DMARC (Domain-based Message Authentication, Reporting & Conformance) — это протокол аутентификации электронной почты, который позволяет владельцам доменов защитить свой домен от несанкционированного использования в фишинговых атаках и спаме. DMARC помогает понять, действительно ли то или иное письмо пришло от указанного отправителя.
Как использование DMARC помогает компаниям:
- Защита бренда и репутации — использование DMARC предотвращает рассылку мошеннических писем от имени вашего домена.
- Борьба с фишингом — снижается риск того, что злоумышленники смогут обмануть ваших клиентов и партнеров.
- Повышение доставляемости — письма с правильно настроенным DMARC чаще доходят до получателей.
- Контроль над отправкой — вы знаете, кто и откуда отправляет письма с вашего домена.
Цели использования DMARC
Защита домена от спуфинга
Спуфинг — это рассылка писем с поддельным адресом отправителя. DMARC позволяет почтовым серверам проверять, действительно ли письмо отправлено с авторизованного источника.
Управление политикой обработки писем
С помощью DMARC вы определяете, что делать с письмами, которые не прошли проверку:
- отклонить их;
- поместить в спам;
- пропустить для мониторинга.
Сбор отчетов о доставке и проверках
Вы сможете получать детальные отчеты от основных почтовых провайдеров (Gmail, Yahoo, Microsoft и др.):
- кто пытался отправлять письма от вашего имени;
- какие письма прошли проверку, а какие нет;
- откуда приходят поддельные письма.
DMARC в цепочке аутентификации
DMARC не работает сам по себе, а является завершающим звеном в цепочке аутентификации:
- SPF (Sender Policy Framework) — указывает, с каких IP-адресов разрешено отправлять письма для вашего домена.
- DKIM (DomainKeys Identified Mail) — добавляет цифровую подпись к каждому отправляемому письму, подтверждая его подлинность.
- DMARC — использует результаты проверок SPF и DKIM, чтобы определить, что делать с письмами, которые не прошли аутентификацию.
Таким образом, DMARC не выполняет аутентификацию письма, а определяет политику на основе результатов SPF- и DKIM-проверок.
Подготовка к настройке DMARC
Прежде чем настраивать DMARC, обязательно выполните:
1. Настройте и протестируйте SPF
- Проверьте, что все законные источники отправки писем указаны в SPF-записи.
- Убедитесь, что SPF-запись не превышает лимит в 10 DNS-запросов.
- Проверьте синтаксис, например:
v=spf1 include:_spf.google.com ~all
2. Настройте и протестируйте DKIM
- Сгенерируйте DKIM-ключи для каждого сервиса отправки писем.
- Настройте подписание писем на всех почтовых серверах.
- Добавьте DKIM-запись в DNS, например:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3
3. Протестируйте отправку писем
- Отправьте тестовые письма с разных источников (CRM, рассыльщики, почта).
- Проверьте, проходят ли они SPF- и DKIM-проверки.
- Используйте инструменты проверки, например MXToolbox.
4. Подготовить email-адрес для отчетов
- Создайте отдельный email-адрес для получения DMARC-отчетов.
- Или используйте специализированные сервисы для анализа отчетов.
Как создать DMARC-запись
Синтаксис и структура DMARC-записи
DMARC-запись добавляется в DNS в виде TXT-записи на поддомене _dmarc вашего домена. Можно использовать следующие теги:
| Название тега | Назначение | Пример | Обязательность | Значения |
|---|---|---|---|---|
| v | Версия протокола | v=DMARC1 | да | |
| p | Правила для домена | p=reject | да | - none — не принимать никаких действий- quarantine — отправлять сообщения в спам- reject — не принимать сообщения |
| aspf | Режим проверки соответствия для SPF-записей | aspf=s | нет | - r (relaxed) — разрешать частичные совпадения, например субдоменов данного домена- s (strict) — разрешать только полные совпадения |
| adkim | Режим проверки соответствия для DKIM-записей | adkim=s | нет | - r (relaxed) — разрешать частичные совпадения, например субдоменов данного домена- s (strict) — разрешать только полные совпадения |
| pct | Сообщения, подлежащие фильтрации (в %) | pct=40 | нет | |
| sp | Правила для субдоменов | sp=reject | нет | - none — не принимать никаких действий- quarantine — отправлять сообщения в спам- reject — не принимать сообщения |
| rua | Email-адрес для отчетов | rua=mailto:admin@ test.ru | нет | |
| ruf | Email-адрес для получения детальных отчетов | ruf=mailto:reports@ example.com | нет |
Примеры
- Отклонять все сообщения, не прошедшие проверку DMARC:
v=DMARC1; p=reject - Отклонять все сообщения, не прошедшие проверку DMARC, и отправлять все отчеты на ящик admin@test.ru:
v=DMARC1; p=reject; rua=mailto:admin@test.ru - 30% сообщений, которые приходят от вашего домена, но не проходят проверки DMARC, помещаются в карантин:
v=DMARC1; p=quarantine; pct=30
Где и как добавить DMARC-запись
- Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
- Перейдите в раздел управления DNS-зонами необходимого домена.
- Добавьте новую TXT-запись вида
_dmarc.example.com(где вместоexample.comдолжен быть ваш домен).
Пример добавляемой записи:
"v=DMARC1;p=none;rua=mailto:rua@example.com;ruf=mailto:ruf@example.com;fo=s"
Обратите внимание на кавычки. Некоторые провайдеры ставят кавычки для TXT-записи самостоятельно. Вы можете уточнить необходимость кавычек у хостинг-провайдера или взять за образец другую ТХТ-запись домена, если она есть.
Примечание
Если вы хотите получать отчеты (
rua) на домен, который отличается от домена DMARC, необходимо разместить TXT-запись для почтового домена специального вида. Например, если домен с DMARC —example.com, а получать отчеты вы хотите на доменtest.ru, необходимо в DNS доменаtest.ruдобавить следующую TXT-запись:example.com._report._dmarc.test.ruсо значениемv=DMARC1.
Проверка DMARC-записи
После добавления записи необходимо проверить:
1. Корректность синтаксиса:
bash
nslookup -type=TXT _dmarc.example.com
Или используйте онлайн-инструменты:
- MXToolbox DMARC Lookup
- DMARC Inspector
- Google Admin Toolbox
2. Факт применения изменений:
DNS-изменения применяются от 5 минут до 48 часов.
3. Выполнение отправки:
Отправьте тестовые письма и проверьте заголовки:
- Найдите строку
Authentication-Results - Проверьте значение
dmarc=passилиdmarc=fail
4. Получение отчетов:
Убедитесь, что начали получать отчеты на указанный email-адрес.
Рекомендации по выбору политики
Мониторинг
В течение 1-2 месяца.
v=DMARC1; p=none; rua=mailto:reports@example.com; pct=100
Когда использовать:
- при первой настройке DMARC;
- после изменений в инфраструктуре отправки;
- для периодического аудита.
Внимание
Политика
p=noneне защищает вас от спуфинга. Используйте ее только как промежуточный этап, в начале использования DMARC.
Отправка на карантин / в Спам
В течение 1 месяца.
v=DMARC1; p=quarantine; rua=mailto:reports@example.com; pct=10
Когда использовать:
- После анализа отчетов из стадии мониторинга.
- Когда уверены в прохождении 90% проверок. Начинайте с небольшого процента (pct=10-25) и постепенно увеличивайте процент (pct=50, затем pct=100).
Отклонение писем, строгая защита
Постоянно.
v=DMARC1; p=reject; sp=reject; rua=mailto:reports@example.com; ruf=mailto:dmarc-reports@example.com; adkim=s; aspf=s
Когда использовать:
- Когда все легитимные источники настроены
- Когда 99%+ писем проходят проверку
- После успешного прохождения стадии отправки на карантин / Спам
Совет
Не торопитесь с переходом на строгую защиту
reject. Лучше провести 2-3 месяца в режиме мониторинга и карантина, чем заблокировать важные бизнес-письма. DMARC — это не разовая настройка, а постоянный процесс мониторинга и улучшения. Правильно настроенный DMARC значительно повышает доверие к вашему домену и защищает как ваш бизнес, так и ваших клиентов.
