Что такое DMARC и как это настроить?

Начиная с февраля 2024 года, Gmail и Yahoo вводят новые требования к аутентификации, которые требуют использования пользовательского, DKIM-аутентифицированного домена, с усиленным DMARC.

GetResponse настоятельно рекомендует всем отправителям использовать адрес отправителя на пользовательском домене, а также настроить записи DKIM и DMARC.

Более подробная информация об этих изменениях приведена в нашем блоге:
Все, что нужно знать об изменениях в аутентификации Gmail и Yahoo (статья на английском языке).

Что такое DMARC?

DMARC расшифровывается как Domain-based Message Authentication, Reporting, and Conformance (Аутентификация, Отчётность и Соответствие сообщений на основе домена). Это стандарт для обеспечения безопасности электронной почты. DMARC использует протоколы SPF и DKIM для повышения защиты домена от мошеннических писем. Он добавляет дополнительные проверки, связанные с доменным именем отправителя (“From:”), определяет правила обработки сообщений в случае сбоев аутентификации, а также предоставляет отчетность от получателей отправителям.

DMARC также предоставляет возможность владельцу домена получать уведомления о письмах, которые кажутся отправленными от его домена, но при этом не прошли правильную аутентификацию.

Настройка записи DMARC

Прежде чем приступить к настройке DMARC:

В записи DMARC TXT определяется политика DMARC. Настройка политики DMARC задает уровень строгости проверки сообщений и рекомендуемые действия для сервера, получающего сообщение в случае неудачи аутентификации.

Чтобы настроить основные функции DMARC, необходимо добавить соответствующую запись в настройки DNS-сервера вашего домена. Подготовьте TXT-запись, определяющую основной текст для DMARC-записи, а затем добавьте или обновите этот файл в настройках DNS-сервера доставки вашего домена, с которого отправляются маркетинговые кампании по электронной почте.

Политика DMARC может быть установлена в одной записи. Вот пример наиболее простой записи, которую можно использовать:

v=DMARC1; p=none;

Имя DMARC-записи (хост) должно быть _dmarc.yourdomain.com, где вместо yourdomain.com должен быть указан реальный URL домена.

Еще один пример:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Примечание: адреса электронной почты должны быть изменены на реальные рабочие адреса, к которым у вас есть доступ. Теги, использованные в этом примере, могут не подходить для всех, пожалуйста, прочитайте их описание ниже.

Запись DMARC включает в себя обязательные и необязательные теги, определяющие политику аутентификации электронной почты. Основной пример DMARC-записи должен включать следующие обязательные теги:

  • тег v – информирует о версиях DMARC, всегда устанавливается как DMARC1
  • тег p – содержит информацию о том, что серверы должны делать с сообщениями, не прошедшими аутентификацию, есть три политики на выбор:
    • p=none – отслеживает письма, отправленные на вашем домене, не изменяя почтовые серверы получателей.
    • p=quarantine – перенаправляет неудачные письма в папки нежелательной почты или спама, но при этом отслеживает отправленные письма.
    • p=reject – отклоняет неудачные письма, заставляя их отскакивать и не попадать ни в одну папку получателей, при этом отслеживая отправленные письма.

Если вы новичок в DMARC, лучше всего настраивать политику с использованием тега p и установкой значения none.

С течением времени, анализируя входящие отчеты для определения того, как ваш домен аутентифицируется серверами-получателями, вы можете изменить настройку этого тега на quarantine или reject.

Дополнительные теги обеспечивают дополнительную персонализацию:

  • pct – описывает процент неаутентифицированных писем, которые должны быть подвергнуты DMARC-записи. Диапазон выражается от 0 до 100, где 0 означает 0% сообщений, а 100 – 100%. Параметр pct является необязательным, но если вы не зададите его в записи, его значение по умолчанию будет равно 100, что будет включать все сообщения, не прошедшие аутентификацию.
  • rua=mailto:address@domain.com – указывает адрес электронной почты для получения отчетов от участвующих поставщиков почтовых ящиков, помогающих выявить проблемы с доменом.
  • adkim – указывает выравнивание идентификатора DKIM.
    • adkim=s – выравнивание будет строгим, что означает, что имя домена должно точно совпадать с именем домена, указанным в заголовках DKIM-почты.
    • adkim=r – выравнивание будет грубым, при котором будут приниматься все допустимые поддомены, используемые в заголовке.
  • aspf – работает аналогично adkim, однако относится к значениям SPF.
    • aspf=s – адрес электронной почты должен точно совпадать с именем домена
    • aspf=r – в заголовке сообщения может быть использован любой допустимый поддомен.

Для каждого домена, используемого вами для отправки, необходимо настроить отдельную запись, следуя описанным выше шагам. Политики DMARC каскадируются на поддомены: если вы устанавливаете их для основного домена, они автоматически применяются к настройкам родительского домена. При необходимости установки индивидуальных правил для каждого поддомена используйте параметр sp.

Как добавить запись DMARC у конкретных провайдеров

Вы можете ознакомиться с официальными инструкциями других платформ (в том числе и нашими) о том, как добавить запись DMARC здесь:

123-RegHover
Amazon Route 53 (AWS)Hostgator
ArsysHostinger
BluehostInmotion Hosting
CloudflareIONOS
Crazy DomainsIWantMyName
Domain.comName.com
Digital OceanNamecheap
DNSimpleNameSilo
DreamHostNetlify
DynadotOne.com
EnomOVH
GandiPorkbun
GoDaddyRegister.com
Google Domains

Более подробную информацию об аутентификации электронной почты не только для новичков можно найти в нашем блоге, а исчерпывающую информацию о функциональности DMARC – на сайте dmarc.org.

Популярные ресурсы