Jak si zkontrolovat funkčnost DMARC záznamu v e-mailech? Zkuste Valimail


Od 1. 2. 2024 přišla novinka týkající se změn v politice doručování e-mailů. Revoluční změna, se kterou počítal málokdo a jen minorita lidí ví, jak se k ní postavit. Možná ještě méně lidí ví, jak si zpětně zkontrolovat, že je vše skutečně nastavené správně. 

A o tom bude dnešní článek. Radim Cejnek, vývojář, WordPress specialista, ale především aktivní člen pardubické wordpressové komunity se s námi problematice mrknul na zub. A tady je výsledek.

Doporučený postup pro začátečníky

Je několik možností, jak DMARC záznam nastavit –⁠ od volnějších až po velmi striktní. Rozdíl spočívá v následném zacházení s e-maily, které neprojdou ověřením.

To, jak má správně nastavený DMARC vypadat jsme rozebírali v nápovědě i v samotném článku o chystaných změnách v doručování. Neuškodí si rychle připomenout, jak takový DNS záznam vypadá:

_dmarc.vas-hosting.cz   3600   TXT   v=DMARC1; p=reject;
Vysvětlivky k zápisu: Název spolu s konkrétní doménou – TTL – Typ záznamu – hodnota DNS.

Parametr p (politika) určuje, jak mailový server příjemce naloží s e-mailem, který neprojde kontrolou. Dle jeho nastavení buď e-mail:

  1. přesto normálně doručí (p=none),
  2. hodí ho do SPAMu (p=quarantine),
  3. nebo ho doručit odmítne (p=reject).

Je dobré upozornit, že pokud s nastavením DMARCu teprve začínáte, je určitě vhodnější mít politiku nastavenou na v=DMARC1; p=none; jedině tak budou všechny vaše e-maily skutečně doručeny. 

Až po otestování a ujištění se, že e-maily splňují SPF alignment i DKIM alignment je vhodné přejít na p=quarantine případně na p=reject . V opačném případě riskujete, že vaše e-maily budou padat do SPAMu nebo budou zcela odmítnuty.

Protože pokud začnete s p=reject a do SPF záznamu jste předtím zapomněli přidat například e-shop na subdoméně, tak veškeré e-maily, které odešle, mail server příjemce odmítne.

Jak si zkontrolovat, že je vše nastavené správně?

Jedna z prvních věcí, co je nutné ověřit, jsou DNS záznamy a zda směřují, kam mají. To, zda je správně nastavený DNS záznam pro DMARC můžete lehce ověřit například pomocí jednoho z online nástrojů od MXToolBox. Tam stačí zadat doménu a hned máte přehled o tom, jestli a jaký záznam je u domény přidán.

Pozitivní výsledek vypadá například takto:

V rychlém reportu přehledně vidíte, co jednotlivé parametry znamenají, což se hodí, pokud si je nepamatujete z hlavy.

Špatný výsledek poznáte také hned na první pohled.

Vyhodnocování nastavených pravidel v Gmailu

Jak mailové servery příjemců vaše e-maily vyhodnocují, můžete zjistit velmi rychle. Mrkneme se na to, jak vše zjistit například u Gmailu. Podobně to funguje i u Google Workspace, ale tam dejte bacha, nesmíte kontrolovat stejnou doménu (Google občas kontrolu vynechá nebo zobrazí false positive)“.

Postup je jednoduchý:

  1. Z adresy na doméně, kterou chcete zkontrolovat, odešlete na jakoukoliv adresu Gmailu e-mail.
  2. Až dorazí, otevřete jej přímo v Gmailu přes prohlížeč. Stačí kliknout na tři tečky na pravé straně e-mailu a následně zvolit “Zobrazit originál”.

V tabulce, která se vám v tu chvíli zobrazí, máte rychlý přehled o tom, jak Google u tohoto odesílatele hodnotí nejen kontrolu DMARCu, ale i jednotlivé kontroly pro SPF a DKIM.

Pokud Gmail nemáte, můžete odeslat e-mail na check@dmarcly.com a zpátky se vám vrátí podobný přehled s výsledkem, to však může trvat i několik hodin. 

Nezapomeňte zkontrolovat všechny služby

Je potřeba myslet na to, že tímto způsobem zkontrolujete pouze jednu konkrétní službu (např. e-mailového klienta), ale je potřeba zkontrolovat úplně všechny služby, které z vaší domény odesílají e-maily. Může se jednat třeba o kontaktní formuláře na webu, službu pro rozesílání newsletterů, e-shop, fakturační systém nebo často opomíjené tiskárny.

Jak monitorovat DMARC reporty

Z dlouhodobého hlediska je dobré mít v DMARC záznamu nastavené i reportování a používat nástroj, který reporty monitoruje a zároveň i analyzuje.

Reportování se v DNS záznamu _dmarc nastavuje pomocí parametrů:

  1. Nejčastěji rua (což je agregované reportování). Souhrnný report chodí od každého mailového serveru příjemců jednou za čas, nejčastěji denně.
  2. Další možný parametr je ruf (pro forenzní reportování), report je zasílaný pro každý jednotlivý e-mail, ale z bezpečnostních důvodů ho většina serverů neodesílá.

Monitorovacích služeb pro DMARC je na trhu mnoho a každá má jiné výhody. Pro začátek doporučujeme například Valimail Monitor. Ten jako jeden z mála nabízí zdarma správu neomezeného množství domén, zatímco u jiných můžete spravovat zdarma pouze jednu.

Po registraci a přihlášení stačí postupně přidat všechny vaše domény. U každé z nich se doplní DMARC záznam o: 

"rua=mailto:dmarc_agg@vali.email"

Tak se zároveň ověří, že je každá přidaná doména skutečně vaše.

Valimail začne následně přijímat reporty a po několika dnech se můžete přehledně podívat, jak jsou e-maily, které odchází z domény vyhodnocované. Pokud některé neprochází, tak můžete rovnou začít řešit proč.

Pro podrobnější analýzu vám Valimail ukáže například i přehled IP adres, které odpovídaly nastaveným pravidlům a které naopak nikoliv.

Závěrem

Mít DMARC záznam nastavený správně je nejen povinnost, ale i nutnost. Jedině tak se do budoucna vyhnete nepříjemným potížím s řešením doručitelnosti e-mailů. Myslet zároveň i na to, že pouhým zápisem vaše práce nekončí.

Chceme podotknout, že nástrojů na kontrolu i monitoring je na trhu opravdu mnoho. Pokud vás problematika doopravdy zajímá a chcete ji probádat do hloubky, doporučujeme vyzkoušet i další dostupná řešení.

Už teď je ale více než jasné, že DMARCu se do budoucna bude věnovat čím dál více pozornosti a povinný bude nejen pro větší firmy, ale i pro jednotlivce. Tak nic nenechávejte na poslední chvíli.

,