DMARC (Domain-based Message Authentication, Reporting and Conformance) คือมาตรฐานความปลอดภัยอีเมลที่ช่วยป้องกันการปลอมแปลงชื่อโดเมนผู้ส่ง (Email Spoofing) โดยทำงานร่วมกับ SPF และ DKIM เพื่อให้ผู้รับสามารถตรวจสอบได้ว่าอีเมลที่ส่งมานั้นมาจากแหล่งที่ได้รับอนุญาตจริงหรือไม่
การตั้งค่า DMARC มีความสำคัญสำหรับองค์กรที่ใช้อีเมลในการติดต่อธุรกิจ เพราะช่วยลดความเสี่ยงจากการถูกนำโดเมนไปใช้ส่งอีเมลหลอกลวง (Phishing) และช่วยเพิ่มความน่าเชื่อถือในการส่งอีเมลไปยังผู้ให้บริการรายใหญ่ เช่น Microsoft 365, Outlook และ Gmail
หากไม่มี DMARC ผู้ไม่หวังดีอาจสามารถปลอมแปลงโดเมนขององค์กรเพื่อส่งอีเมลหลอกลวงลูกค้าหรือพนักงานได้ง่ายขึ้น นอกจากนี้อีเมลที่ส่งออกจากองค์กรอาจมีโอกาสถูกจัดเป็น Spam หรือถูกปฏิเสธจากระบบรับอีเมลบางแห่งได้
ดังนั้น แม้ DMARC จะไม่ใช่ข้อบังคับ แต่ถือเป็นแนวทางปฏิบัติที่แนะนำอย่างยิ่งสำหรับทุกองค์กร เพื่อเพิ่มความปลอดภัย ลดความเสี่ยงจากการปลอมแปลงอีเมล และช่วยให้การส่งอีเมลมีประสิทธิภาพมากขึ้น
*Hotmail/MS365 เริ่มบังคับใช้และตรวจสอบ กรณีส่งเมลจำนวนมากหาผู้รับใน Hotmail/MS365 หากไม่มีการตั้งค่า DMARC จะมีการ reject เมล
การกำหนดค่า DNS DMARC
กำหนด subnet domain: _dmarc.your-domain.com
type: TXT
value: “รายละเอียด ด้านล่าง”
ถ้าองค์กรของคุณ ยังไม่มี DKIM หรือยังไม่พร้อมบังคับใช้อย่างจริงจัง และต้องการให้ DMARC ไม่เคร่งเกินไป แนะนำให้ใช้แบบนี้ครับ
v=DMARC1; p=none; sp=none; rua=mailto:dmarc@your-domain.com; fo=0; adkim=r; aspf=r; ri=86400
หรือถ้าต้องการเริ่มป้องกันบ้าง แต่ไม่ถึงกับปฏิเสธเมล
v=DMARC1; p=quarantine; sp=none; rua=mailto:dmarc@your-domain.com; fo=0; adkim=r; aspf=r; pct=25; ri=86400
คำอธิบาย
| p=none | เก็บสถิติอย่างเดียว ไม่กระทบการรับส่งเมล |
| p=quarantine | เมลที่ไม่ผ่าน DMARC อาจถูกส่งไป Junk/Spam |
| sp=none | ไม่บังคับกับ Subdomain |
| adkim=r | DKIM แบบ Relaxed (แต่ถ้าไม่มี DKIM ค่านี้แทบไม่มีผล) |
| aspf=r | SPF แบบ Relaxed |
| pct=25 | ใช้นโยบายกับ 25% ของเมลที่ไม่ผ่าน DMARC |
| fo=0 | ส่งรายงานเฉพาะเมื่อ DMARC ไม่ผ่าน |
| ri=86400 | ส่ง Aggregate Report ทุก 24 ชั่วโมง |
การตรวจสอบ
https://mxtoolbox.com/