Как создать запись DMARC

Как защитить домен от спуфинга и фишинга и предотвратить попадание ваших писем в спам

Правила DMARC определяет строка текстовых значений, которая называется записью DMARC. Запись определяет:

насколько строго DMARC будет проверять письма;
какие действия должен выполнять сервер получателя с письмами, которые не прошли аутентификацию.

Варианты правил DMARC

Правила DMARC инструктируют сервер получателя о действиях, которые он должен выполнять с письмами из вашего домена, не прошедшими аутентификацию DMARC.

Ниже приведен пример записи правил DMARC. Теги v и p должны указываться первыми, остальные теги могут быть расположены в произвольном порядке:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Определения и значения тегов записи DMARC

Тег	Описание и значения
v	Версия DMARC. Необходимое значение: DMARC1. Это обязательный тег.
p	Определяет действия, которые почтовый сервер получателя должен выполнять с сообщениями, не прошедшими аутентификацию. none — не предпринимать никаких действий и доставить получателю. Зарегистрировать сообщения в ежедневном отчете. Отчет будет отправлен на адрес электронной почты, указанный в параметре rua в записи. quarantine— пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке. reject— отклонить сообщение. При этом сервер получателя обычно отправляет на сервер отправителя сообщение о недоставке. Это обязательный тег. Примечание относительно BIMI. Если в вашем домене используется BIMI, параметр DMARC p должен иметь значение quarantine или reject. BIMI не поддерживает правила DMARC со значением none для параметра p.
pct	Определяет процент не прошедших аутентификацию сообщений, на которые распространяются правила DMARC. Если вы развертываете DMARC постепенно, можно начать с небольшого процента сообщений. По мере того как всё больше сообщений из вашего домена будут проходить аутентификацию на серверах получателей, увеличивайте значение процента в записи, пока оно не достигнет 100. Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена. Этот тег использовать необязательно. Примечание относительно BIMI. Если в вашем домене используется BIMI, для параметра DMARC pct должно быть установлено значение 100. BIMI не поддерживает правила DMARC со значением менее 100 для параметра pct.
rua	Позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Адрес должен содержать mailto: Например: `mailto:dmarc-reports@solarmora.com` Чтобы отправлять отчеты о применении правил DMARC на несколько адресов электронной почты, перечислите адреса через запятую, добавив перед каждым префикс mailto:. Например: `mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com` Активация этого параметра может привести к большому количеству писем с отчетами. Не рекомендуем использовать для этой цели собственный адрес электронной почты. Лучше воспользуйтесь отдельным почтовым ящиком, группой или сторонним сервисом, который специализируется на отчетах DMARC. Этот тег использовать необязательно.
ruf	Не поддерживается. Gmail не поддерживает тег ruf, используемый для отправки отчетов о сбоях (также называются аналитическими).
sp	Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine — пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке. reject — отклонить сообщение. При этом сервер получателя должен отправить на сервер отправителя сообщение о недоставке. Если этот параметр в записи не используется, субдомены наследуют правила DMARC от родительских доменов. Этот тег использовать необязательно.
adkim	Позволяет настроить режим проверки соответствия для DKIM, который определяет, насколько точно данные о сообщениях должны совпадать с подписями DKIM. Подробнее о проверке соответствия… s — строгое соответствие. Доменное имя отправителя должно точно совпадать со значением, указанным для параметра d=доменное_имя в заголовках DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted. Этот тег использовать необязательно.
aspf	Позволяет настроить режим проверки соответствия для SPF, который определяет, насколько точно данные о сообщениях должны совпадать с подписями SPF. Подробнее о проверке соответствия… s— строгое соответствие. Заголовок "От:" сообщения должен точно совпадать с доменным именем в команде SMTP MAIL FROM. r — нестрогое соответствие (по умолчанию). Разрешаются частичные совпадения, например принимаются субдомены. Этот тег использовать необязательно.

Если вы только начинаете использовать DMARC, рекомендуем установить для правил значение none. По мере получения данных о том, как ваши письма проходят аутентификацию на серверах получателей, меняйте это значение сначала на quarantine, а затем на reject. Изучите практические примеры в Рекомендациях по развертыванию DMARC.

Значение правила	Рекомендуемые действия	Дополнительная информация
none	Сервер получателя не принимает никаких мер в отношении писем, не прошедших проверки DMARC. Письма доставляются получателю.	Рекомендуем установить это значение при первой настройке DMARC. Пока для правила установлено значение none (Не выполнять никаких действий), письма из вашего домена будут доставляться как обычно. При этом рекомендуем вам регулярно проверять отчеты DMARC, чтобы понять, как ваша почта проходит аутентификацию и доставляется. В отчетах DMARC, которые вам отправляют серверы получателей, содержатся сведения о письмах, не прошедших аутентификацию SPF или DKIM. Если значительная часть писем из вашего домена попадает в спам, проверьте конфигурацию SPF и DKIM. Подробнее об устранении проблем с аутентификацией DMARC… Не меняйте значение правил на quarantine или reject, пока не поймете, какие письма не проходят проверку на серверах получателей. Примечание относительно BIMI. Если в вашем домене используется BIMI, для правила DMARC (p) должно быть установлено значение quarantine (Помещать в карантин) или reject (Отклонять). BIMI не поддерживает правила DMARC со значением none (Не выполнять никаких действий) для параметра p.
quarantine	Письма, не прошедшие аутентификацию DMARC на сервере получателя, отправляются в папку "Спам". В зависимости от настроек на сервере получателя письмо может быть не сразу отправлено в папку "Спам", а сначала помещено в карантин.	Если выбрано это значение правила, вы также будете получать отчеты DMARC.
reject	Письма, не прошедшие аутентификацию DMARC на принимающем сервере, отклоняются и не доставляются получателю. Сервер получателя обычно присылает отправителю сообщение о недоставке.	При дальнейшей работе с DMARC мы рекомендуем постоянно использовать значение reject для всех правил. Если выбрано это значение правила, вы также будете получать отчеты DMARC. Установите это значение, если, по данным отчетов DMARC, все допустимые письма будут проходить аутентификацию и доставляться получателям. Отклонение писем, не прошедших аутентификацию, защитит получателей от спама, спуфинга и фишинга.

Настройка проверок соответствия DMARC

Письмо проходит или не проходит аутентификацию DMARC в зависимости от того, насколько точно заголовок "От" соответствует домену-отправителю, указанному в данных SPF или DKIM. Это называется проверкой соответствия.

Есть два режима проверки соответствия: строгий и нестрогий. Режим проверки соответствия для SPF и DKIM задается в записи DMARC с помощью тегов записи DMARC aspf и adkim.

Рекомендуем усилить защиту от спуфинга, установив строгий режим проверки соответствия, в следующих случаях:

Почта для вашего домена отправляется из субдомена, которым вы не управляете.
У вас есть субдомены, которыми управляют другие организации.

Чтобы пройти аутентификацию DMARC, письмо должно пройти хотя бы одну из следующих проверок:

аутентификация и проверка соответствия SPF;
аутентификация и проверка соответствия DKIM.

Аутентификация DMARC не пройдена, если письмо не проходит обе следующие проверки:

SPF или проверку соответствия SPF;
DKIM или проверку соответствия DKIM.

Важно! Обычно для защиты от спуфинга достаточно нестрогой проверки соответствия. При строгой проверке письма из связанных субдоменов могут отклоняться или отправляться в папку "Спам".

Метод аутентификации	Строгое соответствие	Нестрогое соответствие
SPF	Точное совпадение домена, прошедшего аутентификацию SPF, и домена, указанного в заголовке "От".	Домен в заголовке "От" должен соответствовать домену, прошедшему аутентификацию SPF, или быть его субдоменом.
DKIM	Точное совпадение соответствующего домена DKIM и домена, указанного в заголовке "От".	Домен в заголовке "От" должен совпадать с доменом, указанным в теге подписи DKIM d=, или быть его субдоменом.

Различия между адресом отправителя конверта и адресом, указанным в поле "От"

У электронных писем есть два типа адресов, которые определяют отправителя. При настройке SPF, DKIM и DMARC важно понимать разницу между этими адресами.

Адрес отправителя конверта и адрес, указанный в поле "От", могут быть одинаковыми или различаться.

Адрес отправителя конверта определяет, откуда пришло письмо. На него отправляются сообщения о недоставке. Адрес отправителя конверта часто также называют Return-Path и адресом возврата. Получатель письма не видит этот адрес.

SPF обычно использует для аутентификации именно адрес отправителя конверта.

Адрес в поле "От" указывается в заголовке письма. Письма состоят из двух частей: заголовка и текста сообщения. В заголовке содержится такая информация о письме, как имя и адрес электронной почты отправителя, тема письма и дата отправки. Заголовок "От" включает адрес электронной почты и, обычно, имя отправителя.

DKIM использует для аутентификации адрес в заголовке "От".

Пример проверки соответствия SPF

При проверке соответствия SPF сверяется домен, прошедший аутентификацию SPF (обычно адрес отправителя конверта), с доменом, указанным в заголовке От. Ниже приведены несколько примеров проверки соответствия SPF и ее результатов.

Адрес отправителя конверта	Адрес в заголовке "От"	Строгое соответствие	Нестрогое соответствие
`jon@solarmora.com`	`jon@solarmora.com`	Проверка пройдена	Проверка пройдена
`jon@mail.solarmora.com`	`jon@solarmora.com`	Проверка не пройдена	Проверка пройдена
`jon@solarmora.org`	`jon@solarmora.com`	Проверка не пройдена	Проверка не пройдена

Пример проверки соответствия DKIM

При проверке соответствия DKIM значение, указанное в поле домена подписи DKIM (d=) в заголовке, сверяется с доменом в заголовке "От".

Ниже приведены несколько примеров проверки соответствия DKIM и ее результатов.

Заголовок "От"	Домен в поле "d=" DKIM	Строгое соответствие	Нестрогое соответствие
`jon@solarmora.com`	`solarmora.com`	Проверка пройдена	Проверка пройдена
`jon@mail.solarmora.com`	`solarmora.com`	Проверка не пройдена	Проверка пройдена
`jon@solarmora.org`	`solarmora.com`	Проверка не пройдена	Проверка не пройдена

Параметры отчетов DMARC

DMARC позволяет настроить получение регулярных отчетов от почтовых серверов, на которые приходит почта из вашего домена.

Из отчетов DMARC можно узнать:

какие серверы или сторонние отправители шлют письма от имени вашего домена;
какой процент писем из вашего домена успешно проходит проверку DMARC;
какие серверы или сервисы шлют письма, которым не удается пройти проверку DMARC;
какие действия DMARC (none, quarantine или reject) выполняет получающий сервер с сообщениями из вашего домена, не прошедшими проверку.

Чтобы получать отчеты DMARC, используйте тег rua в записи DMARC.

Подробнее об отчетах DMARC…

Эта информация оказалась полезной?

Как можно улучшить эту статью?