Defaults.Exposed › Nastavení › DMARC

Jak nastavit DMARC na Microsoft 365

Přidejte DMARC záznam do vašeho DNS a sdělte přijímajícím serverům, co mají dělat s e-maily, které neprojdou vašimi SPF a DKIM kontrolami.

Co to znamená pro vaši firmu

DMARC je politika, která propojuje SPF a DKIM. Říká přijímajícím poštovním serverům, co mají udělat, když e-mail tvrdící, že pochází z vaší domény, tyto kontroly neprojde — ignorovat ho, přesunout do spamu, nebo ho rovnou odmítnout — a může vám posílat zprávy o tom, kdo posílá (a falšuje) poštu vaším jménem. Jednoduše řečeno: DMARC je to, co skutečně brání podvodníkům vydávat se za vaši doménu a podvádět zákazníky a zaměstnance. Je zdarma a proměňuje SPF a DKIM z „hezké věci” na skutečnou ochranu.

Nejprve nastavte SPF a DKIM

DMARC závisí na SPF a DKIM. Nastavte je dříve než DMARC, nebo spolu s ním. DMARC záznam sám o sobě — bez funkčního SPF/DKIM — může způsobit blokování vaší vlastní legitimní pošty. Začněte opatrně (viz poznámka o politice níže) a postupně zpřísňujte.

Důležité: kde se to nastavuje

Stejně jako SPF, DMARC je DNS záznam, nikoli nastavení v Microsoft 365. Microsoft 365 je vaše e-mailová platforma (provozuje schránky), ale DMARC záznam se přidává tam, kde žije DNS vaší domény — u registrátora, webhostingu, Cloudflare nebo kohokoliv, kdo spravuje vaše jmenné servery. Pokud necháte DNS spravovat Microsoft, přidáte ho v centru pro správu Microsoft 365 → Nastavení → Domény → záznamy DNS; jinak to jde do DNS hostitele. Žádný samostatný „přepínač DMARC” v Microsoft neexistuje — Microsoftova část spočívá jen v tom, že fungující SPF a DKIM (nastavené samostatně) jsou základem, na kterém DMARC staví.

Nejprve: která společnost spravuje vaše DNS?

DMARC záznam funguje jen tehdy, pokud je přidán tam, kam ukazují jmenné servery vaší domény. Pokud si nejste jisti, zkontrolujte sekci Nameservers u svého registrátora, nebo se zeptejte toho, kdo vám nastavoval web. Přidejte záznam v DNS nastavení té společnosti (hledejte DNS / Records / Advanced DNS).

Co přidáte

Jediný TXT záznam se speciálním názvem hostitele: _dmarc.

Bezpečná počáteční hodnota, která pouze monitoruje a nic neblokuje:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = pouze monitorování; zatím se nic neblokuje. Dobré pro první týdny.
• rua=mailto:... = kam se posílají souhrnné zprávy. Použijte skutečnou schránku, kterou čtete.
• Jakmile potvrdíte (přes zprávy a bezplatnou kontrolu), že vaše legitimní pošta prochází, můžete politiku zpřísnit na p=quarantine (neúspěšné do spamu) a poté na p=reject (neúspěšné odmítnout). Microsoft doporučuje postupně dosáhnout p=reject, jakmile máte jistotu.

Postup

1. Přihlaste se ke svému DNS hostiteli (registrátor, webhosting nebo DNS poskytovatel — nebo centrum pro správu Microsoft 365, pokud Microsoft spravuje vaše DNS).
2. Otevřete DNS nastavení pro svou doménu (hledejte DNS / Records / Advanced DNS).
3. Přidejte nový záznam a zvolte TXT.
4. Do pole Name / Host zadejte přesně _dmarc (s úvodním podtržítkem). Nezadávejte _dmarc.vasedomena.com — DNS hostitel doménu doplní automaticky.
5. Do pole Value vložte svůj DMARC řetězec, např. v=DMARC1; p=none; rua=mailto:[email protected] (nahraďte e-mail skutečnou adresou, kterou sledujete).
6. TTL nechte na výchozí hodnotě.
7. Uložte.

Časté chyby

• Není to nastavení schránky. Lidé hledají „DMARC” v nastavení Microsoft 365 — není tam jako přepínač. Patří do DNS.
• Název hostitele je _dmarc, s podtržítkem. Vynechání podtržítka nebo zadání celé domény za něj umístí záznam na špatné místo a DMARC nebude nalezen.
• Pozor na uvozovky. Vložte hodnotu prostou; většina DNS hostitelů přidá uvozovky za vás. Neobalujte ji "..." sami.
• Pouze jeden DMARC záznam. Měl by existovat právě jeden TXT záznam na _dmarc. Pokud už jeden existuje, upravte ho místo přidání druhého.
• Začněte s p=none. Přeskočit rovnou na p=reject před tím, než jsou SPF/DKIM solidní, může zablokovat vaše vlastní faktury a nabídky. Nejprve monitorujte, pak zpřísňujte.
• Používejte skutečnou schránku pro zprávy. Adresa rua musí být taková, na které skutečně přijímáte poštu.
• Dejte tomu čas. Změny DNS mohou trvat od minut až po pár hodin.

Ověření, že vše funguje

Po uložení ověřte, že je váš DMARC záznam aktivní a správný, pomocí bezplatné kontroly na Defaults.Exposed. Zadejte svou doménu a web vám srozumitelně řekne, zda je DMARC správně nastaven a co dělat dál. Vaše data jsou zpracovávána v EU.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.