Defaults.Exposed › Nastavení › DMARC

Jak nastavit DMARC na Cloudflare

Přidejte DMARC záznam v Cloudflare a řekněte poštovním serverům, co mají dělat s e-maily, které neprojdou vašimi kontrolami.

Co to znamená pro vaši firmu

DMARC propojuje SPF a DKIM a přidává chybějící instrukci: co má přijímající poštovní server udělat, když e-mail tvrdící, že pochází od vás, nesplní kontroly? Bez DMARC každý server hádá. S ním rozhodujete vy — a můžete požádat o zasílání zpráv, kdo posílá e-maily vaším jménem.

Jednoduše řečeno: DMARC je to, co skutečně brání podvodníkům zneužít vaši doménu k podvodům vůči zákazníkům nebo zaměstnancům. Je to politika nad zámky, které poskytují SPF a DKIM — zdarma, za pár minut nastavení.

Nejprve nastavte SPF a DKIM

DMARC ověřuje výsledky SPF a DKIM. Pokud jste je ještě nepřidali, udělejte to nejdříve — DMARC politika bez základů pod sebou nemá co vymáhat.

Ověřte, že Cloudflare spravuje vaše DNS

Stejně jako u každého DNS záznamu, toto funguje pouze tehdy, pokud Cloudflare odpovídá na DNS dotazy pro vaši doménu. Cloudflare je váš DNS hostitel, nikoli poskytovatel schránek, a jeho DNS je aktivní pouze tehdy, když jmenné servery vaší domény ukazují na jmenné servery Cloudflare zobrazené v dashboardu. Otevřete doménu v Cloudflare a zkontrolujte stránku Overview, zda je Cloudflare aktivní. Pokud jmenné servery ukazují jinam, přidejte DMARC záznam u toho poskytovatele, který vaše DNS skutečně spravuje.

Postup na Cloudflare

1. Přihlaste se do Cloudflare a vyberte svou doménu.
2. V levém menu přejděte do DNS nastavení (hledejte DNS / Records).
3. Klikněte na Add record.
4. Nastavte Type na TXT.
5. Do pole Name zadejte přesně: _dmarc Nezadávejte název domény za to — Cloudflare ho doplní automaticky.
6. Do pole Content začněte opatrně s politikou pouze pro monitorování: v=DMARC1; p=none; rua=mailto:[email protected] Nahraďte adresu schránkou, kterou skutečně čtete. Tím požádáte poskytovatele, aby vám posílali souhrnné zprávy, aniž by se teď cokoli měnilo v nakládání s poštou.
7. TTL nechte na Auto.
8. Klikněte na Save.

Volba politiky (část p=)

• p=none — pouze monitorování. Nic se neblokuje; jen dostáváte zprávy. Začněte zde.
• p=quarantine — neúspěšné e-maily přesměrovat do spamu/nevyžádané pošty.
• p=reject — neúspěšné e-maily odmítnout úplně (nejsilnější ochrana).

Nechte p=none běžet několik týdnů, přečtěte si zprávy a ověřte, že veškerá legitimní pošta prochází, pak přejděte na quarantine a nakonec na reject. Přeskočit rovnou na reject bez přečtení zpráv riskuje blokování vaší vlastní pošty.

Časté chyby na Cloudflare

• Name je _dmarc, s podtržítkem. Časté je podtržítko vynechat nebo zapsat _dmarc.vasedomena.com — v Cloudflare zadejte jen _dmarc. Podtržítko na začátku je povinné.
• Nepřidávejte vlastní uvozovky. Vložte prostou hodnotu začínající v=DMARC1;. Cloudflare přidá uvozovky sám; ruční " znaky mohou záznam poškodit.
• Pouze jeden DMARC záznam. Stejně jako u SPF musí existovat jediný DMARC TXT záznam. Pokud už jeden existuje, upravte ho místo přidání druhého.
• TXT záznam se neproxuje. DMARC žije v TXT záznamu, který se nikdy neproxuje — oranžový/šedý přepínač oblaku se zde nepoužívá.
• Používejte skutečnou schránku pro zprávy. Adresa za rua=mailto: by měla být taková, kterou opravdu čtete, jinak jsou zprávy k ničemu. Může být na stejné nebo jiné doméně.
• Dejte tomu čas. Změny DNS mohou trvat od několika minut až po pár hodin.

Ověření, že vše funguje

Po uložení a propagaci spusťte bezplatnou kontrolu na tomto webu. V srozumitelném jazyce vám řekne, zda je váš DMARC záznam na místě a jakou politiku jste nastavili.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.