Изполването на „DMARC“ запис (Domain-based Message Authentication Reporting and Conformance) улеснява получателите на е-поща да установят легитимността на подателя. DMARC е начин за защита от „phishing“ и „spoofing“ атаки.

DMARC записът в DNS зоната позволява на подателя на електронна поща, която вече ползва DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework) или записи от двата вида заедно, да информира получателя за следните неща:

  • Показва механизма, който подателят ползва за да автентифицира своя мейл – DKIM, SPF или двата заедно.
  • Указва на получателя как да се процедира с мейли, които не се автентифицират с някой от двата метода – например да поставя съобщението в Junk папката или да го отхвърля.
  • Опционално изисква от получателя да изпрати обратно рапорт (определен от Abuse Report Format – RFC 5965 или Incident Object Description Exchange Format – RFC 5070) за всички получени от този подател мейли, както автентифицираните, така и непреминалите проверката. Тази информация позволява на подателя да настройва политиката си за обслужване на е-пощата.

Внимание: Tрябва да се използва само един от двата вида записи DMARC или ADSP (The Author Domain Signing Practices).

Формат на DMARC записа:

Име:    _dmarc.my-domain.com.

TTL:    14400

Type:    TXT

TXT Data:     v=DMARC1; p=none; sp=none; rf=afrf; pct=100; ri=86400; rua=mailto:postmaster@my-domain.com; ruf=mailto:abuse@my-domain.com“

Упътване:

v – версия: DMARC1

p – политика: none / reject / quarantine – стойност „none“ означава, че подателят не изисква от получателя да предприема нещо, ако писмото не премине проверките.

sp – политика за поддомейните. Ако това поле не е указано се взема под внимание политиката, дадена с „p“ записа.

pct – процент от мейлите, който да се проверява – числото на процентите е без знака „%“

rf – afrf / iodef – определя формата на рапортите. Стойността по подразбиране е „afrf“.

ri – определя времето между два акомулирани рапорта. Стойността по подразбиране е 86400 сесекунди или 24 часа

fo – 0 / 1 / d / s – определя политиката за рапортуване на грешки. По подразбиране работи стойност  „0“.

При стойност 0 се генерира рапорт към подателя ако всички проверки са неуспешни. Например, ако се изполва само DKIM автентификация и DKIM проверката е неуспешна или ако се изполва SPF и SPF проверката не мине. Ако се използват DKIM и SPS едновременно и само едната проверка е неуспешна – няма да се генерира рапорт.

При стойност 1 се генерира рапорт ако която и да е от проверките се провали.

„d“ генерира рапорт ако DKIM проверката е неуспешна

„s“ генерира рапорт ако SPF проверката е неуспешна

rua – мейл адрес на който трябва да се получават акомулирани рапорти. Ако не е в същия домейн, има допълнителни изисквания към DMARC записа. Рапортите се изпращат като ZIP компресиран XML файл. По подразбиране се изпращат веднъж дневно.

ruf – мейл за получаване на информация за невалидни писма (failure reports). !Внимание: Те се изпращат веднага след получаването на невалидно писмо. При неправилно настроена политика, се получават рапортни писма за всички изпратени.

Визуализиране на DMARC записа:

dig +short txt _dmarc.my-domain.com