DMARC varmistaa, että sähköpostijärjestelmät luottavat verkkotunnuksestasi lähetettyihin viesteihin. DMARC:n käyttäminen SPF:n ja DKIM:n kanssa antaa organisaatioille paremman suojan huijauksia ja tietojenkalasteluita vastaan. DMARC auttaa vastaanottavia sähköpostijärjestelmiä päättämään, mitä tehdä verkkotunnuksesi sähköpostiviesteille, jotka eivät läpäise SPF- ja/tai DKIM-tarkastuksia.
Toimialueellinen viestien todennus, raportointi ja yhdenmukaisuus
DMARC on lyhenne sanoista Domain-based Message Authentication, Reporting and Conformance.
Se on sähköpostin todennusprotokolla, joka on suunniteltu antamaan sähköpostin toimialueen omistajille mahdollisuus suojata verkkotunnustaan luvattomalta käytöltä.
Isoista toimijoista mm. Google tulee vuoden 2024 helmikuussa tiukentamaan sähköpostisuodatuksiaan entisestään. Tiukennusten jälkeen, kaikkien massaviesti lähettäjien (toimijat, jotka lähettävät yli 5 000 sähköpostia yhden päivän aikana Googlen sähköposteihin) tulee asettaa omalle toimialueelleen SPF-, DKIM- ja DMARC-tietue, jotta viestit menevät ongelmitta perille Googlen sähköpostiosoitteisiin kuten Gmail-osoitteisiin. Jos edellä mainittuja tietueita ei ole asetettu, niin viestit eivät todennäköisesti mene perille Googlen sähköpostiosoitteisiin.
Tarkempaa tietoa löytyy Googlen tukiartikkelista: Email sender guidelines
Mikä on DMARC?
Domain-based Message Authentication, Reporting and Conformance eli DMARC on menetelmä sähköpostiviestien todentamiseen. DMARC-käytäntö kertoo vastaanottavalle sähköpostipalvelimelle, mitä tehdä sen jälkeen, kun se on tarkastanut verkkotunnuksen SPF (Sender Policy Framework) ja DKIM (DomainKeys Identified Mail) -tietueet, jotka ovat muita sähköpostin todennusmenetelmiä.
DMARC ja muut sähköpostin todennustavat (SPF ja DKIM) on tarkoitettu sähköpostin huijauksen estämiseksi. Jokaisella sähköpostiosoitteella on verkkotunnus, joka on @-symbolin jälkeen tuleva osa osoitteesta (esimerkiksi: @louhi.fi). Haitalliset osapuolet ja roskapostittajat yrittävät joskus lähettää sähköposteja verkkotunnuksesta, johon heillä ei ole valtuuksia (sama kuin joku kirjoittaisi kirjeeseen väärän palautusosoitteen). Tarkoituksena on yleensä yrittää huijata viestin vastaanottajaa.
Yhdessä DMARC, DKIM ja SPF toimivat ikään kuin sähköpostin lähettäjien taustatarkistajina. Tällä varmistetaan, että lähettäjät ovat niitä keitä väittävät olevansa.
Esimerkkinä, roskapostittaja lähettää sähköpostin osoitteesta “luotettava@esimerkki.com”, vaikka hänellä ei ole lupaa lähettää sähköpostia esimerkki.com -verkkotunnuksesta. Roskapostittaja tekisi tämän korvaamalla sähköpostin Lähettäjä-otsikon sanalla "luotettava@esimerkki.com". Todellisuudessa he eivät lähettäisi sähköpostia varsinaisesta esimerkki.com -sähköpostipalvelimesta. Sähköpostipalvelimet, jotka vastaanottavat tämän sähköpostin, voivat käyttää DMARC-, DKIM- ja SPF-protokollaa havaitakseen, että tämä on luvaton sähköposti, ja merkitä sähköpostiviestin roskapostiksi tai kieltäytyä toimittamasta sitä.
Mikä on DMARC-tietue?
DMARC-tietueessa on määritelty verkkotunnuksen (toimialueen) DMARC-käytäntö. DMARC-tietue lisätään TXT-tietueena verkkotunnuksen nimipalvelimen ohjaustietueeseen (DNS-tietue).
DMARC-tietue vaatii toimiakseen olemassa olevan SPF- tai DKIM-tietueen verkkotunnuksessa. Alla on linkit ohjeisiin, kuinka lisätä SPF- ja DKIM-tietueet Louhen konsolissa.
SPF-tietueen lisäysohje:
Sähköpostiviestien lähettäjän todennus SPF-tietueella : Louhi - Asiakaspalvelu
DKIM-tietueen lisäysohje:
Email Deliverability - varmista sähköpostin perillemeno webhotellista
Mikä on DMARC-käytäntö?
DMARC-käytäntö (DMARC-policy) määrittää, mitä sähköpostille tapahtuu sen jälkeen, kun se on tarkistettu SPF- ja/tai DKIM-tietueiden suhteen. Sähköposti joko läpäisee tai ei läpäise SPF- ja/tai DKIM-tarkastusta. Jos sähköposti ei läpäise SPF- ja/tai DKIM-tarkastusta, DMARC-käytäntö määrittää, merkitäänkö sähköposti roskapostiksi, estetäänkö se tai toimitetaanko se aiotulle vastaanottajalle.
Huom! Sähköpostipalvelimet voivat merkitä sähköpostit roskapostiksi, vaikka DMARC-tietuetta ei ole, mutta DMARC antaa selkeämmät ohjeet sen tekemiseen.
Esimerkki.com verkkotunnuksen DMARC-käytäntö voisi olla esimerkiksi seuraavanlainen:
"Jos sähköposti ei läpäise DKIM- ja SPF-tarkastusta, merkitse se roskapostiksi."
Edellä mainittu DMARC-käytäntö näyttäisi DMARC-tietueessa tältä:
v=DMARC1; p=quarantine; adkim=s; aspf=s;
Mitä edellä mainittu DMARC-käytäntö tarkoittaa?
Alla on avattu DMARC-tietueen v=DMARC1; p=quarantine; adkim=s; aspf=s; eri osat ja mitä ne tarkoittavat.
v=DMARC1 osoittaa, että tämä TXT-tietue sisältää DMARC-käytännön ja että sähköpostipalvelimien tulisi tulkita se sellaisena.
p=quarantine tarkoittaa, että sähköpostipalvelimien tulee laittaa karanteeniin ne sähköpostit, jotka eivät läpäise SPF ja DKIM tarkastusta, koska ne ovat mahdollisesti roskapostia. Nämä viestit ohjautuvat vastaanottajan spämmi- tai roskapostikansioon.
Muut mahdolliset p= arvot ovat:
p=none, joka sallii sähköpostien, jotka eivät läpäise SPF- ja DKIM-tarkastusta, kulkemisen edelleen läpi vastaanottajan sähköpostilaatikkoon asti. Arvo none ei siis käytännössä tee mitään toimenpiteitä saapuville viesteille.
p=reject, joka käskee sähköpostipalvelimia estämään sähköpostit kokonaan, jotka eivät läpäise SPF- ja DKIM-tarkastusta. Nämä viestit eivät koskaan saavu vastaanottajan palvelimelle asti.
adkim=s tarkoittaa, että DKIM-tarkastukset ovat "tiukkoja". Tämä voidaan myös asettaa tilaan "rento" muuttamalla s-kirjain r-kirjaimeksi, kuten adkim=r.
aspf=s tarkoittaa, että SPF-tarkastukset ovat "tiukkoja". Tämä voidaan myös asettaa tilaan "rento" muuttamalla s-kirjain r-kirjaimeksi, kuten aspf=r.
Asetukset aspf ja adkim ovat valinnaisia asetuksia. Attribuutti p= osoittaa, mitä sähköpostipalvelimien tulee tehdä sähköposteille, jotka eivät läpäise SPF- ja DKIM-tarkastusta.
Jos käyttäjä haluaisi tehdä tästä DMARC-käytännöstä vielä tiukemman, se voisi olla esimerkiksi seuraavanlainen:
v=DMARC1; p=reject; adkim=s; aspf=s;
Tämä tarkoittaisi: "Jos sähköposti ei läpäise DKIM- ja SPF-tarkastusta, älä toimita sitä."
Mikä on DMARC-raportti?
DMARC-käytännöt voivat sisältää ohjeita raporttien lähettämiseen sähköposteista, jotka läpäisevät tai eivät läpäise DKIM- ja/tai SPF-tarkastusta. Käyttäjä voi määrittää raportit lähetettäväksi valitsemaansa sähköpostiin käyttämällä rua=mailto: asetusta, joka on valinnainen asetus. DMARC-raportit antavat käyttäjälle tiedot, joita hän tarvitsevat päättääkseen, tarvitseeko DMARC-käytäntöä muuttaa.
HUOM! raporttien vastaanottosähköpostiksi ei suositella omaa pääsähköpostilaatikkoa, koska raportit tulevat päivittäin. Raportit voivat nopeasti tukkia pääsähköpostin.
Alla on esimerkki DMARC-tietueesta, jossa on rua= asetus:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:kayttaja@esimerkki.com;
Esimerkin DMARC-raportit lähetetään sähköpostiin kayttaja@esimerkki.com. DMARC-raportteja varten on suositeltavaa määritellä erillinen DMARC-raportteja varten luotu sähköpostilaatikko, jotta oma sähköpostilaatikko ei tukkiinnu raporteista.
Entä verkkotunnukset, jotka eivät lähetä sähköposteja?
Verkkotunnuksissa, jotka eivät lähetä sähköposteja, suositellaan silti käytettävän DMARC-tietuetta, jotta roskapostittajat eivät voi käyttää verkkotunnusta. Tällöin DMARC-tietueessa tulee olla DMARC-käytäntö, joka hylkää kaikki sähköpostit, jotka eivät läpäise SPF- ja/tai DKIM-tarkastusta. Tämä tarkoittaa kaikkia kyseisen verkkotunnuksen lähettämiä sähköposteja.
Toisin sanoen, jos verkkotunnusta esimerkki.com ei ole määritetty lähettämään sähköpostia, kaikki kyseisen verkkotunnuksen lähettämät sähköpostit epäonnistuvat SPF- ja/tai DKIM-tarkastuksessa ja ne hylätään.
DMARC-tietueen lisäys Louhi konsolissa
Voit lisätä DMARC-tietueen Louhi Konsolin verkkotunnushallinnasta kohdasta Palvelut -> Verkkotunnukset -> klikkaa verkkotunnusta -> DNS-tietueet -> Lisää uusi
Tietue: -kenttään tulee merkitä _dmarc
Tyyppi: - kenttään valitaan arvoksi TXT
Osoite: -kenttään syötetään arvoksi DMARC-käytäntö, esimerkiksi v=DMARC1; p=reject; adkim=s; aspf=s;
Alla on esimerkkikuva DMARC-tietueesta, joka koskee verkkotunnusta esimerkki.com ja jossa on rua -asetus sähköpostiosoitteeseen kayttaja@esimerkki.com.
Miten määritän sopivan DMARC-käytännön?
DMARC-käytännön määrityksessä organisaation tulee tehdä päätös, kuinka tiukan linjan organisaatio ottaa käyttöön sähköpostien tarkaskastuksessa. Päätöksen jälkeen organisaation tulee asettaa DMARC-käytäntö linjan mukaiseksi. DMARC-käytännön seuraaminen ja päivittäminen onkin jatkuva prosessi.
DMARC-käytännön voi aluksi aloittaa kevyemmillä asetuksilla, jolloin organisaatiossa voidaan seurata, kuinka ne vaikuttavat saapuviin sähköposteihin. Seurannan tarkoituksena on nähdä, mitä sähköposteja DMARC-käytäntö ohjaa spämmi- ja roskapostikansioon.
Ajan myötä DMARC-käytäntöä voi sitten tiukentaa, kun näyttää siltä, että spämmi- ja roskapostikansioon ei joudu enää asiallisia sähköposteja. Yleinen suositus on esimerkiksi, että p= arvo aloitetaan joko arvolla none tai quarantine ja sitten ajan myötä nostetaan tiukimpaan reject arvoon.
Esimerkiksi Microsoftin mukaan yleisin Microsoft 365 ympäristössä käytetty DMARC-käytäntö on seuraavanlainen: "v=DMARC1; p=policy; pct=100"
p=policy tarkoittaa, että organisaation tulee valita policy -sanan tilalle jokin arvoista none, quarantine tai reject.
pct=100 tarkoittaa, että sääntö koskee kaikkia sähköposteja eli 100%. Jos arvona olisi pct=50, sääntö koskisi 50% sähköposteista.
Kaikkein yksinkertaisimmillaan DMARC-tietue voi näyttää tältä: v=DMARC1; p=none;
HUOM: Tehdäksesi DNS-tietue muutoksia Louhi Konsolissa, tulee verkkotunnuksesi käyttää Louhen nimipalvelimia.