DMARC
Как добавить запись DMARC
Чтобы настроить проверку DMARC, добавьте правила в записи DNS домена. Правила определяют действия с подозрительными сообщениями, поступившими в ваш домен. Их можно добавить в виде записей TXT.
Есть три типа правил DMARC, которые определяют действия с подозрительными сообщениями, поступившими в ваш домен:
- не предпринимать никаких действий с сообщением и зарегистрировать его в ежедневном отчете;
- пометить сообщение как спам и поместить в карантин для дальнейшей обработки;
- отклонить сообщение (и тогда оно не будет доставлено получателю).
Правило DMARC настраивается с помощью тега p в записи TXT, как описано в таблице Стандартные теги, которые используются в записях TXT для проверки по технологии DMARC ниже.
Сначала настройте SPF и DKIM
Прежде чем включать DMARC, рекомендуем настроить SPF и DKIM, поскольку DMARC использует эти две технологии для проверки сообщений на подлинность. Если письмо не пройдет проверку SPF или DKIM, запустится правило DMARC.
Как создать запись DMARC
Создайте запись TXT с названиями тегов и значениями, определяющими правила, которые должны использоваться в домене.
Название записи TXT должно быть в следующем формате, где vashdomen.ru – имя вашего домена:
_dmarc.vashdomen.ru
Советы по созданию записи TXT для DMARC
В приведенных ниже статьях содержатся подробные инструкции по созданию записи DMARC.
- Создание записи TXT с помощью правильных названий тегов и значений
- Как создать запись TXT для популярных регистраторов домена
- Некоторые ограничения популярных регистраторов домена
- Все доступные теги в реестре тегов DMARC
Стандартные теги, которые используются в записях TXT для проверки по технологии DMARC
Примечание. В Gmail не поддерживается тег DMARC ruf, используемый для отправки отчетов о сбоях (аналитических отчетов).
| Название тега | Требуется | Описание и значения | Пример |
|---|---|---|---|
|
v |
Да | Версия протокола. Укажите значение DMARC1. | v=DMARC1 |
|
p |
Да |
Определяет действия с подозрительными сообщениями, поступившими в ваш домен:
|
p=quarantine |
|
pct |
Нет |
Позволяет задать процент подозрительных сообщений, к которым применяется правило DMARC. Подозрительными считаются письма, которые не прошли проверку DMARC. Значение по умолчанию – 100. |
pct=20 |
|
rua |
Нет |
URI для сводных отчетов. Чтобы получать отчеты о применении правил DMARC в вашем домене, укажите в этом параметре собственный адрес электронной почты. |
rua=mailto:aggrep@example.com |
|
sp |
Нет |
Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC. Возможные значения совпадают со значениями для тега p.
|
sp=reject |
|
aspf |
Нет |
Позволяет настроить режим проверки соответствия для записей SPF (ASPF), который определяет, насколько точно данные сообщений должны совпадать с подписями SPF. По умолчанию установлено значение relaxed (мягкий режим). r: при мягком режиме разрешаются частичные совпадения, например субдоменов данного домена. s: при строгом режиме разрешены только точные соответствия. |
aspf=r |
Последовательное развертывание DMARC
Для последовательного развертывания DMARC в Gmail используйте параметры policy (p) и percent (pct).
Как последовательно развернуть правило DMARC
Используйте параметр policy (p). Задайте или измените его с помощью значения тега p в записи TXT. Начните с настройки правила для карантина, чтобы проверять подозрительные сообщения. Затем постепенно измените правило на основе сообщений, помещенных в карантин, и ежедневных отчетов.
- p=none: отслеживайте трафик электронной почты и проблемы, пропуская все сообщения. Обращайте внимание на поддельные письма и сообщения, не подписанные с помощью DKIM или SPF.
- p=quarantine: когда вы выявите закономерности, отраженные в ежедневных отчетах, задайте для правила значение quarantine (карантин). Продолжайте просматривать ежедневные отчеты и сообщения, которые помечаются как спам и отправляются в карантин.
- p=reject: когда вы будете уверены, что все сообщения в вашем домене подписаны, измените значение правила на reject (отклонять) для фильтрации спама. Продолжайте проверять ежедневные отчеты, чтобы убедиться, что правило фильтрует спам и отправляет получателям действительные электронные письма.
Используйте параметр percent (pct). Он позволяет задать процент подозрительных сообщений, к которым применяется правило DMARC. Подозрительными считаются письма, которые не прошли проверку DMARC. По умолчанию для этого параметра установлено значение 100 % (все подозрительные сообщения). Используйте параметр percent, чтобы сначала фильтровать небольшое количество сообщений, увеличивая его каждые несколько дней по мере настройки работы правила DMARC. Например, для начала установите значение 20, чтобы фильтровать 20 % отклоненных или помещенных в карантин сообщений. На следующей неделе измените значение с 20 на 50, чтобы фильтровать 50 % сообщений.
Пример развертывания: ниже приведен пример использования параметров p и pct для последовательного развертывания правила DMARC. Время от времени обновляйте правило DMARC, указывая следующие значения:
- p=none pct=100
- p=quarantine pct=1
- p=quarantine pct=5
- p=quarantine pct=10
- p=quarantine pct=25
- p=quarantine pct=50
- p=quarantine pct=100
- p=reject pct=1
- p=reject pct=5
- p=reject pct=10
- p=reject pct=25
- p=reject pct=50
- p=reject pct=100
Примеры записей TXT
Ниже приведены примеры записей TXT для проверки DMARC, которые при необходимости можно изменить. Скопируйте их и замените строки vashdomen.ru и postmaster@vashdomen.ru вашим доменным именем и адресом электронной почты.
При необходимости измените значения правила и процентов на основе данных ежедневных отчетов.
Пример записи TXT: "Не предпринимать никаких действий"
Не предпринимать действий с сообщениями из домена vashdomen.ru, не прошедшими проверки DMARC. Отправлять ежедневные отчеты на адрес postmaster@vashdomen.ru.
"v=DMARC1; p=none; rua=mailto:postmaster@vashdomen.ru"Пример записи TXT: "Поместить сообщение в карантин"
Помещать в карантин 5 % сообщений из домена vashdomen.ru, не прошедших проверки DMARC. Отправлять ежедневные отчеты на адрес postmaster@vashdomen.ru.
"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@vashdomen.ru"Пример записи TXT: "Отклонить сообщение"
Отклонять 100 % сообщений из вашего домена, не прошедших проверки DMARC. Отправлять ежедневные отчеты на адреса postmaster@vashdomen.ru и dmarc@vashdomen.ru.
"v=DMARC1; p=reject; rua=mailto:postmaster@vashdomen.ru mailto:dmarc@vashdomen."Ежедневные отчеты DMARC
Ежедневные отчеты DMARC содержат информацию о потоке почты и имеют формат XML. С их помощью можно:
- проверять, прошли ли источники исходящей почты аутентификацию;
- проверять надежность серверов электронной почты, отправляющих сообщения из вашего домена;
- принимать необходимые меры при появлении нового сервера или проблемах с конфигурацией существующего.
Ниже приведена выдержка из отчета с сообщениями, отправленными с двух IP-адресов. Одно из них было отправлено непосредственно получателю, а другое переадресовано. Оба сообщения прошли проверки DMARC.
<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
