Что такое ДМАРК?

DMARC (Аутентификация, отчетность и соответствие сообщений на основе домена) — это протокол аутентификации электронной почты, который помогает интернет-провайдерам проверять личность отправителя и предотвращает подделку домена.

Как часто мне следует проверять свою запись DMARC?

Проверяйте свою запись DMARC всякий раз, когда вы меняете поставщика услуг отправки электронной почты или хотите убедиться, что ваши текущие политики аутентификации опубликованы правильно.

В чем разница между основной политикой и политикой субдомена?

Основная политика применяется к вашему корневому домену, а политика субдомена — к субдоменам, таким как mail.example.com. Вы можете установить разные политики для каждого.

Должен ли я использовать «нет», «карантин» или «отклонить»?

Начните с «нет», чтобы отслеживать результаты, перейдите к «карантину» для умеренного контроля и используйте «отклонить» только в том случае, если вы уверены в настройке SPF и DKIM.

Проверьте вашу DMARC-запись

Бесплатно проверьте свою DNS-запись DMARC (Domain-based Message Authentication). Защитите свой домен от несанкционированного использования.

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) определен в RFC 7489. Он расширяет возможности SPF и DKIM, добавляя две важные функции: политику, указывающую получателям, как обрабатывать неаутентифицированную почту (мониторинг, карантин или отклонение), и механизм отчетности, который присылает вам XML-отчеты о том, кто отправляет почту от имени вашего домена и проходит ли она проверку.

Что критически важно, DMARC вводит понятие **соответствия (alignment)** — домен в видимом заголовке письма «From» должен совпадать с доменом, аутентифицированным через SPF или DKIM. Это мешает злоумышленникам проходить проверки SPF/DKIM на другом домене, подделывая ваш домен в заголовке From.

Зачем вам нужен DMARC?

1Защита заголовка From

SPF и DKIM сами по себе не защищают видимый адрес From — DMARC закрывает этот пробел через проверку соответствия

2Применение политики

Вы сами решаете, что произойдет с подозрительной почтой: наблюдать, отправить в спам или полностью отклонить

3Агрегированные отчеты

Ежедневные XML-отчеты (RUA) показывают каждый IP, отправляющий почту от вашего домена, и статистику проверок

4Форензик-отчеты (детальные)

Отчеты об ошибках (RUF) присылают копию отдельных подозрительных сообщений для расследования

5Требование Google/Yahoo

С февраля 2024 года массовые отправители должны иметь DMARC минимум с p=none для доставки во входящие Gmail/Yahoo

6Защита бренда

Предотвращает попадание фишинговых писем, имитирующих ваш бренд, вашим клиентам

Как работает DMARC — пошагово

Вы публикуете TXT-запись DMARC по адресу `_dmarc.yourdomain.com`, указывая политику и адреса для отчетов.

Сообщение поступает на принимающий сервер. Он независимо запускает проверки SPF и DKIM.

Проверяется соответствие (alignment) DMARC: совпадает ли аутентифицированный домен (из SPF или DKIM) с доменом в заголовке From?

Если хотя бы одна пара (SPF + соответствие ИЛИ DKIM + соответствие) проходит проверку, DMARC считается пройденным.

Если обе проверки провалены, получатель применяет вашу политику: none (доставить), quarantine (в спам) или reject (отклонить).

Получатель собирает данные об аутентификации для вашего домена и отправляет агрегированные (RUA) или детальные (RUF) отчеты на указанные вами адреса.

Синтаксис записи DMARC

DNS TXT запись по адресу _dmarc.yourdomain.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@yourdomain.com;
            ruf=mailto:dmarc-failures@yourdomain.com;
            adkim=s; aspf=s; fo=1

Справочник тегов

v=DMARC1— версия, обязательна

p=— политика для домена

sp=— политика для поддоменов

pct=— % писем, к которым применяется политика

rua=— получатели агрегированных отчетов (mailto:)

ruf=— получатели форензик-отчетов (mailto:)

adkim=— соответствие DKIM: r=relaxed (мягкое), s=strict (строгое)

aspf=— соответствие SPF: r=relaxed, s=strict

fo=— опции отчетов об ошибках (0,1,d,s)

ri=— интервал отчетов в секундах (по умолчанию 86400)

Три политики DMARC

p=none

Только мониторинг. Подозрительная почта доставляется обычно. Используйте в начале для сбора отчетов.

p=quarantine

Подозрительная почта попадает в папку со спамом. Промежуточный этап перед полным отклонением.

p=reject

Подозрительная почта отклоняется на уровне SMTP и не доставляется. Самая сильная защита.

Объяснение соответствия (alignment) DMARC

Relaxed (мягкое — по умолчанию)

Аутентифицированный домен может быть поддоменом основного. Например, mail.yourdomain.com подходит для yourdomain.com

Strict (строгое)

Аутентифицированный домен должен точно совпадать с доменом в From. mail.yourdomain.com НЕ подходит для yourdomain.com

Частые ошибки DMARC и их решения

Ошибка соответствия SPF

Домен в Envelope From (return-path) не совпадает с заголовком From — часто бывает у сервисов рассылок с собственным return-path

Ошибка соответствия DKIM

Домен d= в подписи DKIM не совпадает с видимым доменом From — настройте сервис рассылки на подпись вашим доменом

Отсутствует адрес RUA

Без rua= вы не получаете отчетов и ничего не видите — всегда указывайте хотя бы один адрес для отчетов

Поддомены не защищены

Добавьте sp=reject, чтобы распространить политику на поддомены, или опубликуйте отдельные записи DMARC для каждого поддомена

Часто задаваемые вопросы

DMARC — это протокол аутентификации, работающий вместе с SPF и DKIM. Он дает инструкции серверам-получателям о том, что делать с письмами, не прошедшими проверку, защищая ваш домен от подделки.

Проверка подтверждает правильность записи в DNS. Политика (например, p=reject) сообщает провайдерам, таким как Google, что ваши письма законны, снижая риск попадания в спам.

'Quarantine' отправляет подозрительные письма в папку со спамом. 'Reject' — более строгая политика, при которой сервер полностью отклоняет письмо.

Это соответствие домена в заголовке 'От' домену, проверенному через SPF или DKIM. Без этого DMARC может не пройти проверку даже при валидных SPF/DKIM.

Проверьте тег 'rua' на наличие корректного mailto:. Также убедитесь, что DNS обновился и адрес получателя готов принимать внешние отчеты.

Это зависит от настроек TTL вашего DNS. Обычно это занимает от нескольких минут до 48 часов.