Что это такое
Domain-based Message Authentication, Reporting, and Conformance — это бесплатный стандарт для защиты домена от фишинга и спуфинга. Он предотвращает несанкционированное использование домена для отправки писем. Спамеры могут подделывать поле «От» в электронных письмах, чтобы они выглядели правдоподобно. DMARC же гарантирует, что такие мошеннические письма будут заблокированы до того, как попадут в почтовый ящик клиента.
Дополнительно инструмент предоставляет владельцу домена отчеты о подозрительных взаимодействиях.
Зачем нужен
-
Позволяет отслеживать все письма, отправляемые с вашего адреса, и проверять их аутентификацию. Это нужно, чтобы устранять любые проблемы с доставляемостью.
-
Защищает бренд — блокирует поддельные сообщения.
-
Предотвращает фишинговые атаки, защищая пользователей и организацию от утечки данных и других угроз.
-
Улучшает доставляемость. Правильная аутентификация снижает число жалоб на спам и повышает доверие интернет-провайдеров к домену. За счет этого рассылка с большей вероятностью попадет в папку «Входящие».
Как работает с технической точки зрения
Инструмент использует две методики проверки email — SPF и DKIM.
SPF — технология, проверяющая: имеет ли сервер право отправлять электронные письма от имени вашего домена. Для этого создается SPF-запись в DNS с перечисленными доверенными IP.
DKIM используется для цифровой подписи исходящих писем. Каждый раз, когда письмо отправляется, оно подписывается закрытым ключом с сервера отправителя. Получающий сервер проверяет подпись на соответствие с помощью открытого ключа из DNS-записи домена.
DMARC работает поверх SPF и DKIM: проверяет, прошло ли письмо обе проверки. Он определяет, совпадает ли домен в поле «От» (Header From) с доменами для SPF и DKIM. Если проверка не пройдена, система определяет, как поступить с таким письмом.
Есть три варианта:
-
none (мониторинг) — письма принимаются, но система генерирует отчеты о проверке;
-
quarantine (карантин) — письма отправляются в «Спам»;
-
reject (отклонение) — письма отклоняются и не доходят до получателя.
Политика задается через запись DMARC в DNS. Шаблон всегда один:
v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic-reports@example.com; fo=1
-
v=DMARC1 — указывает версию протокола.
-
p=reject — для писем, которые не прошли проверку.
-
rua — адрес для получения агрегированных отчетов.
-
ruf — адрес для получения форензик-отчетов.
-
fo=1 — указывает, что форензик-отчеты должны отправляться при любой ошибке в проверке.
Агрегированные отчеты — это документ со статистикой: какие письма проходили и не проходили проверки. Форензик-отчеты содержат детализированную информацию о конкретных письмах.
FAQ
С чего начать настройку?
Начните с политики p=none для мониторинга и сбора отчетов о текущем состоянии аутентификации почты. Это позволит понять, какие письма отправляются от имени домена и как они проходят проверки SPF и DKIM.
Затем постепенно переходите к более строгим политикам — quarantine и reject.
Как долго оставаться на политике p=none?
Не менее 2–4 недель, чтобы получить достаточно информации для анализа. Это поможет выявить легитимных отправителей и устранить потенциальные проблемы до перехода на более строгие политики.
Как получить DMARC-отчеты?
Укажите адреса для получения отчетов (rua — для агрегированных, и ruf — для форензик-отчетов) в прописанной строке.
Почему некоторые легитимные письма не доходят после настройки p=reject?
Это может происходить из-за неправильной настройки SPF или DKIM. Если отправляемые письма не соответствуют требованиям DMARC, система их отклонит.
Убедитесь, что все сторонние сервисы рассылок настроены на использование вашего домена с правильной аутентификацией.
