Что такое ДМАРК?

DMARC (Аутентификация, отчетность и соответствие сообщений на основе домена) — это протокол аутентификации электронной почты, который помогает интернет-провайдерам проверять личность отправителя и предотвращает подделку домена.

Как часто мне следует создавать новую запись DMARC?

Вам нужно создать запись DMARC только один раз для каждого домена. Обновите его, если вы измените поставщика услуг отправки электронной почты или захотите изменить политику аутентификации.

В чем разница между основной политикой и политикой субдомена?

Основная политика применяется к вашему корневому домену, а политика субдомена — к субдоменам, таким как mail.example.com. Вы можете установить разные политики для каждого.

Должен ли я использовать «нет», «карантин» или «отклонить»?

Начните с «нет», чтобы отслеживать результаты, перейдите к «карантину» для умеренного контроля и используйте «отклонить» только в том случае, если вы уверены в настройке SPF и DKIM.

Генератор DMARC-записей

Создайте DNS-записи DMARC для вашего домена с помощью нашего бесплатного мастера.

Введите ваш домен

Введите домен, для которого необходимо создать DMARC-запись.

Доменное имя *

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) определен в RFC 7489. Он расширяет возможности SPF и DKIM, добавляя две важные функции: политику, указывающую получателям, как обрабатывать неаутентифицированную почту (мониторинг, карантин или отклонение), и механизм отчетности, который присылает вам XML-отчеты о том, кто отправляет почту от имени вашего домена и проходит ли она проверку.

Что критически важно, DMARC вводит понятие **соответствия (alignment)** — домен в видимом заголовке письма «From» должен совпадать с доменом, аутентифицированным через SPF или DKIM. Это мешает злоумышленникам проходить проверки SPF/DKIM на другом домене, подделывая ваш домен в заголовке From.

Зачем вам нужен DMARC?

1Защита заголовка From

SPF и DKIM сами по себе не защищают видимый адрес From — DMARC закрывает этот пробел через проверку соответствия

2Применение политики

Вы сами решаете, что произойдет с подозрительной почтой: наблюдать, отправить в спам или полностью отклонить

3Агрегированные отчеты

Ежедневные XML-отчеты (RUA) показывают каждый IP, отправляющий почту от вашего домена, и статистику проверок

4Форензик-отчеты (детальные)

Отчеты об ошибках (RUF) присылают копию отдельных подозрительных сообщений для расследования

5Требование Google/Yahoo

С февраля 2024 года массовые отправители должны иметь DMARC минимум с p=none для доставки во входящие Gmail/Yahoo

6Защита бренда

Предотвращает попадание фишинговых писем, имитирующих ваш бренд, вашим клиентам

Как работает DMARC — пошагово

Вы публикуете TXT-запись DMARC по адресу `_dmarc.yourdomain.com`, указывая политику и адреса для отчетов.

Сообщение поступает на принимающий сервер. Он независимо запускает проверки SPF и DKIM.

Проверяется соответствие (alignment) DMARC: совпадает ли аутентифицированный домен (из SPF или DKIM) с доменом в заголовке From?

Если хотя бы одна пара (SPF + соответствие ИЛИ DKIM + соответствие) проходит проверку, DMARC считается пройденным.

Если обе проверки провалены, получатель применяет вашу политику: none (доставить), quarantine (в спам) или reject (отклонить).

Получатель собирает данные об аутентификации для вашего домена и отправляет агрегированные (RUA) или детальные (RUF) отчеты на указанные вами адреса.

Синтаксис записи DMARC

DNS TXT запись по адресу _dmarc.yourdomain.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@yourdomain.com;
            ruf=mailto:dmarc-failures@yourdomain.com;
            adkim=s; aspf=s; fo=1

Справочник тегов

v=DMARC1— версия, обязательна

p=— политика для домена

sp=— политика для поддоменов

pct=— % писем, к которым применяется политика

rua=— получатели агрегированных отчетов (mailto:)

ruf=— получатели форензик-отчетов (mailto:)

adkim=— соответствие DKIM: r=relaxed (мягкое), s=strict (строгое)

aspf=— соответствие SPF: r=relaxed, s=strict

fo=— опции отчетов об ошибках (0,1,d,s)

ri=— интервал отчетов в секундах (по умолчанию 86400)

Три политики DMARC

p=none

Только мониторинг. Подозрительная почта доставляется обычно. Используйте в начале для сбора отчетов.

p=quarantine

Подозрительная почта попадает в папку со спамом. Промежуточный этап перед полным отклонением.

p=reject

Подозрительная почта отклоняется на уровне SMTP и не доставляется. Самая сильная защита.

Объяснение соответствия (alignment) DMARC

Relaxed (мягкое — по умолчанию)

Аутентифицированный домен может быть поддоменом основного. Например, mail.yourdomain.com подходит для yourdomain.com

Strict (строгое)

Аутентифицированный домен должен точно совпадать с доменом в From. mail.yourdomain.com НЕ подходит для yourdomain.com

Частые ошибки DMARC и их решения

Ошибка соответствия SPF

Домен в Envelope From (return-path) не совпадает с заголовком From — часто бывает у сервисов рассылок с собственным return-path

Ошибка соответствия DKIM

Домен d= в подписи DKIM не совпадает с видимым доменом From — настройте сервис рассылки на подпись вашим доменом

Отсутствует адрес RUA

Без rua= вы не получаете отчетов и ничего не видите — всегда указывайте хотя бы один адрес для отчетов

Поддомены не защищены

Добавьте sp=reject, чтобы распространить политику на поддомены, или опубликуйте отдельные записи DMARC для каждого поддомена

Часто задаваемые вопросы

Начните с p=none для мониторинга, затем переходите к p=quarantine и в итоге к p=reject.

'rua' — для агрегированных отчетов, 'ruf' — для подробных отчетов об ошибках.

Используйте тег 'sp' в основной записи для управления политикой всех поддоменов.

Он позволяет применять политику только к части писем (в процентах) для плавного внедрения.

Определяет строгость проверки домена: 'r' (relaxed) — мягкая, 's' (strict) — строгая.