Od 1. 2. 2024 přišla novinka týkající se změn v politice doručování e-mailů. Revoluční změna, se kterou počítal málokdo a jen minorita lidí ví, jak se k ní postavit. Možná ještě méně lidí ví, jak si zpětně zkontrolovat, že je vše skutečně nastavené správně. 

A o tom bude dnešní článek. Radim Cejnek, vývojář, WordPress specialista, ale především aktivní člen pardubické wordpressové komunity se s námi problematice mrknul na zub. A tady je výsledek.

Doporučený postup pro začátečníky

Je několik možností, jak DMARC záznam nastavit –⁠ od volnějších až po velmi striktní. Rozdíl spočívá v následném zacházení s e-maily, které neprojdou ověřením.

To, jak má správně nastavený DMARC vypadat jsme rozebírali v nápovědě i v samotném článku o chystaných změnách v doručování. Neuškodí si rychle připomenout, jak takový DNS záznam vypadá:

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

_dmarc.vas-hosting.cz   3600   TXT   v=DMARC1; p=reject;

Parametr p (politika) určuje, jak mailový server příjemce naloží s e-mailem, který neprojde kontrolou. Dle jeho nastavení buď e-mail:

1. přesto normálně doručí (p=none),
2. hodí ho do SPAMu (p=quarantine),
3. nebo ho doručit odmítne (p=reject).

Až po otestování a ujištění se, že e-maily splňují SPF alignment i DKIM alignment je vhodné přejít na p=quarantine případně na p=reject . V opačném případě riskujete, že vaše e-maily budou padat do SPAMu nebo budou zcela odmítnuty.

Protože pokud začnete s p=reject a do SPF záznamu jste předtím zapomněli přidat například e-shop na subdoméně, tak veškeré e-maily, které odešle, mail server příjemce odmítne.

Radim Cejnek

Jak si zkontrolovat, že je vše nastavené správně?

Jedna z prvních věcí, co je nutné ověřit, jsou DNS záznamy a zda směřují, kam mají. To, zda je správně nastavený DNS záznam pro DMARC můžete lehce ověřit například pomocí jednoho z online nástrojů od MXToolBox. Tam stačí zadat doménu a hned máte přehled o tom, jestli a jaký záznam je u domény přidán.

Pozitivní výsledek vypadá například takto:

V rychlém reportu přehledně vidíte, co jednotlivé parametry znamenají, což se hodí, pokud si je nepamatujete z hlavy.

Špatný výsledek poznáte také hned na první pohled.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Vyhodnocování nastavených pravidel v Gmailu

Jak mailové servery příjemců vaše e-maily vyhodnocují, můžete zjistit velmi rychle. Mrkneme se na to, jak vše zjistit například u Gmailu. Podobně to funguje i u Google Workspace, ale tam dejte bacha, nesmíte kontrolovat stejnou doménu (Google občas kontrolu vynechá nebo zobrazí false positive)“.

Postup je jednoduchý:

1. Z adresy na doméně, kterou chcete zkontrolovat, odešlete na jakoukoliv adresu Gmailu e-mail.
2. Až dorazí, otevřete jej přímo v Gmailu přes prohlížeč. Stačí kliknout na tři tečky na pravé straně e-mailu a následně zvolit “Zobrazit originál”.

V tabulce, která se vám v tu chvíli zobrazí, máte rychlý přehled o tom, jak Google u tohoto odesílatele hodnotí nejen kontrolu DMARCu, ale i jednotlivé kontroly pro SPF a DKIM.

Pokud Gmail nemáte, můžete odeslat e-mail na check@dmarcly.com a zpátky se vám vrátí podobný přehled s výsledkem, to však může trvat i několik hodin. 

Nezapomeňte zkontrolovat všechny služby

Je potřeba myslet na to, že tímto způsobem zkontrolujete pouze jednu konkrétní službu (např. e-mailového klienta), ale je potřeba zkontrolovat úplně všechny služby, které z vaší domény odesílají e-maily. Může se jednat třeba o kontaktní formuláře na webu, službu pro rozesílání newsletterů, e-shop, fakturační systém nebo často opomíjené tiskárny.

Jak monitorovat DMARC reporty

Z dlouhodobého hlediska je dobré mít v DMARC záznamu nastavené i reportování a používat nástroj, který reporty monitoruje a zároveň i analyzuje.

Reportování se v DNS záznamu _dmarc nastavuje pomocí parametrů:

1. Nejčastěji rua (což je agregované reportování). Souhrnný report chodí od každého mailového serveru příjemců jednou za čas, nejčastěji denně.
2. Další možný parametr je ruf (pro forenzní reportování), report je zasílaný pro každý jednotlivý e-mail, ale z bezpečnostních důvodů ho většina serverů neodesílá.

Monitorovacích služeb pro DMARC je na trhu mnoho a každá má jiné výhody. Pro začátek doporučujeme například Valimail Monitor. Ten jako jeden z mála nabízí zdarma správu neomezeného množství domén, zatímco u jiných můžete spravovat zdarma pouze jednu.

Po registraci a přihlášení stačí postupně přidat všechny vaše domény. U každé z nich se doplní DMARC záznam o: 

"rua=mailto:dmarc_agg@vali.email"

Tak se zároveň ověří, že je každá přidaná doména skutečně vaše.

Valimail začne následně přijímat reporty a po několika dnech se můžete přehledně podívat, jak jsou e-maily, které odchází z domény vyhodnocované. Pokud některé neprochází, tak můžete rovnou začít řešit proč.

Pro podrobnější analýzu vám Valimail ukáže například i přehled IP adres, které odpovídaly nastaveným pravidlům a které naopak nikoliv.

Závěrem

Mít DMARC záznam nastavený správně je nejen povinnost, ale i nutnost. Jedině tak se do budoucna vyhnete nepříjemným potížím s řešením doručitelnosti e-mailů. Myslet zároveň i na to, že pouhým zápisem vaše práce nekončí.

Chceme podotknout, že nástrojů na kontrolu i monitoring je na trhu opravdu mnoho. Pokud vás problematika doopravdy zajímá a chcete ji probádat do hloubky, doporučujeme vyzkoušet i další dostupná řešení.

Už teď je ale více než jasné, že DMARCu se do budoucna bude věnovat čím dál více pozornosti a povinný bude nejen pro větší firmy, ale i pro jednotlivce. Tak nic nenechávejte na poslední chvíli.

• Přečtěte si recenze uživatelů
• Odkaz pro registraci k Valimailu.