Dmarc policy none vai reject? Mitä B2B-kylmäpostin lähettäjän kannattaa valita
Moni B2B-lähettäjä julkaisee DMARC-tietueen kerran ja unohtaa sen, jolloin domain jää tasolle p=none eikä se suojaa mitään. Kun kohdennettu kylmäpostikampanja alkaa tuottaa vastauksia ja domain saa näkyvyyttä, myös väärentäjät huomaavat saman domainin – ja ilman quarantine- tai reject-tasoa kukaan ei estä heitä. Tässä käydään läpi, miten dmarc policy nostetaan turvallisesti tasolta none tasolle reject ilman että oma toimitettavuus kärsii.
- Dmarc policy is p=none -tila ei estä väärennöksiä, se vain kerää raportteja seurantaa varten
- Siirtymä quarantine- ja reject-tasolle tehdään asteittain pct-parametrin avulla, ei kertarysäyksellä
- Ennen reject-tasoa kaikkien lähettävien palveluiden – CRM, laskutus, uutiskirje – on läpäistävä SPF/DKIM-alignment
- Dmarcian domain checker tai muu dmarc check tool auttaa tulkitsemaan aggregate-raportit ilman XML-käsityötä
- Reject-tasolle viety, kunnolla julkaistu dmarc record published parantaa lähettäjän mainetta ja siten myös laillisen kylmäpostin perillemenoa
Miksi dmarc policy on tärkeä osa kylmäpostin toimitettavuutta
Kun auditoin B2B-lähettäjädomaineja, yleisin löydös ei ole puuttuva SPF tai DKIM, vaan dmarc policy not enabled -tilanne: tietue on olemassa, mutta se on jäänyt tasolle p=none, tai koko tietue puuttuu DNS:stä kokonaan. Kumpikaan tilanne ei suojaa domainia miltään – se vain kertoo postilaatikkopalveluille, ettei omistaja ole vielä ottanut kantaa siihen, mitä epäonnistuneille viesteille pitäisi tapahtua.
Kohdennetussa B2B-outreachissa domainin maine on koko kampanjan perusta. Google Workspace ja Microsoft 365 arvioivat lähettävää domainia paitsi sisällön, myös sen perusteella, kuinka hyvin domain on suojattu väärinkäytöltä. Jos joku onnistuu lähettämään roskapostia tai kalasteluviestejä yrityksesi nimissä ilman että dmarc policy reject pysäyttää ne, koko domainin maine – ja sitä myötä oman, laillisen kylmäpostisi perillemeno – kärsii.
p=none, quarantine ja reject – kolme tasoa, kolme eri suojan astetta
DMARC-tietueessa policy-tagi (p=) määrittää, mitä vastaanottavan palvelimen pitäisi tehdä viestille, joka ei läpäise SPF- tai DKIM-alignmentia. Kolme tasoa muodostavat luonnollisen etenemisjärjestyksen valvonnasta täyteen täytäntöönpanoon.
P=none tarkoittaa pelkkää seurantaa: epäonnistuneet viestit toimitetaan normaalisti, mutta ilmoitetut rua-osoitteet saavat aggregate-raportit siitä, mitkä lähteet lähettävät domainin nimissä. Quarantine ohjaa epäonnistuneet viestit roskapostikansioon – ne eivät katoa, mutta eivät myöskään saavuta vastaanottajaa normaalisti. Reject on tiukin: SMTP-yhteys katkaistaan jo vastaanottopalvelimen tasolla, eikä viesti mene perille lainkaan.
- p=none: kerää dataa, ei vaikuta toimitukseen – hyvä lähtöpiste, huono lopputila
- p=quarantine: epäonnistuneet viestit roskapostiin, pct-parametrilla voi rajata osuuden
- p=reject: väärennetyt viestit hylätään täysin, vaatii että kaikki oikeat lähteet on tunnistettu etukäteen
Luvut ovat suuntaa-antavia, perustuvat kohdennetun B2B-kampanjatyön havaintoihin eivätkä yleiseen tutkimukseen.
Näin siirryt vaiheittain tasolta none tasolle reject
Suorat hypyt tasolta none tasolle reject ovat yleisin syy siihen, että legitiimitkin viestit alkavat kadota. Turvallinen polku kulkee seurannan ja pienten pct-askelten kautta.
Ensin dmarc record published p=none-tasolla vähintään pariksi viikoksi, rua-osoite mukaan lukien, jotta aggregate-raportit alkavat kertyä. Tämän jälkeen jokainen raportoitu lähde – oma ESP, CRM, laskutusjärjestelmä, uutiskirjetyökalu – käydään läpi ja varmistetaan, että sillä on joko oma DKIM-avain tai se lähettää SPF:n kattaman IP:n kautta. Vasta kun kaikki tunnetut lähteet läpäisevät alignmentin, siirrytään quarantineen pienellä pct-arvolla ja kasvatetaan sitä viikoittain, ennen kuin lopulta siirrytään rejectiin.
- Viikko 0–2: p=none, rua-raportointi päälle, ei muutoksia toimitukseen
- Viikko 3–4: kaikki lähdejärjestelmät kartoitettu raporteista ja SPF/DKIM korjattu
- Viikko 5–8: p=quarantine, pct=25 → pct=50, tarkkaillaan raportteja edelleen
- Viikko 9–12: pct=100, sitten p=reject kun raporteissa ei enää näy selittämättömiä epäonnistumisia
Aikataulu on suuntaa-antava esimerkki, todellinen kesto riippuu siitä, kuinka monta lähdejärjestelmää domainilla on.
Esimerkiksi suomalainen konepajayritys Metsätalo Oy voisi edetä tietueella v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@metsatalo.fi; ruf=mailto:dmarc-forensics@metsatalo.fi ja nostaa pct-arvoa vasta, kun raporteissa ei enää näy tunnistamattomia lähettäjiä.
Yleisimmät virheet, kun dmarc-käytäntöä kiristetään
Suurin osa reject-siirtymän epäonnistumisista ei johdu itse DMARC:sta, vaan siitä, että joku lähettävä järjestelmä on jäänyt kartoittamatta ennen kiristystä.
- Siirtyminen suoraan p=reject-tasolle ilman edeltävää monitorointijaksoa
- Kolmannen osapuolen lähettäjien unohtaminen: laskutusjärjestelmä, HR-työkalu tai uutiskirjepalvelu lähettää domainin nimissä ilman omaa DKIM-avainta
- Subdomainien jättäminen huomiotta – sp-tagi puuttuu, jolloin esimerkiksi mail.yritys.fi jää eri suojaustasolle kuin pääasiallinen domain
- Luullaan, että pelkkä dmarc record published riittää, vaikka rua-raportteja ei koskaan lueta
- SPF- ja DKIM-alignmentin strict/relaxed-erojen sekoittaminen, jolloin subdomainista lähetetty posti epäonnistuu yllättäen
Tarkistuslista ennen reject-tasoa ja miten LDM hoitaa tämän kylmäpostikampanjoissa
Ennen kuin domain viedään reject-tasolle, kannattaa käydä läpi lyhyt tarkistuslista – ja pitää mielessä, että kylmäpostikampanjan lähettävä domain kannattaa usein eriyttää pääbrändin domainista, jotta reputaatioriskit eivät sekoitu.
LDM:n kampanjatyössä jokainen lähettävä domain käy läpi saman polun: ensin p=none-seuranta ja aggregate-raporttien läpikäynti dmarcian domain checkerin tai vastaavan dmarc check toolin avulla, sitten asteittainen pct-nosto quarantineen, ja vasta lopuksi reject – rinnan domainin lämmittämisen ja pienten päivävolyymien kanssa. Sama kuri, jolla vältetään spam-merkintöjä kylmäpostissa, pätee myös DMARC-siirtymään: hitaasti, mitaten, ilman oikoteitä.
- Onko dmarc record published ja rua-osoite toimiva vähintään kahden viikon ajan ennen muutoksia?
- Onko kaikki tunnetut lähdejärjestelmät – ESP, CRM, laskutus, uutiskirje – tunnistettu raporteista?
- Läpäisevätkö kaikki nämä lähteet SPF- tai DKIM-alignmentin omalla avaimellaan?
- Onko subdomainien sp-tagi määritelty erikseen, jos niitä käytetään?
- Nostetaanko pct-arvoa vaiheittain ja tarkkaillaanko raportteja jokaisen nousun jälkeen?
Usein kysytyt kysymykset
Mitä tarkoittaa dmarc policy not enabled?
Se tarkoittaa, että domainilla ei ole julkaistua DMARC-tietuetta lainkaan tai tietue on olemassa mutta ilman toimivaa policy-tagia. Tällöin kukaan ei valvo, käyttääkö joku domainia väärin väärennettyihin viesteihin.
Mitä eroa on dmarc policy is p=none ja p=reject välillä?
P=none vain kerää raportteja epäonnistuneista viesteistä muttei vaikuta niiden toimitukseen. P=reject hylkää epäonnistuneet viestit kokonaan SMTP-tasolla, jolloin väärennetty posti ei koskaan saavuta vastaanottajaa.
Mikä on hyvä dmarc check tool tai dmarcian domain checker aloittelijalle?
Ilmaiset domain-tarkistustyökalut, kuten dmarcian domain checker, riittävät tietueen syntaksin ja policy-tason nopeaan tarkistukseen. Aggregate-raporttien pidempiaikaiseen tulkintaan kannattaa käyttää työkalua, joka koostaa XML-raportit luettavaan muotoon, ei pelkkää kertatarkistusta.
Kuinka kauan siirtymä none-tasolta reject-tasolle yleensä kestää?
Käytännössä muutamasta viikosta pariin kuukauteen riippuen siitä, kuinka monta lähdejärjestelmää domainilla on. Yhden ESP:n domain siirtyy nopeammin kuin domain, jota käyttävät myös laskutus, HR ja uutiskirjetyökalu.
Vaikuttaako dmarc policy reject laillisen kylmäpostin perillemenoon?
Ei suoraan, kunhan oma lähettävä infrastruktuuri on kartoitettu ja läpäisee SPF/DKIM-alignmentin ennen reject-tasoa. Epäsuorasti reject parantaa domainin mainetta, koska väärennökset eivät pääse enää vahingoittamaan sitä.
Riittääkö pelkkä dmarc record published, jos SPF ja DKIM ovat jo kunnossa?
Tietueen julkaiseminen on vasta alku. Ilman rua-raporttien säännöllistä läpikäyntiä et huomaa, jos joku lähettävä järjestelmä epäonnistuu alignmentissa, ja pct-nosto tehdään sokkona.
Haluatko soveltaa tätä omaan outreach-toimintaasi?
Näytämme ennen töiden aloittamista, miten tämä toimii juuri sinun segmentissäsi ja tuotteessasi.
Keskustele kanssamme