Τι Είναι το DMARC και Πώς το Ενεργοποιείς (p=none → quarantine → reject)
Τι είναι το DMARC, η σχέση του με SPF/DKIM (alignment), και η ασφαλής σταδιακή ενεργοποίηση: από p=none (monitor) σε quarantine και τελικά reject — χωρίς να χαθούν νόμιμα email.
Τι Είναι το DMARC
Το DMARC (Domain-based Message Authentication, Reporting & Conformance) είναι μια εγγραφή TXT που λέει στους παραλήπτες τι να κάνουν με email που αποτυγχάνουν στην ταυτοποίηση — και ζητά να σου στέλνουν αναφορές. Στηρίζεται πάνω στα SPF και DKIM: το DMARC «περνά» μόνο αν τουλάχιστον ένα από τα δύο επιτυγχάνει και ταιριάζει (alignment) με το domain στο πεδίο From:.
Γιατί Δεν Αρκεί το SPF/DKIM Μόνο τους
Το SPF ελέγχει τον φάκελο (envelope) αποστολής, το DKIM την υπογραφή — αλλά κανένα δεν δένει αυτό που βλέπει ο χρήστης (το From:) με την πραγματική προέλευση. Το DMARC προσθέτει αυτή ακριβώς τη σύνδεση (alignment) και, κρίσιμα, μια πολιτική για τα αποτυχημένα. Επιπλέον είναι προϋπόθεση για το BIMI (το λογότυπό σου στο Gmail).
Το Record με μια Ματιά
Το DMARC μπαίνει πάντα στο υποπεδίο _dmarc:
Type: TXT Host: _dmarc (δηλαδή _dmarc.example.com) Value: v=DMARC1; p=none; rua=mailto:dmarc@example.com; adkim=s; aspf=s
| Tag | Σημασία |
|---|---|
p= | Πολιτική: none / quarantine / reject |
rua= | Email για aggregate reports (καθημερινά XML — εδώ δουλεύεις) |
ruf= | Email για forensic reports (ανά μήνυμα· λίγοι πάροχοι τα στέλνουν) |
pct= | Σε τι ποσοστό μηνυμάτων εφαρμόζεται η πολιτική (π.χ. pct=25) |
sp= | Πολιτική για subdomains (αν λείπει, κληρονομούν το p=) |
adkim / aspf | Αυστηρότητα alignment: s (strict) ή r (relaxed, default) |
Η Σταδιακή Ενεργοποίηση: none → quarantine → reject
Ποτέ μην πας κατευθείαν σε reject. Ακολούθησε τρία στάδια ώστε να δεις τι θα μπλόκαρες πριν το μπλοκάρεις.
Στάδιο 1 — p=none (Monitor)
Δεν επηρεάζει κανένα email — απλώς ξεκινάς να μαζεύεις αναφορές. Κράτησέ το 2–4 εβδομάδες:
v=DMARC1; p=none; rua=mailto:dmarc@example.com
Στάδιο 2 — Διάβασε τις Αναφορές
Στα aggregate reports (rua) βλέπεις ΚΑΘΕ πηγή που στέλνει ως εσύ — και αν περνά SPF/DKIM με alignment. Στόχος: να εντοπίσεις και να διορθώσεις νόμιμες πηγές που αποτυγχάνουν (ξεχασμένο newsletter, CRM χωρίς DKIM κ.λπ.), ώστε στο enforcement να μη χαθεί τίποτα δικό σου. Τα reports είναι XML — βοηθά ένας δωρεάν DMARC report analyzer.
Στάδιο 3 — p=quarantine (συχνά με pct)
Όταν όλες οι νόμιμες πηγές περνούν, πέρνα σε quarantine — τα αποτυχημένα πάνε spam. Για ασφάλεια ξεκίνα σε μερικό ποσοστό και ανέβασέ το σταδιακά:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com # μετά από λίγες μέρες χωρίς προβλήματα: pct=50 → pct=100
Στάδιο 4 — p=reject (Full Enforcement)
Το τελικό στάδιο: τα αποτυχημένα απορρίπτονται πριν καν φτάσουν. Πλήρης προστασία από spoofing/phishing του domain σου:
v=DMARC1; p=reject; rua=mailto:dmarc@example.com; adkim=s; aspf=s
Σε κάθε στάδιο, επιβεβαίωσε ότι το SPF, το DKIM και το DMARC ευθυγραμμίζονται σωστά:
→ SPF / DKIM / DMARC CheckerΣυχνά Λάθη
- Κατευθείαν
p=rejectχωρίs monitoring → μπλοκάρεις δικά σου email. - Παράλειψη του
rua=→ δεν βλέπεις τίποτα, «τυφλό» rollout. - Λάθος host → το record μπαίνει στο
_dmarc, όχι στο γυμνό domain. - Strict alignment (
adkim=s/aspf=s) πολύ νωρίς → νόμιμα email από subdomains μπορεί να αποτυγχάνουν· ξεκίνα relaxed. - Ξεχασμένο
sp=→ αν δεν στέλνεις από subdomains, βάλεsp=rejectγια να μην τα εκμεταλλευτεί κανείς.
Συχνές Ερωτήσεις
p=none (monitor) για 2–4 εβδομάδες. Δεν επηρεάζει κανένα email — απλώς μαζεύεις αναφορές για να δεις ποιες πηγές αποτυγχάνουν πριν εφαρμόσεις enforcement.quarantine στέλνει τα αποτυχημένα στο spam folder· reject τα απορρίπτει τελείως πριν παραδοθούν. Το reject είναι η πλήρης προστασία, αλλά πήγαινε εκεί μόνο αφού περάσεις από none και quarantine χωρίς προβλήματα.From:. Στήσε και επιβεβαίωσέ τα πρώτα.