DMARC (Domain-based Message Authentication, Reporting and Conformance) on sähköpostin autentikointiprotokolla, joka rakentuu SPF:n ja DKIM:n päälle. Se määrittää mitä vastaanottavan sähköpostipalvelimen tulee tehdä viesteille, jotka eivät läpäise SPF- tai DKIM-tarkistusta, ja tarjoaa raportointimekanismin näiden tapausten seurantaan.
Miten DMARC toimii
DMARC-policy julkaistaan DNS-tietueena, jossa määritetään kolme asiaa. Ensiksi, miten tiukasti vastaanottajan tulee tarkistaa SPF ja DKIM (riittääkö että toinen läpäisee, vai vaaditaanko molemmat). Toiseksi, mitä tehdä viesteille jotka eivät läpäise tarkistusta: joko ei mitään (monitor), laita karanteeniin/roskapostiin (quarantine) tai hylkää kokonaan (reject). Kolmanneksi, minne lähettää raportit epäonnistuneista tarkistuksista.
Esimerkki DMARC-tietueesta: v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@yritys.fi. Tämä tarkoittaa: käytä DMARC-versiota 1, aseta epäonnistuneet viestit karanteeniin (roskapostiin), sovella tätä 100% viesteistä, ja lähetä raportit osoitteeseen dmarc@yritys.fi.
DMARC-policyt: none, quarantine, reject
p=none (monitorointitila) ei vaikuta viestien toimitukseen – epäonnistuneet viestit menevät perille normaalisti, mutta saat raportit niistä. Tämä on hyvä aloitustila, kun otat DMARC:ia ensimmäistä kertaa käyttöön. Voit seurata raportit ja varmistaa että kaikki laillisen viestisi läpäisevät tarkistuksen ennen kuin kiristät politiikkaa.
p=quarantine laittaa epäonnistuneet viestit karanteeniin eli yleensä roskapostikansioon. Tämä on tasapaino turvallisuuden ja joustavuuden välillä – väärät positiiviset eivät katoa kokonaan vaan päätyvät roskapostiin, josta vastaanottaja voi tarvittaessa ne löytää. Tämä on suositeltu taso useimmille yrityksille.
p=reject hylkää epäonnistuneet viestit kokonaan – niitä ei toimiteta ollenkaan. Tämä on tiukin taso, joka tarjoaa parhaan suojan brändin väärinkäytöltä, mutta vaatii että olet täysin varma konfiguraatiosi oikeellisuudesta. Väärä asetus voi blokata lailliset viestisi.
Miksi DMARC on tärkeä
Gmail ja Yahoo ilmoittivat 2024 että ne vaativat DMARC:ia (sekä SPF:n ja DKIM:n) kaikilta massamittaisilta lähettäjiltä (yli 5000 viestiä päivässä). Vaikka et ylittäisi tätä rajaa, DMARC parantaa merkittävästi deliverabilityä ja suojaa brändiäsi sähköpostien väärentämiseltä.
DMARC-raportit antavat arvokasta tietoa siitä, kuka lähettää viestejä sinun domainisi nimissä. Jos huomaat raporteista että joku yrittää väärentää viestejäsi, voit ryhtyä toimenpiteisiin. Raportit paljastavat myös konfiguraatio-ongelmat – esimerkiksi jos unohditte lisätä uuden markkinointityökalun SPF-tietueeseen.
DMARC:n konfigurointi ja ylläpito
Aloita p=none -politiikalla ja seuraa raportteja 2-4 viikkoa. Varmista että kaikki lailliset viestisi läpäisevät SPF- tai DKIM-tarkistuksen. Kun olet varma että konfiguraatio on kunnossa, nosta politiikka p=quarantine -tasolle. Jos haluat maksimaalisen suojan ja olet täysin varma asetuksista, voit siirtyä p=reject -tasolle.
DMARC-raportit ovat XML-muodossa ja niitä voi olla kymmeniä päivässä, joten niiden manuaalinen lukeminen on työlästä. Käytä DMARC-analysointityökaluja kuten Postmark, Dmarcian tai Valimail, jotka muuttavat raportit helppolukuisiksi yhteenvedoksi ja hälytyksiksi. Monet sähköpostimarkkinointityökalut tarjoavat myös sisäänrakennettua DMARC-raportointia.
Yhteenveto
DMARC on sähköpostin autentikointiprotokolla, joka hyödyntää SPF:ää ja DKIM:iä määrittämällä mitä tehdä autentikoinnin epäonnistuessa. Se tarjoaa kolme politiikkatasoa (none, quarantine, reject) ja raportointimekanismin. DMARC on nykyään välttämätön ammattimaaisessa sähköpostimarkkinoinnissa, ja sen konfigurointi tapahtuu DNS-tietueella aloittamalla monitorointitilasta ja siirtymällä vähitellen tiukempiin politiikkoihin.