Что такое DMARC и как это настроить?
Начиная с февраля 2024 года, Gmail и Yahoo вводят новые требования к аутентификации, которые требуют использования пользовательского, DKIM-аутентифицированного домена, с усиленным DMARC.
GetResponse настоятельно рекомендует всем отправителям использовать адрес отправителя на пользовательском домене, а также настроить записи DKIM и DMARC.
Более подробная информация об этих изменениях приведена в нашем блоге:
Все, что нужно знать об изменениях в аутентификации Gmail и Yahoo (статья на английском языке).
Что такое DMARC?
DMARC расшифровывается как Domain-based Message Authentication, Reporting, and Conformance (Аутентификация, Отчётность и Соответствие сообщений на основе домена). Это стандарт для обеспечения безопасности электронной почты. DMARC использует протоколы SPF и DKIM для повышения защиты домена от мошеннических писем. Он добавляет дополнительные проверки, связанные с доменным именем отправителя (“From:”), определяет правила обработки сообщений в случае сбоев аутентификации, а также предоставляет отчетность от получателей отправителям.
DMARC также предоставляет возможность владельцу домена получать уведомления о письмах, которые кажутся отправленными от его домена, но при этом не прошли правильную аутентификацию.
Настройка записи DMARC
Прежде чем приступить к настройке DMARC:
- Настройте идентификацию доменных ключей (DKIM)
- Проверьте, существует ли уже запись DMARC, войдя в панель хостинга вашего домена
В записи DMARC TXT определяется политика DMARC. Настройка политики DMARC задает уровень строгости проверки сообщений и рекомендуемые действия для сервера, получающего сообщение в случае неудачи аутентификации.
Чтобы настроить основные функции DMARC, необходимо добавить соответствующую запись в настройки DNS-сервера вашего домена. Подготовьте TXT-запись, определяющую основной текст для DMARC-записи, а затем добавьте или обновите этот файл в настройках DNS-сервера доставки вашего домена, с которого отправляются маркетинговые кампании по электронной почте.
Политика DMARC может быть установлена в одной записи. Вот пример наиболее простой записи, которую можно использовать:
v=DMARC1; p=none;
Имя DMARC-записи (хост) должно быть _dmarc.yourdomain.com, где вместо yourdomain.com должен быть указан реальный URL домена.
Еще один пример:
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s
Примечание: адреса электронной почты должны быть изменены на реальные рабочие адреса, к которым у вас есть доступ. Теги, использованные в этом примере, могут не подходить для всех, пожалуйста, прочитайте их описание ниже.
Запись DMARC включает в себя обязательные и необязательные теги, определяющие политику аутентификации электронной почты. Основной пример DMARC-записи должен включать следующие обязательные теги:
- тег v – информирует о версиях DMARC, всегда устанавливается как DMARC1
- тег p – содержит информацию о том, что серверы должны делать с сообщениями, не прошедшими аутентификацию, есть три политики на выбор:
- p=none – отслеживает письма, отправленные на вашем домене, не изменяя почтовые серверы получателей.
- p=quarantine – перенаправляет неудачные письма в папки нежелательной почты или спама, но при этом отслеживает отправленные письма.
- p=reject – отклоняет неудачные письма, заставляя их отскакивать и не попадать ни в одну папку получателей, при этом отслеживая отправленные письма.
Если вы новичок в DMARC, лучше всего настраивать политику с использованием тега p и установкой значения none.
С течением времени, анализируя входящие отчеты для определения того, как ваш домен аутентифицируется серверами-получателями, вы можете изменить настройку этого тега на quarantine или reject.
Дополнительные теги обеспечивают дополнительную персонализацию:
- pct – описывает процент неаутентифицированных писем, которые должны быть подвергнуты DMARC-записи. Диапазон выражается от 0 до 100, где 0 означает 0% сообщений, а 100 – 100%. Параметр pct является необязательным, но если вы не зададите его в записи, его значение по умолчанию будет равно 100, что будет включать все сообщения, не прошедшие аутентификацию.
- rua=mailto:address@domain.com – указывает адрес электронной почты для получения отчетов от участвующих поставщиков почтовых ящиков, помогающих выявить проблемы с доменом.
- adkim – указывает выравнивание идентификатора DKIM.
- adkim=s – выравнивание будет строгим, что означает, что имя домена должно точно совпадать с именем домена, указанным в заголовках DKIM-почты.
- adkim=r – выравнивание будет грубым, при котором будут приниматься все допустимые поддомены, используемые в заголовке.
- aspf – работает аналогично adkim, однако относится к значениям SPF.
- aspf=s – адрес электронной почты должен точно совпадать с именем домена
- aspf=r – в заголовке сообщения может быть использован любой допустимый поддомен.
Для каждого домена, используемого вами для отправки, необходимо настроить отдельную запись, следуя описанным выше шагам. Политики DMARC каскадируются на поддомены: если вы устанавливаете их для основного домена, они автоматически применяются к настройкам родительского домена. При необходимости установки индивидуальных правил для каждого поддомена используйте параметр sp.
Как добавить запись DMARC у конкретных провайдеров
Вы можете ознакомиться с официальными инструкциями других платформ (в том числе и нашими) о том, как добавить запись DMARC здесь:
Более подробную информацию об аутентификации электронной почты не только для новичков можно найти в нашем блоге, а исчерпывающую информацию о функциональности DMARC – на сайте dmarc.org.