Ce este DMARC și de ce contează

DMARC (Domain-based Message Authentication, Reporting and Conformance) este un standard de securitate email care îți permite să controlezi ce se întâmplă cu emailurile trimise fraudulos de pe domeniul tău.

Fără DMARC, un atacator poate trimite emailuri care par să vină de la facturi@firma.ro sau ceo@firma.ro — iar destinatarii nu au cum să știe că sunt false. Această tehnică se numește email spoofing și este utilizată în atacuri de phishing, BEC (Business Email Compromise) și fraude financiare.

DMARC funcționează pe baza SPF și DKIM: verifică dacă emailul a fost trimis de un server autorizat și dacă semnătura criptografică este validă. Dacă nu, definești tu ce face serverul destinatarului: să ignore (none), să marcheze ca spam (quarantine) sau să blocheze complet (reject).

Situația actuală: Conform rapoartelor SecureCheck, peste 60% din domeniile .ro nu au configurat DMARC. Mii de firme pot fi uzurpate prin email fără nicio protecție.

Configurare DMARC pas cu pas

Configurarea DMARC se face prin adăugarea unui record TXT în DNS la subdomenul _dmarc.domeniu.ro.

Pasul 1 — Verifică SPF și DKIM

DMARC are nevoie de cel puțin una din cele două metode active. Verifică gratuit cu SecureCheck sau cu dig TXT domeniu.ro și dig TXT _dmarc.domeniu.ro.

Pasul 2 — Creează recordul de monitorizare (p=none)

Începe cu politica none — nu blochezi nimic, dar primești rapoarte:

Nume:  _dmarc.domeniu.ro
Tip:   TXT
Valoare: v=DMARC1; p=none; rua=mailto:dmarc@domeniu.ro

rua este adresa unde primești rapoarte XML zilnice. Poți folosi un serviciu gratuit ca dmarcian sau DMARC Analyzer dacă nu vrei să procesezi XML-urile manual.

Pasul 3 — Analizează rapoartele (2–4 săptămâni)

Rapoartele arată toate serverele care trimit email în numele tău: serverul principal, platforme de marketing (Mailchimp, SendGrid), ERP-uri. Asigură-te că toate sunt în SPF și au DKIM configurat.

Pasul 4 — Treci la politica de protecție

# quarantine — emailurile suspecte merg în spam
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@domeniu.ro

# reject — emailurile suspecte sunt blocate complet (ideal)
v=DMARC1; p=reject; rua=mailto:dmarc@domeniu.ro

Folosește pct=50 pentru a aplica politica progresiv și crește la 100 treptat.

Cum verifici că DMARC funcționează

După propagarea DNS (1–48 ore), verifică cu:

  • SecureCheck — scanează domeniul și vei vedea imediat statusul DMARC, SPF și DKIM
  • MXToolboxmxtoolbox.com/dmarc.aspx
  • Terminal: dig TXT _dmarc.domeniu.ro

Un record valid arată astfel:

_dmarc.domeniu.ro. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@domeniu.ro"

Greșeli frecvente:

  • Subdomenul greșit — trebuie să fie exact _dmarc.domeniu.ro, nu dmarc.domeniu.ro
  • SPF sau DKIM neconfigurate — DMARC fără ele nu are efect
  • Trecerea directă la p=reject fără monitorizare — poate bloca emailuri legitime

Menținere și monitorizare continuă

Configurarea DMARC este un pas, dar menținerea ei este la fel de importantă. Configurațiile DNS se pot modifica accidental, servicii de email noi se adaugă fără a actualiza SPF, sau politica poate regresa după o migrare de hosting.

SecureCheck verifică zilnic DMARC, SPF și DKIM ale domeniului tău și te alertează imediat dacă ceva se schimbă. Planul Standard include monitorizare zilnică și alerte email pentru orice regresie detectată.