DMARC

Как добавить запись DMARC

Настройте действия с подозрительными сообщениями, поступившими в ваш домен

Чтобы настроить проверку DMARC, добавьте правила в записи DNS домена. Правила определяют действия с подозрительными сообщениями, поступившими в ваш домен. Их можно добавить в виде записей TXT.

Есть три типа правил DMARC, которые определяют действия с подозрительными сообщениями, поступившими в ваш домен:

  • не предпринимать никаких действий с сообщением и зарегистрировать его в ежедневном отчете;
  • пометить сообщение как спам и поместить в карантин для дальнейшей обработки;
  • отклонить сообщение (и тогда оно не будет доставлено получателю).

Правило DMARC настраивается с помощью тега p в записи TXT, как описано в таблице Стандартные теги, которые используются в записях TXT для проверки по технологии DMARC ниже.

Сначала настройте SPF и DKIM

Прежде чем включать DMARC, рекомендуем настроить SPF и DKIM, поскольку DMARC использует эти две технологии для проверки сообщений на подлинность. Если письмо не пройдет проверку SPF или DKIM, запустится правило DMARC.

Как создать запись DMARC

Создайте запись TXT с названиями тегов и значениями, определяющими правила, которые должны использоваться в домене.

Название записи TXT должно быть в следующем формате, где vashdomen.ru – имя вашего домена:
 _dmarc.vashdomen.ru 

Советы по созданию записи TXT для DMARC

В приведенных ниже статьях содержатся подробные инструкции по созданию записи DMARC.

Стандартные теги, которые используются в записях TXT для проверки по технологии DMARC

Примечание. В Gmail не поддерживается тег DMARC ruf, используемый для отправки отчетов о сбоях (аналитических отчетов).

Название тега Требуется Описание и значения Пример

v

Да Версия протокола. Укажите значение DMARC1. v=DMARC1

p

Да

Определяет действия с подозрительными сообщениями, поступившими в ваш домен:

  • none: не предпринимать никаких действий, зарегистрировать подозрительные сообщения в ежедневном отчете.
  • quarantine: пометить сообщение как спам и поместить в карантин для дальнейшей обработки.
  • reject: отклонить сообщение (и тогда оно не будет доставлено получателю).
p=quarantine

pct

Нет

Позволяет задать процент подозрительных сообщений, к которым применяется правило DMARC. Подозрительными считаются письма, которые не прошли проверку DMARC. Значение по умолчанию – 100

pct=20

rua

Нет

URI для сводных отчетов. Чтобы получать отчеты о применении правил DMARC в вашем домене, укажите в этом параметре собственный адрес электронной почты.

rua=mailto:aggrep@example.com

sp

Нет

Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC. Возможные значения совпадают со значениями для тега p.

 

sp=reject

aspf

Нет

Позволяет настроить режим проверки соответствия для записей SPF (ASPF), который определяет, насколько точно данные сообщений должны совпадать с подписями SPF. По умолчанию установлено значение relaxed (мягкий режим).

r: при мягком режиме разрешаются частичные совпадения, например субдоменов данного домена.

s: при строгом режиме разрешены только точные соответствия.

aspf=r

 

Последовательное развертывание DMARC

Для последовательного развертывания DMARC в Gmail используйте параметры policy (p) и percent (pct).

Как последовательно развернуть правило DMARC

Используйте параметр policy (p). Задайте или измените его с помощью значения тега p в записи TXT. Начните с настройки правила для карантина, чтобы проверять подозрительные сообщения. Затем постепенно измените правило на основе сообщений, помещенных в карантин, и ежедневных отчетов.

  1. p=none: отслеживайте трафик электронной почты и проблемы, пропуская все сообщения. Обращайте внимание на поддельные письма и сообщения, не подписанные с помощью DKIM или SPF.
  2. p=quarantine: когда вы выявите закономерности, отраженные в ежедневных отчетах, задайте для правила значение quarantine (карантин). Продолжайте просматривать ежедневные отчеты и сообщения, которые помечаются как спам и отправляются в карантин.
  3. p=reject: когда вы будете уверены, что все сообщения в вашем домене подписаны, измените значение правила на reject (отклонять) для фильтрации спама. Продолжайте проверять ежедневные отчеты, чтобы убедиться, что правило фильтрует спам и отправляет получателям действительные электронные письма.

Используйте параметр percent (pct). Он позволяет задать процент подозрительных сообщений, к которым применяется правило DMARC. Подозрительными считаются письма, которые не прошли проверку DMARC. По умолчанию для этого параметра установлено значение 100 % (все подозрительные сообщения). Используйте параметр percent, чтобы сначала фильтровать небольшое количество сообщений, увеличивая его каждые несколько дней по мере настройки работы правила DMARC. Например, для начала установите значение 20, чтобы фильтровать 20 % отклоненных или помещенных в карантин сообщений. На следующей неделе измените значение с 20 на 50, чтобы фильтровать 50 % сообщений.

Пример развертывания: ниже приведен пример использования параметров p и pct для последовательного развертывания правила DMARC. Время от времени обновляйте правило DMARC, указывая следующие значения:

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Примеры записей TXT

Ниже приведены примеры записей TXT для проверки DMARC, которые при необходимости можно изменить. Скопируйте их и замените строки vashdomen.ru и postmaster@vashdomen.ru вашим доменным именем и адресом электронной почты.

При необходимости измените значения правила и процентов на основе данных ежедневных отчетов.

Пример записи TXT: "Не предпринимать никаких действий"

Не предпринимать действий с сообщениями из домена vashdomen.ru, не прошедшими проверки DMARC. Отправлять ежедневные отчеты на адрес postmaster@vashdomen.ru.

"v=DMARC1; p=none; rua=mailto:postmaster@vashdomen.ru"

Пример записи TXT: "Поместить сообщение в карантин"

Помещать в карантин 5 % сообщений из домена vashdomen.ru, не прошедших проверки DMARC. Отправлять ежедневные отчеты на адрес postmaster@vashdomen.ru.

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@vashdomen.ru"

Пример записи TXT: "Отклонить сообщение"

Отклонять 100 % сообщений из вашего домена, не прошедших проверки DMARC. Отправлять ежедневные отчеты на адреса postmaster@vashdomen.ru и dmarc@vashdomen.ru.

"v=DMARC1; p=reject; rua=mailto:postmaster@vashdomen.ru mailto:dmarc@vashdomen."

Ежедневные отчеты DMARC

Ежедневные отчеты DMARC содержат информацию о потоке почты и имеют формат XML. С их помощью можно:

  • проверять, прошли ли источники исходящей почты аутентификацию;
  • проверять надежность серверов электронной почты, отправляющих сообщения из вашего домена;
  • принимать необходимые меры при появлении нового сервера или проблемах с конфигурацией существующего.
Пример отчета DMARC

Ниже приведена выдержка из отчета с сообщениями, отправленными с двух IP-адресов. Одно из них было отправлено непосредственно получателю, а другое переадресовано. Оба сообщения прошли проверки DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

Была ли эта статья полезна?
Как можно улучшить эту статью?