Rekord DMARC jest tylko tak silny, jak jego polityka. p=none obserwuje, p=quarantine kieruje pocztę z błędem uwierzytelnienia do spamu, a p=reject blokuje ją całkowicie. Celem jest osiągnięcie p=reject, bo to właśnie to ustawienie realnie powstrzymuje podszywanie się. Ryzyko polega na tym, że działając zbyt szybko, zablokujesz własną prawidłową pocztę. Oto jak przejść przez ten proces bezpiecznie.
Trzy polityki
- p=none nie podejmuje żadnego działania. Odbiorcy nadal wysyłają Ci raporty, więc jest to tryb monitorowania. Daje wgląd, ale zerową ochronę.
- p=quarantine mówi odbiorcom, aby traktowali pocztę z błędem uwierzytelnienia jako podejrzaną i zwykle dostarczali ją do folderu ze spamem.
- p=reject mówi odbiorcom, aby całkowicie odrzucali taką pocztę. To jest cel i jedyna polityka, która w pełni zapobiega podszywaniu się.
Postępuj etapami, a nie jednym skokiem
- Zacznij od p=none i czytaj raporty zbiorcze, aż zobaczysz każdego prawidłowego nadawcę i potwierdzisz, że przechodzi weryfikację SPF lub DKIM z zachowaniem zgodności (alignment).
- Najpierw napraw nadawców, którzy zawodzą. Narzędzie, które podpisuje pocztę, ale nie zachowuje zgodności, lub usługa pominięta w Twoim rekordzie SPF zostanie zablokowana w chwili wprowadzenia egzekwowania. Rozwiąż te problemy jeszcze na etapie
p=none. Zobacz jak naprawić zgodność DKIM. - Przejdź na p=quarantine, opcjonalnie z parametrem
pct=, aby najpierw zastosować politykę do części poczty, na przykładp=quarantine; pct=25. - Przejdź na p=reject, gdy tryb quarantine działa bez zarzutu i bez żadnych niespodzianek.
Nie pomijaj raportów
To raporty sprawiają, że cały proces jest bezpieczny. To one stanowią różnicę między świadomą decyzją a zgadywaniem. Wprowadzanie kolejnych etapów bez ich czytania to prosta droga do zablokowania prawidłowej poczty.
Sprawdź swoją obecną politykę
Przeskanuj swoją domenę, aby zobaczyć, jaką politykę publikujesz dzisiaj i czy raportowanie jest włączone.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.