Artikkelit aiheesta: Sähköposti

DMARC-tietue

DMARC (Domain-based Message Authentication, Reporting and Conformance) on sähköpostin suojausmekanismi, jolla verkkotunnuksen käyttäjä voi

  • määrittää, miten vastaanottajien tulee käsitellä viestejä, jotka epäonnistuvat aitoustarkistuksissa (SPF ja DKIM),
  • pyytää raportteja verkkotunnuksen nimissä lähetetystä sähköposteista (sekä aidosta että väärinkäytöksistä),
  • vähentää spoofingia ja tietojenkalastelua, ja usein parantaa toimitettavuutta, kun asetukset ovat kunnossa.


Kun vastaanottaja saa viestin, jossa näkyy lähettäjänä esim. @sinunverkkotunnus.fi, se voi tyypillisesti tarkistaa:

  1. SPF: Onko SPF-tietueen perusteella lähettävä palvelin sallittu lähettämään sähköpostia kyseisen verkkotunnuksen nimissä?
  2. DKIM: Onko sähköpostissa DKIM-allekirjoitus ja onko se teknisesti validi? Minkä verkkotunnuksen nimissä sähköposti on allekirjoitettu?
  3. DMARC: Meneekö jompikumpi (SPF tai DKIM) läpi ja*** täsmääkö ***se sähköpostin From:-kentän verkkotunnusta? Jos ei, toimitaan DMARC-politiikan mukaan (none / quarantine / reject).


Tässä "täsmää" (aligned) tarkoittaa DMARC-alignmentia: SPF:n (Return-Path/envelope-from) tai DKIM:n (d=) käyttämä verkkotunnus on sama kuin From:-kentässä näkyvä verkkotunnus, tai vähintään aliverkkotunnus (esim. mail.sinunverkkotunnus.fi vastaa sinunverkkotunnus.fi), riippuen asetuksista (strict / relaxed -säännöt).


DMARC menee läpi, jos seuraava ehto täyttyy:

  • SPF menee läpi JA SPF täsmää From:-verkkotunnusta

TAI

  • DKIM menee läpi JA DKIM täsmää From:-verkkotunnusta


DMARC siis vaatii, että vähintään toinen tarkistus (SPF TAI DKIM) onnistuu ja että onnistuneen tarkistuksen verkkotunnus täsmää DMARC-alignmentin mukaan. DMARCin lisäarvo on, että pelkkä SPF-läpimeno tai pelkkä DKIM-läpimeno ei yksin riitä, jos läpimeno liittyy eri verkkotunnukseen kuin mitä From:-kentässä näkyy. Näin DMARC tuo lisäsuojan, joka auttaa estämään verkkotunnuksen nimissä tapahtuvaa spoofingia ja tietojenkalastelua.


DMARCin käyttöönotto


Tässä on kuvattu eräs polku DMARCin käyttöönottoon. Huomaathan, että DMARCin käyttöönotto voi olla monimutkaista, joten tutustuthan DMARCiin ennakkoon huolellisesti.


  1. Kartoita lähettäjät ja varmista SPF ja DKIM


DMARC nojaa SPF:ään ja DKIM:iin. Sen vuoksi on erittäin tärkeää, että varmistat ensin:

  • Kaikki lähetyslähteet on kartoitettuna (Avaruus.netin palveluiden lisäksi esim. Microsoft 365, Google Workspace, uutiskirje-/CRM-järjestelmät jne.).
  • SPF-tietue on olemassa ja sisältää kaikki oikeat lähettäjät
  • DKIM on käytössä kaikissa palveluissa,** **joista lähetetään verkkotunnuksen nimissä


  1. Julkaise DMARC aluksi p=none + rua=mailto:... raportointia varten


DMARC julkaistaan nimipalveluun TXT-tietueena. Tietue lisätään Oma Avaruus -asiakassivuilla kohdassa Verkkotunnukset -> Hallinta -> Zone-tietueet -välilehti.


  • Nimi / aliverkkotunnus: _dmarc
  • Tyyppi: TXT
  • Arvo: DMARC-merkkijono (alkaa aina v=DMARC1; ...)


Jos haluat vain lisätä DMARC-tietueen yksinkertaisimmillaan ilman raportointia tai muita määreitä, anna arvoksi:

v=DMARC1; p=none


Raportointia varten voit kuitenkin aloittaa suoraan seuraavalla arvolla:

v=DMARC1; p=none; rua=mailto:EMAIL


EMAIL kannattaa olla erillinen osoite (esim. dmarc@sinunverkkotunnuksesi.fi), koska raportteja voi tulla paljon ja ne ovat yleensä koneellisesti luettavia koontiraportteja.


p=none tarkoittaa, että DMARC ei vielä pyydä vastaanottajaa karanteeniin tai hylkäämään viestejä. Käytännössä tämä on turvallinen tapa aloittaa, koska se mahdollistaa seurannan ilman pakottavia toimenpiteitä.



  1. Seuraa raportteja ja korjaa poikkeamat


Jos otit DMARC-raportoinnin käyttöön (rua=mailto:...), osa vastaanottajista alkaa lähettää antamaasi osoitteeseen koontiraportteja. Seuraa raportteja, jotta näet, mistä palveluista ja IP-osoitteista sähköpostia lähetetään verkkotunnuksen nimissä ja läpäisevätkö viestit SPF/DKIM/DMARC-tarkistukset.

Raporteista voi paljastua esimerkiksi

  • "unohtuneita" lähetysjärjestelmiä (uutiskirje-, CRM- tai laskutusjärjestelmä),
  • väärin määritetty SPF tai puuttuva DKIM,
  • lähetyksiä IP-osoitteista, joista ei pitäisi lähettää lainkaan (mahdollinen väärinkäyttö).

Korjaa havaitut puutteet päivittämällä SPF (sallitut lähettäjät), ottamalla DKIM käyttöön lähetyspalveluissa ja varmistamalla, että vähintään toinen (SPF tai DKIM) täsmää From:-verkkotunnukseen DMARC-alignmentin mukaan.



  1. Valinnainen: Kiristä politiikkaa vaiheittain


1) Kiristä politiikkaa (karanteeni):


DMARC-epäonnistuvat viestit ohjataan tyypillisesti vastaanottajalla roskapostiin/karanteeniin. Tämä vähentää spoofingia, mutta on pehmeämpi kuin hylkäys. Ota käyttöön vasta, kun raportit näyttävät, että lailliset lähettäjät läpäisevät DMARCin.


v=DMARC1; p=quarantine; rua=mailto:EMAIL


2) Kiristä politiikkaa vielä enemmän (hylkäys):


DMARC-epäonnistuvat viestit pyydetään hylkäämään vastaanottajan päässä. Tämä on tehokkain suoja verkkotunnuksen nimissä tehtävää spoofingia vastaan, mutta vaatii että SPF/DKIM ja kaikki lähetysjärjestelmät ovat kunnossa.


v=DMARC1; p=reject; rua=mailto:EMAIL


3) Valinnainen: Kiristä täsmäystä (strict alignment):


Strict alignment vaatii, että SPF/DKIM:n käyttämä verkkotunnus on täsmälleen sama kuin From:-kentässä näkyvä verkkotunnus. Tämä voi parantaa kontrollia, mutta voi myös rikkoa laillisia lähetyksiä, jos ne käyttävät aliverkkotunnuksia. Ota käyttöön vain, jos raportit ja lähettäjäkartoitus osoittavat sen turvalliseksi.


v=DMARC1; p=reject; rua=mailto:EMAIL; adkim=s; aspf=s



DMARC-politiikka on aina verkkotunnuksen käyttäjän päätös. Avaruus.net voi auttaa teknisesti DNS-tietueen lisäämisessä, mutta ei voi seurata DMARC-raportteja eikä tietää puolestasi, mistä järjestelmistä verkkotunnuksen nimissä lähetetään sähköpostia, mikä politiikka on turvallinen ja milloin kiristää DMARC-politiikkaa.

Päivitetty: 10/01/2026

Oliko tämä artikkeli hyödyllinen?

Jaa palautteesi

Peruuttaa

Kiitos!