Правила DMARC определяет строка текстовых значений, которая называется записью DMARC. Запись определяет:
- насколько строго DMARC будет проверять письма;
- какие действия должен выполнять сервер получателя с письмами, которые не прошли аутентификацию.
Варианты правил DMARC
Правила DMARC инструктируют сервер получателя о действиях, которые он должен выполнять с письмами из вашего домена, не прошедшими аутентификацию DMARC.
Ниже приведен пример записи правил DMARC. Теги v и p должны указываться первыми, остальные теги могут быть расположены в произвольном порядке:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Определения и значения тегов записи DMARC
Тег | Описание и значения |
v |
Версия DMARC. Необходимое значение: DMARC1. Это обязательный тег. |
p | Определяет действия, которые почтовый сервер получателя должен выполнять с сообщениями, не прошедшими аутентификацию.
Это обязательный тег. Примечание относительно BIMI. Если в вашем домене используется BIMI, параметр DMARC p должен иметь значение quarantine или reject. BIMI не поддерживает правила DMARC со значением none для параметра p. |
pct |
Определяет процент не прошедших аутентификацию сообщений, на которые распространяются правила DMARC. Если вы развертываете DMARC постепенно, можно начать с небольшого процента сообщений. По мере того как всё больше сообщений из вашего домена будут проходить аутентификацию на серверах получателей, увеличивайте значение процента в записи, пока оно не достигнет 100. Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена. Этот тег использовать необязательно. Примечание относительно BIMI. Если в вашем домене используется BIMI, для параметра DMARC pct должно быть установлено значение 100. BIMI не поддерживает правила DMARC со значением менее 100 для параметра pct. |
rua |
Позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Адрес должен содержать mailto: Чтобы отправлять отчеты о применении правил DMARC на несколько адресов электронной почты, перечислите адреса через запятую, добавив перед каждым префикс mailto:. Например: Активация этого параметра может привести к большому количеству писем с отчетами. Не рекомендуем использовать для этой цели собственный адрес электронной почты. Лучше воспользуйтесь отдельным почтовым ящиком, группой или сторонним сервисом, который специализируется на отчетах DMARC. Этот тег использовать необязательно. |
ruf |
Не поддерживается. Gmail не поддерживает тег ruf, используемый для отправки отчетов о сбоях (также называются аналитическими). |
sp | Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC.
Если этот параметр в записи не используется, субдомены наследуют правила DMARC от родительских доменов. Этот тег использовать необязательно. |
adkim | Позволяет настроить режим проверки соответствия для DKIM, который определяет, насколько точно данные о сообщениях должны совпадать с подписями DKIM. Подробнее о проверке соответствия…
Этот тег использовать необязательно. |
aspf | Позволяет настроить режим проверки соответствия для SPF, который определяет, насколько точно данные о сообщениях должны совпадать с подписями SPF. Подробнее о проверке соответствия…
Этот тег использовать необязательно. |
Если вы только начинаете использовать DMARC, рекомендуем установить для правил значение none. По мере получения данных о том, как ваши письма проходят аутентификацию на серверах получателей, меняйте это значение сначала на quarantine, а затем на reject. Изучите практические примеры в Рекомендациях по развертыванию DMARC.
Значение правила | Рекомендуемые действия | Дополнительная информация |
none | Сервер получателя не принимает никаких мер в отношении писем, не прошедших проверки DMARC. Письма доставляются получателю. |
Рекомендуем установить это значение при первой настройке DMARC. Пока для правила установлено значение none (Не выполнять никаких действий), письма из вашего домена будут доставляться как обычно. При этом рекомендуем вам регулярно проверять отчеты DMARC, чтобы понять, как ваша почта проходит аутентификацию и доставляется. В отчетах DMARC, которые вам отправляют серверы получателей, содержатся сведения о письмах, не прошедших аутентификацию SPF или DKIM. Если значительная часть писем из вашего домена попадает в спам, проверьте конфигурацию SPF и DKIM. Подробнее об устранении проблем с аутентификацией DMARC… Не меняйте значение правил на quarantine или reject, пока не поймете, какие письма не проходят проверку на серверах получателей. Примечание относительно BIMI. Если в вашем домене используется BIMI, для правила DMARC (p) должно быть установлено значение quarantine (Помещать в карантин) или reject (Отклонять). BIMI не поддерживает правила DMARC со значением none (Не выполнять никаких действий) для параметра p. |
quarantine | Письма, не прошедшие аутентификацию DMARC на сервере получателя, отправляются в папку "Спам". В зависимости от настроек на сервере получателя письмо может быть не сразу отправлено в папку "Спам", а сначала помещено в карантин. | Если выбрано это значение правила, вы также будете получать отчеты DMARC. |
reject | Письма, не прошедшие аутентификацию DMARC на принимающем сервере, отклоняются и не доставляются получателю. Сервер получателя обычно присылает отправителю сообщение о недоставке. |
При дальнейшей работе с DMARC мы рекомендуем постоянно использовать значение reject для всех правил. Если выбрано это значение правила, вы также будете получать отчеты DMARC. Установите это значение, если, по данным отчетов DMARC, все допустимые письма будут проходить аутентификацию и доставляться получателям. Отклонение писем, не прошедших аутентификацию, защитит получателей от спама, спуфинга и фишинга. |
Настройка проверок соответствия DMARC
Письмо проходит или не проходит аутентификацию DMARC в зависимости от того, насколько точно заголовок "От" соответствует домену-отправителю, указанному в данных SPF или DKIM. Это называется проверкой соответствия.
Есть два режима проверки соответствия: строгий и нестрогий. Режим проверки соответствия для SPF и DKIM задается в записи DMARC с помощью тегов записи DMARC aspf и adkim.
Рекомендуем усилить защиту от спуфинга, установив строгий режим проверки соответствия, в следующих случаях:
- Почта для вашего домена отправляется из субдомена, которым вы не управляете.
- У вас есть субдомены, которыми управляют другие организации.
Чтобы пройти аутентификацию DMARC, письмо должно пройти хотя бы одну из следующих проверок:
- аутентификация и проверка соответствия SPF;
- аутентификация и проверка соответствия DKIM.
Аутентификация DMARC не пройдена, если письмо не проходит обе следующие проверки:
- SPF или проверку соответствия SPF;
- DKIM или проверку соответствия DKIM.
Различия между адресом отправителя конверта и адресом, указанным в поле "От"
У электронных писем есть два типа адресов, которые определяют отправителя. При настройке SPF, DKIM и DMARC важно понимать разницу между этими адресами.
Адрес отправителя конверта и адрес, указанный в поле "От", могут быть одинаковыми или различаться.
Адрес отправителя конверта определяет, откуда пришло письмо. На него отправляются сообщения о недоставке. Адрес отправителя конверта часто также называют Return-Path и адресом возврата. Получатель письма не видит этот адрес.
SPF обычно использует для аутентификации именно адрес отправителя конверта.
Адрес в поле "От" указывается в заголовке письма. Письма состоят из двух частей: заголовка и текста сообщения. В заголовке содержится такая информация о письме, как имя и адрес электронной почты отправителя, тема письма и дата отправки. Заголовок "От" включает адрес электронной почты и, обычно, имя отправителя.
DKIM использует для аутентификации адрес в заголовке "От".
Пример проверки соответствия SPF
При проверке соответствия SPF сверяется домен, прошедший аутентификацию SPF (обычно адрес отправителя конверта), с доменом, указанным в заголовке От. Ниже приведены несколько примеров проверки соответствия SPF и ее результатов.
Адрес отправителя конверта | Адрес в заголовке "От" | Строгое соответствие | Нестрогое соответствие |
jon@solarmora.com |
jon@solarmora.com |
Проверка пройдена | Проверка пройдена |
jon@mail.solarmora.com |
jon@solarmora.com |
Проверка не пройдена | Проверка пройдена |
jon@solarmora.org |
jon@solarmora.com |
Проверка не пройдена | Проверка не пройдена |
Пример проверки соответствия DKIM
При проверке соответствия DKIM значение, указанное в поле домена подписи DKIM (d=) в заголовке, сверяется с доменом в заголовке "От".
Ниже приведены несколько примеров проверки соответствия DKIM и ее результатов.
Заголовок "От" | Домен в поле "d=" DKIM | Строгое соответствие | Нестрогое соответствие |
jon@solarmora.com |
solarmora.com |
Проверка пройдена | Проверка пройдена |
jon@mail.solarmora.com |
solarmora.com |
Проверка не пройдена | Проверка пройдена |
jon@solarmora.org |
solarmora.com |
Проверка не пройдена | Проверка не пройдена |
Параметры отчетов DMARC
DMARC позволяет настроить получение регулярных отчетов от почтовых серверов, на которые приходит почта из вашего домена.
Из отчетов DMARC можно узнать:
- какие серверы или сторонние отправители шлют письма от имени вашего домена;
- какой процент писем из вашего домена успешно проходит проверку DMARC;
- какие серверы или сервисы шлют письма, которым не удается пройти проверку DMARC;
- какие действия DMARC (none, quarantine или reject) выполняет получающий сервер с сообщениями из вашего домена, не прошедшими проверку.
Чтобы получать отчеты DMARC, используйте тег rua в записи DMARC.
Подробнее об отчетах DMARC…