DMARC: protecția definitivă anti-phishing și BEC pentru domeniul vostru
DMARC oprește atacurile BEC și phishing-ul care impersonează domeniul vostru. Ramp corect p=none → quarantine → reject în 3-6 luni, cu monitoring continuu prin RUA reports.
Pe scurt
DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) este policy-ul DNS care spune lumii ce să facă cu emailurile care pretind că vin de la domeniul vostru, dar eșuează SPF sau DKIM. Fără DMARC, oricine poate trimite email pretinzând că e cfo@firma.ro, iar receiver-ul (Gmail, Outlook) nu are nicio politică de aplicat. Cu DMARC p=reject, emailurile spoofate sunt respinse înainte să ajungă în Inbox.
În 2026, BEC (Business Email Compromise) rămâne tipul de fraudă cu cel mai mare ROI pentru atacatori — FBI IC3 raportează pierderi medii de 137.000 USD per incident (Annual Internet Crime Report 2024) și pierderi totale de peste 2.9 miliarde USD/an. În România, DNSC raportează creșteri an de an a incidentelor de tip “factură falsă de la furnizor” care exploatează exact lipsa DMARC.
Pentru entitățile care intră sub NIS2 (Lege 244/2024), absența DMARC p=quarantine sau mai strict este o lacună documentabilă în raportul tehnic obligatoriu către DNSC.
Atacuri concrete pe care le previne
Scenariu 1 — CEO Fraud / BEC cu domeniu impersonat
Atacatorul trimite email aparent de la ceo@firma.ro către contabilitate@firma.ro, cerând transfer urgent către un IBAN nou pentru un “contract confidențial”. Fără DMARC, mailul ajunge în Inbox cu antetul From normal. Cu DMARC p=reject aliniat pe SPF și DKIM, emailul este respins de receiver (chiar și pentru Gmail-ul intern, dacă firma folosește Google Workspace) înainte să fie văzut de contabilă.
Scenariu 2 — Phishing cu link malware către clienți
Atacatorul trimite mass-mail aparent de la facturi@firma.ro către clienți, cu PDF “factură” conținând macro malițios sau link credential-stealer. Fără DMARC, ratele de delivery rămân ridicate. Cu DMARC p=reject, 99%+ din emailurile spoofate sunt blocate la receiver, iar voi primiți raport RUA cu IP-urile sursei spoofing-ului — utilizabil pentru takedown notice.
Scenariu 3 — Brand impersonation prin look-alike + mainline
Caz frecvent: atacatorul folosește firrma.ro (typosquat) dar și încearcă spoofing direct pe firma.ro. DMARC oprește vectorul direct; pentru typosquat, ARTEMIS detectează zilnic înregistrările noi de domenii similare.
Impact business
| Factor | Fără DMARC | Cu DMARC p=reject |
|---|---|---|
| Probabilitate BEC reușit anual | ~12% (sector financiar/imobiliar RO) | <1% |
| Pierdere medie per incident BEC | 137.000 USD (FBI IC3 2024) | N/A |
| Reputație IP/domeniu | degradare lentă, blacklist | scor curat, deliverability ↑ |
| Audit NIS2 (entitate esențială) | observație în raport DNSC | bifă acoperită |
| Cost implementare | — | 0–500 EUR (config + monitor 6 luni) |
Singur acest control acoperă riscuri cumulate de ordinul sutelor de mii de EUR pentru o firmă mid-size.
Implementare — ghid pas-cu-pas
Pas 1 — Verificați baseline-ul (SPF + DKIM corecte)
DMARC depinde de SPF și/sau DKIM aliniate. Înainte de DMARC, asigurați-vă că:
dig +short TXT firma.ro | grep spf
dig +short TXT default._domainkey.firma.roTrebuie să vedeți o policy SPF (v=spf1 ...) și cel puțin un selector DKIM activ.
Pas 2 — Publicați DMARC p=none cu raportare
Începeți întotdeauna la p=none cu RUA pentru a colecta date 30 zile fără să afectați delivery-ul:
_dmarc.firma.ro. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@firma.ro; ruf=mailto:dmarc@firma.ro; fo=1; adkim=r; aspf=r; pct=100"Folosiți un parser RUA (open-source parsedmarc, sau dashboard intern) pentru a identifica:
- Toți emitenții legitimi (CRM, ESP, MTA-uri terțe — Mailchimp, SendGrid, ERP)
- IP-uri suspicioase care încearcă spoofing
Pas 3 — Aliniați toți emitenții legitimi
Fiecare furnizor terț (newsletter, factura electronică, ticketing) trebuie:
- Inclus în SPF (
include:_spf.mailchimp.cometc.) - Sau să semneze DKIM cu cheia voastră (preferabil)
Greșeala comună: lăsați un furnizor afară → la p=reject, emailurile lui legitime sunt respinse → user-ii nu primesc resetare parolă, facturi, notificări.
Pas 4 — Ramp la p=quarantine cu pct gradual
După 30 zile cu RUA curat:
_dmarc.firma.ro. IN TXT "v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@firma.ro; adkim=s; aspf=s"Ramp pct: 25% → 50% → 100% pe parcursul a 30-60 zile. Emailurile fail merg în Spam la receiver.
Pas 5 — Final: p=reject cu alignment strict
_dmarc.firma.ro. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@firma.ro; ruf=mailto:dmarc@firma.ro; fo=1; adkim=s; aspf=s"adkim=s și aspf=s (strict alignment) asigură că subdomeniile nu trec automat sub policy-ul domeniului-rădăcină — utile dacă atacatorul încearcă accounting.firma.ro ca workaround.
Pentru subdomenii separate (ex: marketing.firma.ro cu MTA diferit), folosiți sp=reject pentru a aplica recursiv pe subdomenii fără DMARC propriu.
Confuzii frecvente
“Avem SPF, e suficient.” — Nu. SPF doar autentifică IP-ul de trimitere; nu spune ce să facă receiverul cu eșecurile. DMARC e meta-policy-ul peste SPF + DKIM.
“Punem direct p=reject, fără ramp.” — Risc operațional ridicat. Aproape orice firmă are ≥3 emitenți legitimi nealiniati pe care nu îi cunoaște (legacy CRM, sistem ticketing, plugin WordPress). Ramp-ul cu monitoring e obligatoriu pentru a evita pierderea email-urilor critice.
“DMARC încetinește emailurile.” — Fals. DMARC adaugă 1-2 lookups DNS suplimentare la receiver, măsurabile în milisecunde. Zero impact perceput.
“Newsletter-ele Mailchimp/SendGrid se vor sparge.” — Doar dacă nu sunt configurate corect. Toți ESP-ii majori au documentație DKIM custom domain — durează 15 minute per furnizor.
Verificați acum
ARTEMIS verifică automat policy-ul DMARC, calculează scorul DMARC + SPF + DKIM aliniat, și identifică toți emitenții observabili public — la 2-40 EUR per scanare.
🔗 Soluții complementare CAI Technology
- ARTEMIS — Scanare tehnică automată DMARC, SPF, DKIM, BIMI, MTA-STS și 30+ verificări email-security într-un raport unitar.
- Lexnomia — Evaluare compliance auditor-grade pentru NIS2 / GDPR / DORA, cu raport pe care îl puteți prezenta DNSC sau auditorilor externi.
- BeLegal cu SandboxAI — Verificare gratuită compliance 5 minute.
- Auditope — Audit holistic web (SEO + AI search + GDPR + securitate).
- AriaUnited — Consultanță fonduri europene PNRR/POIDS pentru proiecte de hardening email-security.
Întrebări? tehnic@caitech.ro