DMARC — Domain-based Message Authentication

Τι είναι το DMARC

Το DMARC «στέκεται από πάνω» από το SPF και το DKIM και λέει στους receivers ένα πράγμα: «αν αυτά αποτύχουν, να τι θέλω να κάνεις με το email».

Επιπλέον, το DMARC σου στέλνει αναφορές (aggregate και forensic) με στατιστικά για το ποιος στέλνει emails ως «εσύ» — εξαιρετικά χρήσιμο για να ανακαλύψεις παράνομη χρήση του domain σου ή legitimate υπηρεσίες που ξέχασες να εξουσιοδοτήσεις.

Πολιτικές DMARC

• p=none — μόνο monitoring, καμία ενέργεια. Καλό για ξεκίνημα.
• p=quarantine — βάλε τα fails στον φάκελο spam.
• p=reject — απόρριψε τα τελείως. Ο στόχος μετά από monitoring.

Παράδειγμα DMARC record

_dmarc.example.com.  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; pct=100; aspf=s; adkim=s"

Στοιχεία:

• v=DMARC1 — έκδοση
• p=quarantine — πολιτική για το main domain
• rua=mailto:... — όπου στέλνονται aggregate reports (XML, καθημερινά)
• pct=100 — εφάρμοσε στο 100% των μηνυμάτων
• aspf=s, adkim=s — strict alignment (το From: domain πρέπει να ταιριάζει ακριβώς)

Alignment — το πιο παρεξηγημένο κομμάτι

Δεν φτάνει το SPF/DKIM να περάσει για κάποιο domain — πρέπει να περάσει για το ίδιο domain που εμφανίζεται στο From:. Αυτό λέγεται alignment.

• Strict (s): exact match (example.com == example.com)
• Relaxed (r): επιτρέπεται subdomain (mail.example.com με example.com)

Συνιστώμενη πορεία υιοθέτησης

1. Εβδομάδα 1-4: p=none + rua. Συλλέγεις αναφορές.
2. Μήνα 2-3: αναλύεις, διορθώνεις όσους legitimate senders αποτυγχάνουν.
3. Μήνα 4: p=quarantine; pct=10 → pct=50 → pct=100.
4. Μήνα 6+: p=reject και έχεις πλήρη προστασία από spoofing.

Το DMARC είναι επίσης προϋπόθεση για BIMI — αν θες να εμφανίζεται το logo σου στο Gmail, χρειάζεσαι p=quarantine ή p=reject.