Sama seade täis DNS-reana (BIND)

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r"

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s"

Mis on SPF, DKIM ja DMARC?

• SPF: loetleb lubatud saatvad hostid (DNS TXT v=spf1 ...); kaitseb ümbriku/Return‑Pathi, mitte nähtavat Fromi.
• DKIM: krüptograafiline allkiri; vastuvõtja küsib avaliku võtme DNS-ist (selector._domainkey.example.ee -> v=DKIM1; k=rsa; p=...).
• DMARC: seob nähtava From‑domeeni SPF/DKIM-i tulemustega ja määrab poliitika (none/quarantine/reject) ning aruandluse.

Alignment (joondus): From‑domeen peab vastama DKIMi d= domeenile või SPF-i MailFrom/Return‑Path domeenile. adkim=r / aspf=r lubab alamdomeenid; adkim=s / aspf=s nõuab täpset vastet.

Miks p=none enam ei piisa

1. Puudub jõustamine: ebaõnnestumisi ei saadeta karantiini ega keelata -> spoofimine jätkub.
2. Kohalejõudmise signaal: suured teenused kasutavad DMARC-i signaalina; ilma jõustamiseta kannatavad ka õiged kirjad.
3. Nähtavus ≠ kaitse: ainuüksi raportid ei peata väärkasutust – quarantine/reject kujundab käitumist.

Järeldus: alusta p=quarantine (relaxed) ja liigu p=reject (strict), kui kogu post vastab nõuetele.

Relaxed (r) vs Strict (s)

• Relaxed (aspf=r; adkim=r): palju saatjaid/alamdomeene -> paindlik käivitus.
• Strict (aspf=s; adkim=s): kontrollid saatmist täielikult -> tugevaim kaitse.

DKIM – praktilised nõuanded

1. 2048‑bitised võtmed; roteeri iga 6–12 kuu järel.
2. Selektori strateegia: nt s2025q4; hoia võtmevahetusel kaks selektorit paralleelselt.
3. Allkirjasta vähemalt: From, Date, Subject, Message‑ID (sageli ka To).
4. Kanoniseering: c=relaxed/relaxed talub teel tehtud muudatusi.
5. cPanel/DNS: vaikimisi selektor on default -> avalik võti default._domainkey.<domain>.
6. Test: vaata Authentication‑Results: dkim=pass, spf=pass, dmarc=pass.

DKIM DNS (cPanel default):

default._domainkey.example.ee. 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A..."

DMARC – poliitikad

Monitooring (lühi­aegne)

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:dmarc-rua@example.ee; ruf=mailto:dmarc-ruf@example.ee; fo=1; ri=86400"

Üleminek (soovituslik miinimum)

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r; pct=100; sp=quarantine; rua=mailto:dmarc-rua@example.ee; fo=1; ri=86400"

Täielik jõustamine

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s; sp=quarantine; rua=mailto:dmarc-rua@example.ee; fo=1; ri=86400"

Minimaalne (ilma raportiteta)

Value (kleepi cPaneli TXT välja):

v=DMARC1; p=quarantine; aspf=r; adkim=r

v=DMARC1; p=reject; aspf=s; adkim=s

Täis DNS-rida (BIND):

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r"

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=reject; aspf=s; adkim=s"

Aruandlus

_dmarc.example.ee. 3600 IN TXT "v=DMARC1; p=quarantine; aspf=r; adkim=r; rua=mailto:dmarc-rua@example.ee!10m,mailto:dmarc-ops@example.ee; ruf=mailto:dmarc-ruf@example.ee; fo=1; ri=86400"

Käivitusplaan

1. Kaardista saatjad.
2. Paranda SPF; väldi +all ja pikki include‑ahelaid.
3. Lülita DKIM kõikjal (2048‑bit, eraldi selektorid).
4. DMARC p=none + RUA 1–4 nädalat; paranda vead.
5. Tõsta p=quarantine (relaxed); monitoori.
6. Liigu p=reject (strict), kui kõik joondub.

Lisalugemist (dmarcian)

• DKIM – põhitõed
• DMARC – põhitõed
• DMARC – seadistamine
• DMARC – RUA
• DMARC – RUF
• SPF – juhend