DMARC, k čemu vlastně slouží?

DMARC

Jedná se o princip, který ověřuje příchozí e-mailové zprávy. Vychází z adresy daného odesílatele a ověřuje, zda byl e-mail skutečně odeslán z uvedené domény. Na začátek je je nutné v rychlosti zmínit co je to DKIM a SPF, jelikož DMARC tyto dvě technologie kombinuje. 

DKIM - zabývá se obsahem dopisu, může jej ovšem podepsat téměř kdokoliv. Podaří-li se ověřit DKIM podpis, zbývá ještě otázka, jestli se může věřit podepisujícímu. 

SPF - ověřuje odesílající server a vychází z informací předaných protokolem SMTP. Ty se ovšem nemusí shodovat s tím, co je napsáno v hlavičkách dopisu. 

DMARC na tyto dvě technologie navazuje, kombinuje je a má následující klíčové vlastnosti: 

• Vychází z adresy odesilatele uvedené v hlavičce From dopisu a snaží se ověřit, jestli dopis byl skutečně odeslán z uvedené domény.

• Využívá SPF a DKIM – pokud bylo splněno SPF odesilatelovy domény nebo dopis nese její ověřený DKIM podpis, považuje ji za důvěryhodnou.

• Definuje politiku pro neúspěšné dopisy – jak se zachovat k těm, které DMARC ověřením neprojdou.

• Umožňuje nastavit zpětnou vazbu – kam a jak posílat zprávy o výsledcích DMARC pro dopisy (údajně) odeslané z dané domény.

• Lze nastavit, že se má uplatňovat jen pro část dopisů a nasazovat je postupně.

• DMARC zveřejňuje držitel odesílající domény a ověřuje příjemce dopisu

Je důležité, že DMARC není jen samostatnou technologií, ale navazuje právě na existující SPF a DKIM. Jimi si příjemce ověří, zda dopis vyhověl pravidlům pro odeslání z domény podle mail from z SMTP a ze kterých domén má platné podpisy. Tyto informace se poté předávají do modulu DMARC, který porovnává a zkoumá, zda domény ověřené v SPF nebo DKIM mají něco společného z uvedenou doméno v hlavičce from. Pokud alespoň jedna část je pravdivá, tak se podle DMARC dá věřit tomu, že dopis byl opravdu odeslán z dané domény. 

Jak je to s tím porovnáváním domén? 

Porovnává se vždy doména uvedená za zavináčem v adrese odesilatele proti doméně ověřené SPF a DKIM. V případě SPF slouží k porovnání domána použitá v SMTP příkazu mail from. U DKIM se jedná o doménu z položky d= úspěšně ověřeného podpisu. DMARC rozlišeuje dva režimy porovnání. V přísném řežimu (strict) musí být obě domény totožné. Ve volném (relaxed) stačí, aby odpovídala doména organizace. Pokud tedy odesilatel bude nekdo@abc.cz a dopis ponese ověřený DKIM podpis s d=dkim.abc.cz, doména podpisu vyhovuje odesilatelské ve volném režimu. Nikoli v režimu přísném. Režim porovnání si diktuje odesilatel. Součástí jím publikovaného DMARC záznamu mohou být také položky aspf a adkim, které odděleně nastavují režim porovnání pro SPF a DKIM. Hodnotou může být r (volný) nebo s (přísný). Implicitní nastavení je aspf=r; adkim=r, tedy volný režim porovnání pro obě technologie.

DMARC záznam

Politiku pro DMARC zveřejňuje držitel odesilatelské domény v podobě tzv. DMARC záznamu. Jedná se o typ záznamu TXT, který má pevně dané jménu a vznikne připojením domény, pro niž se pravidla nastavují, k předponě _dmarc. Záznam musí pro danou doménu existovat pouze jeden. Pokud by jich existovalo více, ověření se neprovede. Obsah je strukturován do dvojic položka=hodnota a je oddělovaný navzájem středníky. Záznam musí začínat v=DMARC1, jinak je neplatný. Položky, které se používají v záznamu: 

• v - verze, povinná položka na začátku záznamu s hodnotou DMARC1
• p - politika, povinná položka - jsou k dispozici 3. None (nevyžaduje žádnou konkrétní akci). Quarantine (držitel domény požaduje, aby se na dopisy které mají tuto doménu v adrese odesilatele, ale neprošly DMARC ověřením, pohlíželo jako na podezřelé). Reject (nejtvrdší politika, která požaduje odmítnutí těchto dopisů).
• sp - politika poddomény
• adkim - režim porovnávání domény pro DKIM
• aspf - režim porovnávání domény pro SPF
• pct - procento dopisů, kna něž má být uplatněno DMARC ověření
• rua - adresy, kam posílat agregovaná hlášení o zpracování DMARC
• ri - interval mezi agregovanými hlášeními
• rf - formát hlášení
• ruf - adresy, kam posílat hlášení o selhání DMARC pro jednotlivé dopisy
• fo - volby hlášení o selháních

Chování příjemce

Pokud poštovní server přijímajícího dopis podporuje DMARC, provede se nejprve SPF a DKIM ověření a jejich výsledek se předá do DMARC modulu. Ten obstará DNS DMARC záznam. Pokud neexistuje nebo jich získal více, DMARC pro tuto doménu nelze použít a jeho ověření končí. Pokud má použitelný záznam, pokusí se srovnat odesilatelskou doménu s některou z domén ověřených pomocí SPF nebo DKIM. Když uspěje, dopis úspěšně prošel DMARC. V opačném případě dopis neuspěl a bude s ním naloženo podle politiky definované v DMARC záznamu. Ještě před srovnáváním domén přijde ke slovu případné omezení počtu ověřovaných dopisů. Pokud DMARC záznam obsahuje položku pct s hodnout jinou než 100, příjmece vygeneruje náhodné číslo od 0 do 99 a pokračuje s ověřováním DMARC jen v případě, že je menší než hodnota pct. 

Mezi povinnosti příjemce patří i zpětná vazba, neboli zasílání hlášení. K tomu dochází ve dvou situacích - při neúspěchu ověření a pravidelné agregované hlášení shrnující výsledky DMARC pro danou doménu za určité období. Agregované zprávy se posílají pravidelně v intervalech daných položkou ri (implicitně jednou denně) na adresy určené položkou rua. Obsahují souhrnné údaje o úspěších i neúspěších při ověřování DMARC dopisů odesílaných (údajně) z dané domény. Adres (přesněji URI) může být v rua  uvedeno několik. V tom případě se oddělují čárkami a příjemce by měl rozeslat informaci všem. Agregované zprávy mohou být dlouhé, proto lze k adresám připojit i maximální akceptovanou velikost zprávy. Položka rua je nepovinná a nemá implicitní hodnotu. Pokud není uvedena, agregované zprávy se prostě neposílají. Zpráva o neúspěchu se obvykle posílá ihned po neúspěšném ověření DMARC každého dopisu. Pokud by ovšem frekvence byla příliš vysoká, může přijímající server i zde sáhnout k určité agregaci. Adresu se dozví z položky ruf v DMARC záznamu. Opět lze uvést několik adres a hlášení se posílá všem, opět nemá implicitní hodnotu a pokud chybí, nic se neposílá. Hlášení o chybách se zdá být spíše papírovou možností, kterou současné implementace spíše nepodporují. Doporučujeme je zatím nepoužívat a případně sledovat vývoj, pokud vás lákají.

Smyslem ohlašovací části DMARC je poskytnout správcům poštovního systému zpětnou vazbu, jaké jsou výsledky ověřování dopisů odesílaných jejich uživateli. Bez ní se o případných problémech dozvídají často s velkým zpožděním, protože uživatelé, jak známo, trpí mlčky a obvykle pasivně čekají, až se problém sám spraví. Zároveň se jedná o mechanismus zcela dobrovolný. Jestliže správci o zpětnou vazbu nestojí, jednoduše do DMARC záznamu nevloží rua ani ruf a žádná hlášení přicházet nebudou.

A tím jsme se dostali tak nějak ke konci. Jde vidět že problematika DMARC technologie je poměrně obsáhlá a shrnutí do kratšího bloku by vás mohlo ochudit o důležité informace. I přesto věříme, že ti kteří vydrželi číst až do konce, tak jim byl tento článek přínosem.