Běžíme v testovacím provozu, prosíme o shovívavost a zpětnou vazbu.
Jak ověřit DMARC záznam vaší domény

Jak ověřit DMARC záznam vaší domény

· 9 min čtení · Tomas Hojgr · dmarc
dmarc email-authentication dns

Proč nestačí DMARC záznam jen nastavit

DMARC propojuje SPF a DKIM s adresou v hlavičce From a říká příjemcům, co udělat s e-maily, které autentizací neprojdou. Jenže samotné nasazení DMARC záznamu je jen začátek. Politika se mění, přibývají odesílající služby, SPF nebo DKIM pod ním mohou přestat procházet alignment — a vy se o tom bez kontroly nedozvíte.

Chybně nakonfigurovaný DMARC záznam je horší než žádný. Přísná politika (p=reject) s chybným nastavením způsobí, že příjemci odmítnou i vaše oprávněné e-maily. Naopak p=none bez reportovací adresy vám nedá žádnou viditelnost — nevíte, kdo za vaši doménu odesílá a jestli autentizace funguje.

Tento článek popisuje tři způsoby, jak DMARC záznam ověřit: online analyzérem, příkazovou řádkou a analýzou e-mailových hlaviček. U každé metody se dozvíte, co přesně hledat a jak výsledky interpretovat.

Kde se DMARC záznam nachází

DMARC záznam je TXT záznam v DNS na subdoméně _dmarc. Pro doménu firma.cz se tedy nachází na:

_dmarc.firma.cz TXT "v=DMARC1; p=reject; rua=mailto:firma.cz@rua.spfmonitor.com"

Na rozdíl od SPF (který je na samotné doméně) a DKIM (kde potřebujete znát selektor) má DMARC vždy stejnou adresu: _dmarc.{doména}. Ověření je proto přímočaré.

Ověření online analyzérem

Nejrychlejší způsob kompletního ověření. Online analyzér načte DMARC záznam z DNS, rozparsuje jednotlivé tagy, zkontroluje syntaxi a validitu hodnot a upozorní na problémy.

Co analyzér kontroluje

Kontrola Co hledá
Existence záznamu Odpovídá DNS na dotaz _dmarc.{doména}?
Syntaxe Správný formát — v=DMARC1 na začátku, platné tagy oddělené středníky
Politika (p=) Přítomnost povinného tagu a platná hodnota: none, quarantine nebo reject
Reportovací adresy Platné URI v tazích rua= a ruf= — prefix mailto:, validní e-mailová adresa
Ověření externích příjemců Pokud rua/ruf směřuje na jinou doménu, musí existovat autorizační záznam {doména}._report._dmarc.{cílová-doména} (RFC 7489, sekce 7.1)
Alignment Nastavení adkim= a aspf= — relaxed (r, výchozí) nebo strict (s)
Politika pro subdomény Tag sp= — pokud chybí, dědí se od nadřazené domény
Procento (pct=) Podíl e-mailů, na které se politika aplikuje (výchozí 100)

Ověřte si svůj DMARC záznam analyzérem SPF Monitoru — zadejte doménu a okamžitě uvidíte obsah záznamu, validaci všech tagů a upozornění na nalezené problémy.

Ověření přes příkazovou řádku

DMARC záznam je standardní TXT záznam v DNS. Můžete se na něj dotázat přímo z terminálu.

Linux a macOS: příkaz dig

dig _dmarc.firma.cz TXT +short

Výstup:

"v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:firma.cz@rua.spfmonitor.com; ruf=mailto:firma.cz@ruf.spfmonitor.com"

Windows: příkaz nslookup

nslookup -q=txt _dmarc.firma.cz

Windows: PowerShell

Resolve-DnsName -Name _dmarc.firma.cz -Type TXT

Na co se zaměřit ve výstupu

  1. Existuje záznam? Pokud DNS nevrátí odpověď (NXDOMAIN), doména nemá DMARC záznam. Příjemci na ni aplikují DMARC politiku nadřazené domény — a pokud ani ta DMARC nemá, e-maily z vaší domény nejsou chráněny.
  2. Začíná v=DMARC1? Tento tag musí být na prvním místě. Záznam bez něj není platný DMARC záznam (RFC 7489, sekce 6.3).
  3. Obsahuje p=? Politika je jediný povinný tag (kromě v=). Bez něj je záznam neplatný.
  4. Obsahuje rua=? Bez reportovací adresy nemáte přehled o tom, jak příjemci vaše e-maily vyhodnocují. DMARC bez rua je jako bezpečnostní kamera bez záznamu.

Příkazová řádka ukáže obsah záznamu, ale neprovede hloubkovou validaci — nekontroluje ověření externích příjemců reportů, nekontroluje hodnoty tagů ani formát adres. K tomu slouží analyzéry.

Ověření kontrolou e-mailových hlaviček

Záznam v DNS může být v pořádku, ale to ještě neznamená, že DMARC autentizace reálně funguje. Definitivní odpověď dává kontrola hlaviček přijatého e-mailu.

Postup

  1. Odešlete e-mail z domény, kterou chcete ověřit, na adresu u velkého poskytovatele (Gmail, Outlook).
  2. V přijatém e-mailu zobrazte zdrojový kód / hlavičky.
  3. Najděte hlavičku Authentication-Results:
Authentication-Results: mx.google.com;
    dmarc=pass (p=REJECT dis=NONE) header.from=firma.cz;
    spf=pass (google.com: domain of info@firma.cz designates 198.51.100.10 as permitted sender);
    dkim=pass header.d=firma.cz header.s=mail2024

Interpretace výsledků

Výsledek Význam Co dělat
dmarc=pass E-mail prošel SPF nebo DKIM s platným alignmentem Vše funguje správně
dmarc=fail Ani SPF, ani DKIM neprojde s alignmentem na doménu v hlavičce From Zkontrolujte SPF a DKIM záznam — a ověřte, že domény v SPF a DKIM odpovídají doméně v hlavičce From
dmarc=temperror Dočasná chyba DNS při dotazu na DMARC záznam Zkuste znovu později
dmarc=permerror Trvalá chyba — syntakticky neplatný DMARC záznam Zkontrolujte formát záznamu v DNS
dmarc=none Doména nemá DMARC záznam Nastavte DMARC

Hodnota dis= (disposition) ukazuje, co příjemce se zprávou skutečně udělal: NONE (doručil), QUARANTINE (spam) nebo REJECT (odmítl). Porovnejte ji s vaší politikou p= — pokud se liší, příjemce může uplatňovat vlastní pravidla.

Nejčastější problémy odhalené při ověřování

Více DMARC záznamů na doméně

Doména smí mít pouze jeden DMARC záznam na subdoméně _dmarc (RFC 7489, sekce 6.6.3). Dva a více způsobí, že příjemce DMARC záznam ignoruje — jako by neexistoval.

# Špatně — dva záznamy
_dmarc.firma.cz TXT "v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com"
_dmarc.firma.cz TXT "v=DMARC1; p=reject"

# Správně — jeden sloučený
_dmarc.firma.cz TXT "v=DMARC1; p=reject; rua=mailto:firma.cz@rua.spfmonitor.com"

Chybějící nebo neplatný tag v=DMARC1

Tag v=DMARC1 musí být na prvním místě v záznamu a musí mít přesnou hodnotu DMARC1. Častá chyba: v=dmarc1 (malá písmena), v=DMARC (bez čísla) nebo tag umístěný jinde než na začátku.

Chybějící politika p=

Tag p= je povinný. Bez něj je záznam neplatný. Platné hodnoty:

  • none — monitorovací režim, příjemce nemění chování
  • quarantine — podezřelé e-maily přesunut do spamu
  • reject — odmítne e-maily, které neprojdou autentizací

Překlep quarentine místo quarantine je překvapivě častý a způsobí neplatnost záznamu.

Neplatné reportovací adresy

Tagy rua= a ruf= musí obsahovat URI s prefixem mailto::

# Špatně
rua=dmarc@firma.cz

# Správně
rua=mailto:dmarc@firma.cz

Pokud reportovací adresa směřuje na jinou doménu než je ta, pro kterou je DMARC záznam publikovaný, příjemce ověří oprávnění přes DNS záznam firma.cz._report._dmarc.{cílová-doména} (RFC 7489, sekce 7.1). Bez tohoto záznamu příjemce reporty neodešle.

SPF Monitor tuto autorizaci zajišťuje automaticky — stačí nastavit rua=mailto:firma.cz@rua.spfmonitor.com a reporty začnou přicházet.

Duplicitní tagy

Každý tag smí být v záznamu pouze jednou. Duplicitní tagy způsobí nepředvídatelné chování — různí příjemci mohou použít různou hodnotu:

# Špatně — duplicitní politika
v=DMARC1; p=none; rua=mailto:firma.cz@rua.spfmonitor.com; p=reject

Politika p=none bez reportů

Politika p=none sama o sobě nic nechrání — pouze signalizuje příjemcům, aby e-maily neblokovali. Její hodnota spočívá v DMARC reportech, které vám dávají přehled o autentizaci. Bez tagu rua= je p=none zbytečný záznam — žádná ochrana, žádná viditelnost.

DMARC bez funkčního SPF a DKIM

DMARC stojí na SPF a DKIM. Pokud ani jeden z protokolů neprojde s platným alignmentem (shoda domény s hlavičkou From), DMARC kontrola selže bez ohledu na to, jak správně je DMARC záznam nakonfigurovaný. Před ověřováním DMARC záznamu se ujistěte, že máte funkční SPF a DKIM.

Kdy DMARC záznam ověřovat

  • Po prvním nasazení — ověřte syntaxi záznamu a zkontrolujte, že reporty přicházejí
  • Před zpřísněním politiky — přechod z p=none na p=quarantine nebo p=reject je nevratný krok pro doručitelnost; ověřte, že SPF a DKIM fungují pro všechny legitimní odesílatele
  • Po přidání nebo odebrání e-mailové služby — nová služba může narušit alignment, pokud odesílá z jiné domény
  • Po migraci DNS — ověřte, že _dmarc záznam byl přenesen a má správný obsah
  • Pravidelně — minimálně jednou měsíčně; ideálně průběžně pomocí automatického monitoringu

DMARC reporty slouží jako průběžné ověřování — každý den dostáváte zpětnou vazbu od příjemců o tom, jak vaše e-maily procházejí autentizací.

DMARC kontrola je součást celku

Platný DMARC záznam je nezbytný, ale sám o sobě nestačí. DMARC funguje pouze tehdy, když pod ním správně pracuje SPF a DKIM. Pokud jste DMARC záznam ověřili a je v pořádku, zkontrolujte i SPF záznam a DKIM záznam.

Kompletní přehled o stavu autentizace vaší domény získáte analýzou domény — na jednom místě uvidíte SPF, DKIM i DMARC a zjistíte, kde jsou slabá místa.

Číst v jiném jazyce: English

Související články

Co je DMARC a jak funguje
dmarc

Co je DMARC a jak funguje

DMARC propojuje SPF a DKIM a přidává politiku pro neautentizované e-maily. Zjistěte, jak funguje, jak ho nasadit a proč ho vyžadují Google i Yahoo.

· 8 min čtení
Jak nastavit DMARC záznam pro vaši doménu
dmarc

Jak nastavit DMARC záznam pro vaši doménu

Praktický návod na nastavení DMARC záznamu krok za krokem. Od prvního záznamu s p=none přes analýzu reportů až po plnou ochranu s p=reject.

· 10 min čtení
Jak číst a interpretovat DMARC reporty
dmarc

Jak číst a interpretovat DMARC reporty

DMARC agregované reporty v XML vypadají nepřehledně. Naučte se číst jednotlivé záznamy, rozlišit spoofing od chybné konfigurace a systematicky…

· 7 min čtení