Настроить DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) — это техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей.
Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию. Воспользуйтесь нашей статьей для того, чтобы продумать все этапы настройки политики DMARC заранее.
Подготовка к настройке DMARC
Перед настройкой DMARC необходимо:
- Настроить SPF-запись.
- Настроить DKIM-подпись.
Это связано с тем, что технология DMARC использует данные средства. Если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Если же сообщение успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC сообщение пройдет успешно.
Настройка DMARC
Чтобы настроить политику DMARC:
- Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
- Введите логин и пароль для входа в панель управления.
- Перейдите в раздел управления DNS-зонами необходимого домена.
- Добавьте новую TXT-запись вида _dmarc.example.com (где вместо example.com должен быть ваш домен), соответствующую выбранной политике.
Пример записи: "v=DMARC1;p=none;rua=mailto:rua@example.com;ruf=mailto:ruf@example.com;fo=s"
Некоторые провайдеры ставят кавычки для TXT-записи самостоятельно. Вы можете уточнить необходимость кавычек у хостинг-провайдера или взять за образец другую ТХТ-запись домена, если она есть.
В TXT-записи можно использовать следующие теги:
| Название тега | Назначение | Пример | Требуется | Дополнительно |
|---|---|---|---|---|
| v | Версия протокола | v=DMARC1 | да | |
| p | Правила для домена | p=reject | да | none — не принимать никаких действий quarantine — отправлять сообщения в спам reject — не принимать сообщения |
| aspf | Режим проверки соответствия для SPF-записей | aspf=s | нет | r (relaxed) — разрешать частичные совпадения, например субдоменов данного домена s (strict) — разрешать только полные совпадения |
| pct | Сообщения, подлежащие фильтрации (в %) | pct=40 | нет | |
| sp | Правила для субдоменов | sp=reject | нет | none — не принимать никаких действий quarantine — отправлять сообщения в спам reject — не принимать сообщения |
| rua | Адрес для сводных отчетов | rua=mailto:admin@test.ru | нет |
Примечание
Если вы хотите получать отчеты (rua) на домен, который отличается от домена DMARC, необходимо разместить TXT-запись для почтового домена специального вида. Например, если домен с DMARC — example.com, а получать отчеты вы хотите на домен test.ru, необходимо в DNS домена test.ru добавить следующую TXT-запись: example.com._report._dmarc.test.ru со значением "v=DMARC1"
Примеры
- Отклонять все сообщения, не прошедшие проверку DMARC:
"v=DMARC1; p=reject" - Отклонять все сообщения, не прошедшие проверку DMARC, и отправлять все отчеты на ящик admin@test.ru:
"v=DMARC1; p=reject; rua=mailto:admin@test.ru" - 30% сообщений, которые приходят от вашего домена, но не проходят проверки DMARC, помещаются в карантин:
"v=DMARC1; p=quarantine; pct=30"
Внимание
Политика DMARC: "v=DMARC1; p=none" не защищает вас от спуфинга. Используйте ее только как промежуточный этап при настройке DMARC.