feladó:info@webaruhaz-domain.hu). Ez a címke határozza meg azt az irányelvet, amelyet a címzettnek a hamisított üzenettel szemben alkalmaznia kell:

  • p=quarantine – az üzenetet gyanúsként kell megjelölni, például áthelyezve a Spam mappába
  • p=reject – az üzenetet teljesen el kell utasítani
  • p=none – a címzett saját belátása szerint dolgozhatja fel az üzenetet

Kezdésként állítsa be az irányelvet p=none vagy p=quarantine értékre, majd később váltson p=reject-re. 

Összegzés és hibajelentések

A DMARC-irányelvek lehetővé teszik, hogy kérje a címzettektől, hogy XML formátumban készítsenek összefoglaló (összesített) jelentéseket vagy hibajelentéseket (más néven törvényszéki jelentéseket). A hibajelentések általában részletezik az összes csalónak minősített üzenetet, míg az összefoglaló jelentések a csaló és jogszerű üzenetekről egyaránt tartalmaznak információkat, így átfogó áttekintést nyújtanak.

Nem minden e-mail címzett támogatja a jelentések küldését, de a nagyobb e-mail-szolgáltatók, mint a Google, Microsoft, Seznam, Yahoo stb., általában ezt teszik, jellemzően napi rendszerességgel. A jelentések hatékony megtekintéséhez és elemzéséhez javasoljuk, hogy használjon speciális, erre a célra tervezett eszközöket, például a dmarcian vagy a Report URI által kínáltakat. 

Az összesített jelentések engedélyezése a rua címkével, a törvényszéki jelentések elküldése pedig a ruf címkén keresztül lehetséges. Mindkét esetben meg kell adni a címet, ahová a jelentéseket küldeni szeretné: rua=mailto:adresa@webaruhaz-domain.hu vagy ruf=mailto:adresa@webaruhaz-domain.hu formátumban. Mindkettőnél elengedhetetlen, hogy a cím előtt a mailto: szerepeljen.

Ha jelentéseket szeretne küldeni egy másik domain címére, mint amelyhez a DMARC definícióval rendelkező DNS TXT rekordot létrehozták, akkor a DNS rekordokban engedélyeznie kell a küldést erre a másik domainre. Tehát ha DMARC jelentéseket szeretne küldeni a webaruhaz-domain.hudomainről az info@masik-domain.hu címre, létre kell hoznia egy TXT rekordot a webaruhaz-domain.hu._report._dmarc.masik-domain.hu aldomainnek a v=DMARC1; értékkel, a masik-domain.hu DNS-rekordjaiban.

DMARC irányelvek korlátozásai

Amennyiben DMARC-kal kezdi a domain nevét, hasznosnak találhat egy olyan beállítást, amely megmondja a levelezőszervereknek, hogy a kiválasztott (p címke által kijelölt) DMARC-irányelvet csak a hamisított üzenetek bizonyos százalékára alkalmazzák. Ezt a pct címkével, és a hamisított üzenetek arányának megadásával lehet beállítani (amelyekre az irányelvnek vonatkoznia kell), pct=12 formátumban. Például a pct=10 megadása azt jelenti, hogy a kiválasztott irányelv csak a hamisított üzenetek 10%-ára vonatkozzon.

Ha azt szeretné, hogy az irányelv minden hamisított üzenetre vonatkozzon, nem szükséges a pct=100 értéket megadnia a DMARC-definícióban, mert amennyiben a pct címke nincs megadva, az irányelv minden üzenetre vonatkozik.

A DMARC beállítása

A DMARC annak a domainnek a DNS-rekordjaiban van beállítva, ahonnan az e-maileket küldik, különösen TXT-rekordként, és mindig a _dmarc aldomainhez. Például a webaruhaz-domain.hu domain esetében ez egy TXT rekord lenne a _dmarc.webaruhaz-domain.hu aldomainhez.

A rekord értékének mindig a v=DMARC1; szöveggel kell kezdődnie (beleértve a pontosvesszőt és a kis- és nagybetűket is). A rekordérték további beállításait ezután pontosvessző választja el. A TXT-rekord beállításának konkrét módja attól függ, hogy hol kezeli a domain DNS-rekordjait.

A domain DMARC-beállításait olyan online eszközökkel is ellenőrizheti, mint a DMARC Inspector vagy a DMARC Check. Még a DNS TXT rekordját is létrehozhatja a DMARC számára egy olyan eszközzel, mint a DMARC Record Wizard.

A domain DNS-rekordjai a Shoptet névszerverekre mutatnak

Amennyiben a domain névszerverei a Shoptetre mutatnak, és ezért a DNS-rekordokat az áruház adminisztrációjából kezeli, akkor közvetlenül az áruház adminisztrációjában állíthat be egy új TXT rekordot a DMARC számára. A BeállításokTárhelyDNS menüben lépjen a TXT rekordok fülre, és kattintson a Hozzáadás gombra. A Domain mezőbe írja be a _dmarc értéket, a Szöveg mezőbe pedig a DMARC rekord értékét, legalább a v=DMARC1;-ot. 

01. ábra - Példa egy TXT rekord beállítására a DMARC számára, az áruház adminisztrációjában.
01. ábra - Példa egy TXT rekord beállítására a DMARC számára, az áruház adminisztrációjában.

A domain DNS-rekordjai egy másik szolgáltató névszervereire mutatnak

Amennyiben a domain névszerverei egy másik szolgáltatóra mutatnak, be kell állítania a DNS TXT rekordot a DMARC számára, az adott szolgáltató adminisztrációjában. Ha bármilyen kétsége felmerül a beállítással kapcsolatban, javasoljuk, hogy olvassa el a szolgáltató súgóját, vagy lépjen kapcsolatba közvetlenül az ügyfélszolgálatukkal. 

Nem tudom, hova mutatnak a domain DNS-rekordjai

Amennyiben nem tudja, vagy nem biztos benne, hogy a domain DNS-rekordjait hol kezelik, könnyen megtudhatja például az áruház adminisztrációjában, a BeállításokTárhelyDNS menüben. Ha ebben a részben olyan értesítést lát, hogy „Ön külső névszervereket használ. A DNS módosításokat a domain-szolgáltató oldalán szükséges végrehajtani.” ez azt jelenti, hogy a domain névszerverei a Shopteten kívülre mutatnak. Hogy pontosan hol, az említett oldalon a Névszerverek menüpont alatt megtekintheti.

Ha nem látja az említett értesítést az adminisztrációban, az azt jelenti, hogy névszerverei a Shoptet-re vannak irányítva, így a továbbiakban a domain DNS-rekordjai a Shoptet névszerverekre mutatnak fejezet szerint járhat el.

Példák a DMARC rekord beállításokra

Annak érdekében, hogy könnyebben megértse és beállítsa a DMARC-ot a domainhez, íme néhány példa a _dmarc.webaruhaz-domain.hufeltételes aldomainre:

  • v=DMARC1; p=none – az e-mailek címzettje saját belső beállításai szerint dolgozza fel a hamisított üzeneteket.
  • v=DMARC1; p=none; rua=mailto:cim@webaruhaz-domain.hu; ruf=mailto:cim@webaruhaz-domain.hu – a címzett a hamisított üzeneteket saját beállításai szerint dolgozza fel, és összesített és törvényszéki jelentéseket is küld a cim@webaruhaz-domain.hu címre.
  • v=DMARC1; p=quarantine – a címzett minden hamisított üzenetet gyanúsnak jelöl, és a Spam mappában (vagy más hasonló mappában, a beállításoktól függően) tárolja.
  • v=DMARC1; p=quarantine; rua=mailto:cim@webaruhaz-domain.hu; ruf=mailto:cim@webaruhaz-domain,hu – a címzett minden hamisított üzenetet gyanúsnak jelöl, a Spam mappában tárolja, és összesített és törvényszéki jelentéseket is küld a megadott címekre.
  • v=DMARC1; p=reject; pct=25; rua=mailto:cim@webaruhaz-domain.hu; ruf=mailto:cim@webaruhaz-domain.hu – a címzett a gyanús üzenetek negyedét elutasítja, a többire a „karantén” szabályzatot alkalmazza, pl. a Spam mappában tárolja. Emellett összesített és törvényszéki jelentéseket is küld az összes üzenetről a megadott címekre.

Javasolt alapvető DMARC rekord beállítások

Amennyiben most kezdi beállítani a domain DMARC-beállításait, és nem biztos abban, hogy milyen konkrét beállításokat vegyen fel a DMARC-rekordba, javasoljuk, hogy alkalmazza a következő alapvető beállításokat:

  • v=DMARC1; p=none; adkim=s; aspf=s; rua=mailto:address@yourshopdomain.com; ruf=mailto:address@yourshopdomain.com – Az adkim=s és aspf=s; paraméterek azt adják meg, hogy az e-maileknek pontosan meg kell egyezniük a DKIM és SPF rekordokban megadott domainnel, ellenkező esetben az üzenet sikertelenként lesz megjelölve. Azonban, a megjelölt üzenetek nem lesznek letiltva a p=none miatt, hanem csak jelentve lesznek. Az összesített jelentések a rua és a ruf mezőkben megadott címekre kerülnek elküldésre.

Amikor üzeneteket küld a Shoptet levelezőszerverén keresztül, a DMARC-irányelv (p=) nem állítható reject értékre, mivel ez problémákat okozhat az üzenetek kézbesítésében.

A Google és a Yahoo DMARC-követelményei

2024 februárjától a Google és a Yahoo megkövetelte a beállított DMARC-mechanizmust minden olyan domainhez, amelyről nagyobb mennyiségben küldenek üzeneteket a Gmail vagy a Yahoo e-mail-fiókjaiba. Mindkét szolgáltató sajátos szabályai és feltételei némileg eltérnek egymástól, de a szabályok betartatása mindkét esetben fokozatosan fog megtörténni. Kezdetben mindkét cég toleránsabb lesz a beállítások esetleges hiányosságaival szemben, de idővel egyre szigorúbban érvényesítik a szabályokat.

Frissítések a Gmail-küldés szabályaihoz és feltételeihez

Az e-mail küldők változásaival kapcsolatos kérdések legfrissebb hivatalos összefoglalója a Google Súgóban található. Az alábbiakban összefoglaljuk a legfontosabb szempontokat:

  • A 2024. februári változások csak a tömeges küldőkre vonatkoznak, amelyeket a Google a következőképpen határoz meg:
    • 24 órán belül 5000 vagy több üzenetet küldtek el egyetlen domain postaládájából Gmail-címekre.
    • A korlátozás az alap-domainre vonatkozik, ami azt jelenti, hogy ha egy domainből és annak aldomainjéből is küld e-maileket, akkor a mindkét domainből származó üzenetek egyetlen korlátba tartoznak.
    • Csak a személyes Gmail-fiókokba küldött üzenetek (általában a @gmail.com vagy a @googlemail.com címek) számítanak bele a korlátba. A Google Workspace egyéni domainjein lévő címekre küldött üzenetek nem számítanak bele.
    • A tömeges küldőként való megjelölésnek nincs lejárata; ha a Google tömeges küldőként azonosítja az Ön domainjét, ez az állapot korlátlan ideig megmarad (hacsak a Google nem módosítja a szabályt).
  • A feltételek teljesítéséhez megfelelően be kell állítani az SPF-, DKIM- és DMARC-mechanizmusokat ahhoz a domainhez, amelyről üzeneteket küld. Nem ezek az egyedüli követelmények; részletes leírást a Google Súgóban talál.
  • A DMARC esetében a minimum követelmény a v=DMARC1; p=none érték beállítása.
  • Amennyiben a feltételek nem teljesülnek, a Google a következőképpen jár el:
+ 2024 februárjától a Google hibaüzeneteket küld a feltételeknek nem megfelelő üzenetek kis százalékára.
+ 2024 áprilisától a Google megkezdi a feltételeknek nem megfelelő üzenetek egy részének elutasítását, az elutasított üzenetek aránya pedig fokozatosan növekszik.
+ 2024. június 1-jétől a Google megköveteli, hogy a tömeges küldőktől érkező összes kereskedelmi és hirdetési üzenet tartalmazzon egy kattintással leiratkozási funkciót – erről a funkcióról bővebben a [Google Súgóban](https://support.google.com/chrome?p=help&ctx=menu#topic=7439538) olvashat.

Frissítések a Yahoo-küldés szabályaihoz és feltételeihez

Az e-mail küldők változásaival kapcsolatos kérdések legfrissebb hivatalos összefoglalója a Yahoo FAQ cikkjében található. A Google-tól származó információkhoz képest, a Yahoo adatai sokkal tömörebbek és kevésbé specifikusak. A Google-hoz hasonlóan a Yahoo új szabályai csak a tömeges küldőkre vonatkoznak, ahol egyetlen alapdomain bármely postafiókja feladónak minősül.

Azonban a Yahoo nem határoz meg limitet arra, hogy a domain mikortól tekinthető tömeges küldőnek, sem az időtartamot, amelytől számítják, és azt sem említi, hogy a tömeges küldő státuszának van-e lejárati dátuma, vagy „örökké tart” mint a Google-nál.

A Google-hoz hasonlóan, 2024 februárjától a Yahoo is megköveteli az SPF- és DKIM-védelem mellett, az általa tömeges küldőként azonosított domainnek, hogy üzenetein legyen beállítva a DMARC-irányelv. Ezen új szabályok betartatása a Yahoo-nál fokozatos lesz, bár további specifikáció nélkül.