Datastorm Datastorm
Etusivu Referenssit Meistä UKK Yhteystiedot
Varaa 15 min kartoitus Pyydä arvio

DMARC vaiheittain: p=none → quarantine → reject

TL;DR – Tiivistelmä

DMARC estää sähköpostin spoofauksen ja brändin väärinkäytön. Käyttöönotto: ensin SPF ja DKIM kuntoon, sitten DMARC p=none (monitorointi), quarantine ja lopulta reject.

Mikä DMARC on ja mitä se estää

DMARC (Domain-based Message Authentication, Reporting & Conformance) kertoo vastaanottaville palvelimille, mitä tehdä sähköposteille, jotka väittävät tulevansa sinun domainistasi mutta eivät läpäise SPF/DKIM-tarkistuksia.

DMARC estää:

  • Spoofaus: Huijarit eivät voi lähettää sähköposteja "sinun nimissäsi"
  • Phishing: Asiakkaasi eivät saa väärennettyjä laskuja sinun domainiltasi
  • Brändin väärinkäyttö: Suojaat maineesi

Ennen kuin aloitat: SPF ja DKIM minimiin

DMARC vaatii toimivan SPF:n ja/tai DKIM:n. Tarkista ensin:

  • SPF: TXT-tietue, joka listaa sallitut lähettäjäpalvelimet
  • DKIM: Allekirjoitus, joka varmistaa viestin aitouden

Testaa: Lähetä sähköposti osoitteeseen check-auth@verifier.port25.com ja saat raportin SPF/DKIM-tilasta.

Vaihe 1: p=none (monitorointi)

Ensimmäinen DMARC-tietue on monitorointitilassa. Ei estä mitään, kerää vain dataa.

v=DMARC1; p=none; rua=mailto:dmarc@yritys.fi

Mitä raportista luetaan:

  • Ketkä lähettävät sähköpostia sinun domainillasi
  • Mitkä läpäisevät SPF/DKIM, mitkä eivät
  • Puuttuuko jokin oikeutettu lähettäjä (uutiskirje, CRM, verkkokauppa)

Kesto: 2–4 viikkoa. Odota kunnes näet kaikki oikeutetut lähettäjät.

Vaihe 2: quarantine – miten nostat asteittain

Kun oikeutetut lähettäjät ovat kunnossa, siirryt quarantine-tilaan. Viestit, jotka eivät läpäise, menevät roskapostiin.

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@yritys.fi

pct=25 tarkoittaa, että 25 % viesteistä käsitellään quarantine-säännöllä. Nosta asteittain:

  • pct=25 → seuraa viikko
  • pct=50 → seuraa viikko
  • pct=100 → seuraa viikko

Vaihe 3: reject – milloin se on turvallinen

Kun quarantine toimii ongelmitta, siirryt reject-tilaan. Viestit, jotka eivät läpäise, hylätään kokonaan.

v=DMARC1; p=reject; rua=mailto:dmarc@yritys.fi

Reject on turvallinen kun: Olet varmistanut, että kaikki oikeutetut lähettäjät läpäisevät SPF/DKIM ja olet seurannut tilannetta vähintään 4 viikkoa quarantine-tilassa.

Haluatko DMARC-auditin?

Lähetä domain → saat listan puuttuvista lähettäjistä ja korjauksista.

Pyydä audit

Yleisimmät sudenkuopat

  • Liian nopea siirtymä reject-tilaan: Oikeutetut viestit hylätään
  • Puuttuva lähettäjä SPF:stä: Uutiskirje, CRM, verkkokauppa unohdettu
  • Ei seuraa raportteja: Ongelmat jäävät huomaamatta
  • DKIM-avain vanhentuu: Allekirjoitukset lakkaavat toimimasta
  • Liian monta SPF-lookuppia: SPF fail (max 10 DNS-lookuppia)

Lue myös

Kenelle tämä sopii?

  • Yritykset, jotka haluavat suojata brändinsä spoofaukselta
  • IT-vastaavat, jotka ottavat käyttöön DMARC:ia
  • Markkinointi, joka haluaa parantaa sähköpostien toimitettavuutta

Tyypillinen toimitus Datastormilla

  1. Audit: Nykyinen SPF/DKIM/DMARC-tila
  2. Korjaukset: Puuttuvat lähettäjät, virheelliset tietueet
  3. Käyttöönotto: Vaiheittainen siirtymä reject-tilaan
Pyydä arvio

Tarvitsetko apua IT-asioissa?

Varaa maksuton 15 minuutin kartoitus tai pyydä arvio projektista.

Varaa 15 min kartoitus Pyydä arvio