Уведомление

На смену Duet AI приходит Gemini для Google Workspace. Подробнее…

Рекомендации по развертыванию DMARC

Как защитить домен от спуфинга и фишинга и предотвратить попадание ваших писем в спам

Технологию DMARC следует внедрять поэтапно. Сначала задайте для правил значение none, чтобы только отслеживать поток сообщений, и постепенно применяйте более строгие правила, которые в итоге будут отклонять все письма, не прошедшие аутентификацию.

Правило со значением none позволит вам получать отчеты, но при этом принимающие серверы не будут отклонять ваши сообщения или направлять их в папку "Спам". Вы также можете применить правило DMARC только к определенной части писем, отправляемых из вашей организации. Эти две возможности позволяют постепенно внедрять DMARC, сохраняя контроль над работой электронной почты.

Важно! Прежде чем внедрять DMARC, настройте технологии DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework). Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC. Подробную информацию о настройке SPF и DKIM можно получить в разделе Как улучшить защиту от спуфинга, фишинга и спама.

1. Начните с нестрогих правил DMARC

Сначала задайте в записи DMARC значение none и настройте получение ежедневных отчетов. Так вы сможете получать отчеты, но при этом принимающие серверы не будут отклонять ваши сообщения или направлять их в папку "Спам". Мы рекомендуем использовать это значение по крайней мере в течение недели. Этого срока обычно достаточно, чтобы собрать в ежедневных отчетах сведения, позволяющие сделать выводы обо всей почте в вашей организации.

Изучайте ежедневные отчеты DMARC, чтобы убедиться, что ваши письма отправляются надежными авторизованными серверами и проходят аутентификацию.

Рекомендуем начать с нестрогого правила DMARC или применять его к небольшой части исходящих сообщений. Для этого выполните следующие действия:

  1. На сайте своего регистратора домена измените TXT-запись DNS для DMARC.
  2. Создайте правило, которое применяется ко всей почте в вашей организации, и задайте для него значение none:.

    v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Это правило применяется ко всем сообщениям электронной почты, получаемым почтовыми серверами, но никаких действий при его невыполнении не предусмотрено (none), поэтому письма доставляются по назначению, даже если они не проходят аутентификацию DMARC. Каждый почтовый сервер, на который поступают письма из вашего домена, отправляет ежедневные отчеты на адрес dmarc@solarmora.com.

2. Изучайте отчеты DMARC

Ежедневно проверяйте отчеты, чтобы выяснить:

  • какие серверы или сторонние отправители отсылают письма от имени вашего домена;
  • какой процент писем из вашего домена успешно проходит проверку DMARC;
  • какие серверы или сервисы отсылают письма, которым не удается пройти проверку DMARC.

Изучайте возникшие проблемы, например:

  • сообщения из вашего домена попадают в папку "Спам" получателей;
  • вам приходят сообщения от получателей о недоставке писем или об ошибках.

Чтобы узнать, как решить проблемы с отклонением сообщений из вашего домена или их попаданием в спам, ознакомьтесь с этой статьей.

Продолжайте отслеживать данные в ежедневных отчетах. Чтобы получать их, убедитесь, что в теге rua указан адрес вашей электронной почты или специального почтового ящика. Мы рекомендуем выделить на этот этап по крайней мере семь дней, прежде чем переходить к следующему. Продолжительность этапа зависит от размера вашей организации и ее почтового трафика.

Подробнее об отчетах DMARC

3. Отправьте в карантин небольшой процент писем

Если мониторинг отчетов DMARC в течение как минимум недели не обнаружит проблем, установите для правила значение "Помещать в карантин" (quarantine ) и добавьте тег pct, чтобы применять правило к небольшой части писем. Пример:

  1. На сайте своего регистратора домена измените TXT-запись DNS для DMARC.
  2. Добавьте правило со значением quarantine, применимое для 5 % сообщений. Те из 5 % писем, которые не пройдут проверку DMARC, будут отправляться в папку "Спам" получателей.

    v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Это правило применяется только к 5 % писем, получаемых почтовыми серверами. Письма, которым не удалось пройти проверку DMARC, помещаются в папку "Спам" получателей. Правило коснется только небольшой части сообщений электронной почты, а у получателей будет возможность посмотреть те из них, которые были отправлены в спам. Каждый почтовый сервер, на который поступают письма из вашего домена, отправляет ежедневные отчеты на адрес dmarc@solarmora.com.

Небольшие организации, в отличие от крупных, могут иметь более полное представление о своем почтовом трафике и применить правило к большей части писем. У крупных организаций этот трафик обычно неоднородный и может обслуживаться устаревшими серверами и сторонними отправителями.

Крупным организациям мы рекомендуем постепенно увеличивать процент писем, регулируемых правилом, чтобы устранить риск отклонения большого количества сообщений или их попадания в спам. Небольшие организации могут начать с применения правила карантина для 10 % своих писем, а крупные – для 1 %.

4. Назначьте правило отклонения для всех писем, не прошедших аутентификацию

Это последний этап развертывания DMARC. Убедившись, что большинство писем, отправляемых из вашего домена, проходят проверку SPF и DKIM, вы можете задать строгое правило DMARC.

Если технология функционирует как положено, примените правило DMARC reject, предписывающее отклонять любое письмо из вашей организации, которое не прошло проверку. Пример:

  1. На сайте своего регистратора домена измените TXT-запись DNS для DMARC.
  2. Укажите в ней более строгое правило, Пример:

    v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com

Это правило применяется ко всем письмам, получаемым почтовыми серверами. Если запись не содержит тег pct, правило применяется ко всем электронным сообщениям, отправленным из вашего домена. Все письма, не прошедшие аутентификацию DMARC, отклоняются. Отправителю может направляться сообщение о недоставке отклоненного письма. Каждый почтовый сервер, на который поступают письма из вашего домена, отправляет ежедневные отчеты на адрес postmaster@solarmora.com.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
807316746737243010
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false