Перейти к содержанию

Настроить DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей.

Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию. Воспользуйтесь нашей статьей для того, чтобы продумать все этапы настройки политики DMARC заранее.

Подготовка к настройке DMARC

Перед настройкой DMARC необходимо:

  1. Настроить SPF-запись.
  2. Настроить DKIM-подпись.

Это связано с тем, что технология DMARC использует данные средства. Если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Если же сообщение успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC сообщение пройдет успешно.

Настройка DMARC

Чтобы настроить политику DMARC:

  1. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
  2. Введите логин и пароль для входа в панель управления.
  3. Перейдите в раздел управления DNS-зонами необходимого домена.
  4. Добавьте новую TXT-запись вида _dmarc.example.com (где вместо example.com должен быть ваш домен), соответствующую выбранной политике.

Пример записи: "v=DMARC1;p=none;rua=mailto:rua@example.com;ruf=mailto:ruf@example.com;fo=s"

Некоторые провайдеры ставят кавычки для TXT-записи самостоятельно. Вы можете уточнить необходимость кавычек у хостинг-провайдера или взять за образец другую ТХТ-запись домена, если она есть.

В TXT-записи можно использовать следующие теги:

Название тега Назначение Пример Требуется Дополнительно
v Версия протокола v=DMARC1 да
p Правила для домена p=reject да none — не принимать никаких действий
quarantine — отправлять сообщения в спам
reject — не принимать сообщения
aspf Режим проверки соответствия для SPF-записей aspf=s нет r (relaxed) — разрешать частичные совпадения, например субдоменов данного домена
s (strict) — разрешать только полные совпадения
pct Сообщения, подлежащие фильтрации (в %) pct=40 нет
sp Правила для субдоменов sp=reject нет none — не принимать никаких действий
quarantine — отправлять сообщения в спам
reject — не принимать сообщения
rua Адрес для сводных отчетов rua=mailto:admin@test.ru нет

Примечание

Если вы хотите получать отчеты (rua) на домен, который отличается от домена DMARC, необходимо разместить TXT-запись для почтового домена специального вида. Например, если домен с DMARC — example.com, а получать отчеты вы хотите на домен test.ru, необходимо в DNS домена test.ru добавить следующую TXT-запись: example.com._report._dmarc.test.ru со значением "v=DMARC1"

Примеры

  • Отклонять все сообщения, не прошедшие проверку DMARC: "v=DMARC1; p=reject"
  • Отклонять все сообщения, не прошедшие проверку DMARC, и отправлять все отчеты на ящик admin@test.ru: "v=DMARC1; p=reject; rua=mailto:admin@test.ru"
  • 30% сообщений, которые приходят от вашего домена, но не проходят проверки DMARC, помещаются в карантин: "v=DMARC1; p=quarantine; pct=30"

Внимание

Политика DMARC: "v=DMARC1; p=none" не защищает вас от спуфинга. Используйте ее только как промежуточный этап при настройке DMARC.