DMARC u jednoj rečenici
DMARC (Domain-based Message Authentication, Reporting & Conformance) je email protokol koji smanjuje rizik neovlaštenog slanja emailova s Vaše domene i daje primateljima politiku za poruke koje ne prođu provjeru.
Zamislite ovako: DMARC je kao portir na ulazu u Vašu zgradu. Kad netko pokuša ući (poslati email u Vaše ime), portir provjerava osobnu iskaznicu (SPF i DKIM). Ako iskaznica nije valjana, portir ga odbija ili ga šalje u čekaonicu (spam).
Bez portira? Lažno predstavljanje postaje puno lakše. Upravo zato email domena bez DMARC-a ostavlja veći prostor za spoofing.
Zašto je 2026. kritična godina za DMARC?
Google od veljače 2024. traži DMARC zapis i druge sigurnosne uvjete za pošiljatelje koji šalju više od 5.000 poruka dnevno prema Gmail adresama. No prava vrijednost DMARC-a nije samo deliverability: za tvrtke je to kontrola tko smije slati email u ime njihove domene.
Realni primjeri iz poslovnog svijeta
CEO Fraud (Prijevara direktora)
Napadač šalje email koji izgleda kao da dolazi s Vaše adrese (npr. [email protected]). U mailu hitno traži uplatu od 5.000 € na inozemni IBAN pod krinkom "povjerljive akvizicije". Bez uredne autentikacije, računovotkinja može vidjeti Vaše ime, Vašu adresu i poznati potpis. Novac može biti izgubljen prije nego se prijevara otkrije.
Presretnuti računi
Klijent s kojim radite mjesecima prima email koji izgleda kao da dolazi s Vaše domene. U njemu piše: "Poštovani, zbog promjene poslovne banke, molimo Vas da današnji račun od 15.000 € uplatite na novi IBAN." Klijent plaća jer email izgleda uvjerljivo. Vi gubite novac i dugogodišnje povjerenje klijenta.
Spam kampanje i reputacija
Napadači iskoriste Vašu domenu za slanje velikog broja spam poruka s adrese [email protected]. Google, Microsoft i drugi provideri mogu početi strože tretirati Vašu domenu. Posljedica je slabija isporučivost legitimnih poslovnih emailova.
Rezultat? Osim izravnih financijskih gubitaka, tvrtke bez DMARC-a gube povjerenje klijenata. Institucije, partneri i banke sve češće provjeravaju autentikaciju pošiljatelja i mogu strože tretirati poruke s domena bez jasne DMARC politike. Ako Vas netko napadne sutra, napadač ne mora hakirati Vašu šifru — dovoljno mu je lažirati adresu na domeni koja nema dobro postavljenu autentikaciju.
SPF + DKIM + DMARC — kako rade zajedno
Tri protokola zajedno stvaraju temelj provjere identiteta pošiljatelja:
SPF (Sender Policy Framework) — DNS zapis koji kaže: "Samo ovi serveri smiju slati email u ime moje domene." Kad Gmail primi email od Vas-tvrtka.hr, provjerava je li server s kojeg je poslan na listi odobrenih.
DKIM (DomainKeys Identified Mail) — kriptografski potpis koji pomaže primatelju provjeriti integritet potpisanih dijelova poruke. Ako se potpisani sadržaj promijeni, provjera može pasti.
DMARC — politika koja kaže što napraviti kada poruka ne prođe usklađenu SPF ili DKIM provjeru. Tri opcije:
- p=none — samo prati i šalji mi izvještaje (monitoring faza)
- p=quarantine — stavi sumnjive mailove u spam
- p=reject — odbij poruke koje ne prolaze autentikaciju i alignment prema DMARC politici
Kako implementirati DMARC — korak po korak
DMARC se implementira postupno, nikad odmah na reject:
- Faza 1: Audit — provjeravamo trenutno stanje Vaših DNS zapisa. Što imate, što nedostaje, što je krivo konfigurirano
- Faza 2: SPF + DKIM postava — postavljamo ispravne DNS zapise za Vaš email provider (Microsoft 365, Google Workspace, vlastiti server)
- Faza 3: DMARC p=none — aktiviramo DMARC u monitoring modu. Počinjemo primati izvještaje o tome tko šalje email u ime Vaše domene
- Faza 4: Analiza — pregledavamo izvještaje. Često otkrijemo da Mailchimp, CRM sustav ili drugi servisi šalju mail u Vaše ime bez uredne autorizacije
- Faza 5: Pojačavanje — kad su legitimni pošiljatelji pokriveni, pojačavamo na quarantine pa reject