Obligativitatea implementarii DMARC pentru trimiterea de email-uri – tot ce trebuie sa stii

1 februarie 2024

Incepand cu luna februarie, Google si Yahoo introduc un set nou de cerinte de autentificare pentru expeditorii de mesaje in masa (cei care trimit >5.000 de emailuri pe zi), solicitandu-le sa implementeze protocoale de autentificare a emailului precum SPF, DKIM si DMARC, sa faciliteze dezabonarea usoara si sa se concentreze asupra relevantei mesajelor.

Cine va fi afectat?

Practic, oricine expediaza 5.000 sau mai multe mesaje pe zi catre conturile de Gmail (cu terminatia @gmail.com si @googlemail.com) si Yahoo va fi afectat.

Scopul acestor reguli este de a proteja casutele de email ale utilizatorilor impotriva mesajelor nedorite si malitioase, dar si de de spam, phishing si malware. Astfel, chiar daca nu depasesti un volum de 5.000 de emailuri expediate zilnic, respectarea acestor reguli te va ajuta sa ramai un expeditor de incredere si cu o buna reputatie, asigurandu-ti rezultate pozitive in ce priveste livrabilitatea si rata de deschidere a email-urilor.

Chiar daca campaniile tale de email nu sunt de mari dimensiuni, este indicat sa implementezi practici sanatoase de trimitere a email-urilor, sa-ti protejezi domeniul si sa-ti pastrezi abonatii in siguranta si cu adevarat interesati de emailurile tale.

Care sunt consecintele incalcarii noilor reguli?

In majoritatea cazurilor, email-urile nu vor mai fi livrate in casutele de email ale destinatarilor, ci vor fi marcate ca spam sau respinse.

Daca email-urile trimise de pe domeniul tau sunt frecvent marcate ca spam, acest lucru va afecta negativ reputatia ta ca expeditor, precum si livrabilitatea email-urilor pe termen lung.

Ce este DMARC?

Acronimul DMARC se traduce in forma extinsa astfel: Domain-based Message Authentication, Reporting & Conformance.

DMARC foloseste verificari DKIM (DomainKeys Identified Mail) si/sau SPF (Sender Policy Framework) pentru a efectua o validare mai avansata a fiecarui mesaj de email primit.

Autentificarea DKIM foloseste semnaturi DKIM pentru a verifica integritatea continutului unui email si sursa acestuia. SPF, pe de alta parte, permite proprietarului de domeniu sa autorizeze adresele IP pentru a trimite email-uri sub numele domeniului si este folosit de furnizorii de servicii de internet precum Gmail, Yahoo etc.

Cu autentificarea DMARC, proprietarii de domenii pot specifica propria procedura de autentificare, cunoscuta si sub numele de politica DMARC. Folosind politica, ei instruiesc un server de receptie cu privire la ceea ce trebuie sa faca daca un email nu trece testul DMARC.

In cele din urma, politica poate furniza, de asemenea, rapoarte cu detaliile fiecarei verificari, pentru a imbunatati procesele si a avertiza imediat daca cineva falsifica domeniul.

Noile cerinte de autentificare a email-urilor

  1. Autentifica-ti Emailurile cu SPF, DKIM si DMARC

Atat Google, cat si Yahoo declara ca este necesar ca toti expeditorii de email-uri in masa (bulk senders) sa implementeze corect protocoalele de autentificare a emailurilor SPF, DKIM si DMARC pentru toate domeniile lor de email. 

Acest lucru ar asigura ca atacatorii nu pot abuza de nume de domenii legitime pentru a trimite catre utilizatori mesaje spam in numele domeniilor respective.

Sender Policy Framework (SPF) este un protocol de autentificare a email-urilor, prin intermediul caruia proprietarii de domenii pot defini serverele de email care sunt autorizate sa trimita email-uri in numele domeniilor respective.

DomainKeys Identified Mail (DKIM) ajuta la protejarea continutului email-ului tau impotriva modificarii in timpul expedierii, prin adaugarea de semnaturi digitale la antetele mesajelor.

DMARC este elementul de legatura dintre acestea, aliniind mesajele la checkpoint-urile SPF si/sau DKIM si stabilind instructiuni pentru serverele de receptie sa accepte, sa carantineze sau sa respinga emailurile neconforme. Procesul contribuie la protejarea mesajelor tale de email impotriva atacurilor de phishing, falsificarii (spoofing), compromiterii email-urilor de business si impotriva altor asemenea atacuri care vizeaza email-ul.

  1. Asigura dezabonarea facila cu un singur click

Utilizatorii trebuie sa aiba posibilitatea de a renunta la primirea email-urilor de la un anumit expeditor cu doar un singur click. Acest mecanism de dezabonare cu un singur clic este o alta cerinta a Google si Yahoo, privitoare la trimiterea bulk de email-uri. Cerinta are ca scop sa faciliteze renuntarea la primirea mesajelor care nu ii intereseaza pe destinatari si pentru eliminarea spam-ului.

  1. Mentine rata de spam sub 0.3%

Chiar daca foloseste mai multe masuri tehnice pentru a bloca mesajele de spam sa ajunga la utilizatorii sai, Google a stabilit o limita ideala de spam care trebuie mentinuta, de sub 0.1%. Aceasta cerinta se asigura ca destinatarii pot evita in continuare primirea mesajelor nedorite sau a celor cu potential malitios. Totusi exista si o marja, care spune ca rata de spam nu ar trebui sa fie egala sau sa depaseasca 0.3%, aspect recomandat inclusiv de Yahoo.

Detalii despre cerintele Google.

Detalii despre cerintele Yahoo.

Cum functioneaza DMARC?

Pentru a intelege cum functioneaza DMARC, trebuie sa stii ca acesta necesita fie o inregistrare SPF, fie o inregistrare DKIM – in mod ideal ambele.

La receptionarea unui email, un server de receptie efectueaza o cautare DNS (Domain Name System) si verifica daca exista o inregistrare DMARC.

Verificarile DKIM/SPF sunt efectuate ca de obicei.

Serverul de receptie realizeaza apoi un test de aliniere DMARC pentru a verifica daca:

  • In cazul SPF, adresa de email „envelope from” din sursa email-ului corespunde adresei „return-path”. Altfel spus, se verifica daca adresa de email de la care a fost trimis mesajul este aceeasi cu adresa setata ca adresa de raspuns;
  • In cazul DKIM, valoarea etichetei „d” (domeniul expeditorului de email) corespunde domeniului de pe care a fost trimis emailul.

Daca ambele autentificari sunt setate, se vor efectua ambele teste de aliniere.

Cerintele de aliniere pot fi „stricte” (domeniile trebuie sa se potriveasca exact) sau „relaxate” (domeniile de baza trebuie sa se potriveasca, dar sunt permise subdomenii diferite).

DMARC va reusi in urmatoarele scenarii:

  • Daca este setata doar una dintre autentificari, verificarea acesteia trebuie sa fie reusita, impreuna cu un test de aliniere corespunzator;
  • Daca ambele autentificari sunt setate, una dintre acestea trebuie sa fie reusita cu testul de aliniere corespunzator, dar nu sunt necesare ambele. Este insa recomandat sa le utilizezi pe amandoua.

Sa presupunem ca un email a esuat un test DMARC din orice motiv. DMARC iti permite sa instruiesti serverul de receptie cu privire la ceea ce ar trebui sa se intample cu emailurile care esueaza la autentificare.

Sunt disponibile trei optiuni (denumite „politici”):

  • „none” – email-ul ar trebui tratat la fel ca si cum nu ar fi fost setata nicio inregistrare DMARC (mesajul poate fi inca livrat, trimis in spam sau respins pe baza altor factori). Optiunea este de obicei folosita pentru a monitoriza mediul si a analiza rapoartele, fara a influenta livrabilitatea;
  • „quarantine” – permite email-ul, dar nu il livreaza in casuta de inbox. De obicei, astfel de mesaje ajung in folderul de spam;
  • „reject” – respinge imediat emailul care a esuat la verificare.

Este important de retinut ca instruirea serverului cu privire la ceea ce ar trebui sa faca nu inseamna ca acesta va urma cu exactitate setarile tale. Cu toate acestea, vei avea un control mult mai bun decat in cazul autentificarilor DKIM si SPF.

In cele din urma, un server de receptie va trimite rapoarte pentru fiecare verificare DMARC esuata, cu date agregate despre verificari nereusite. Acestea sunt de mare ajutor, deoarece iti permit sa analizezi performanta email-urilor si pentru a fi la curent in cazul in care apar tentative de phishing.

Verificarea inregistrarilor SPF, DKIM si DMARC

Cel mai simplu mod de verificare a inregistrarilor SPF, DKIM sau DMARC este prin utilizarea unui tool gratuit de verificare, precum Dmarcian.com sau Activecampaign.com.

In cazul in care utilizezi nameserverele platformei MerchantPro si adresa de pe care trimiti email-uri este creata pe platforma MerchantPro, nu este necesara nicio interventie din partea ta, deoarece toate inregistrarile vizate de politica DMARC sunt deja active.

Lasa un comentariu