Как добавить запись DMARC

Чтобы развернуть функции DMARC, необходимо добавить запись DMARC в настройки DNS своего домена.

Подготовив текст записи DMARC, добавьте или измените TXT-запись DNS у регистратора домена.Чтобы изменить TXT-запись DNS, введите строку текста, которая определяет вашу запись правил DMARC, в консоли управления у регистратора домена.

При каждом изменении правил и записи DMARC необходимо также менять TXT-запись DNS у регистратора домена.

Субдомены или дополнительные домены

Если у вас несколько доменов, выполните приведенные ниже шаги для каждого из них. У каждого домена могут быть свои правила и параметры отчетов (определяются в записи).

Если вы не создадите правила DMARC для субдоменов, они унаследуют эти правила от своих родительских доменов. Чтобы определить правила DMARC для субдоменов, используйте тег правил sp  в записи DMARC для родительского домена.

Как добавить или изменить запись

Приведенные ниже шаги следует выполнять в консоли управления своего регистратора домена, а не в консоли администратора. Как определить регистратора домена?

Важно! Настройте технологии DKIM и SPF, прежде чем развертывать DMARC. Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC.

1. Подготовьте текстовый файл или строку, представляющие запись правил.
2. Войдите в консоль управления своего регистратора домена.
3. Перейдите на страницу, на которой можно изменить записи DNS.
4. Добавьте TXT-запись DNS или измените существующую, введя свои данные в поле для параметра _dmarc:
   1. TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Имя хоста DNS) введите следующее: _dmarc.solarmora.com.

      Важно! Некоторые регистраторы домена автоматически добавляют доменное имя после _dmarc. После добавления записи TXT вы можете проверить корректность формата названия записи TXT для DMARC.

   2. TXT record value (Значение записи TXT). Во втором поле введите текст записи DMARC, например:

      v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com

      Приведенные здесь названия полей могут отличаться от тех, которые использует ваш регистратор. Названия полей TXT-записей DNS могут быть разными у разных регистраторов. Здесь представлен пример домена. Замените solarmora.com именем своего домена.

5. Сохраните изменения. 

Как проверить название записи TXT для DMARC (необязательно)

Некоторые регистраторы доменов автоматически добавляют доменное имя в конец названия записи TXT, которое вы указали на шаге 4a раздела Как добавить или изменить запись. Из-за этого название записи TXT для DMARC может иметь неправильный формат.

Например, если вы введете _dmarc.solarmora.com и регистратор домена автоматически добавит доменное имя, формат записи TXT будет неправильным: _dmarc.solarmora.com.solarmora.com.

Добавив запись TXT для DMARC в соответствии с инструкциями из раздела Как добавить или изменить запись, проверьте ее название.

Для этого можно использовать приложение Dig из Набора инструментов администратора Google:

1. Откройте Набор инструментов администратора Google и выберите функцию Dig.
2. В поле Имя введите _dmarc. и полное доменное имя. Например, для домена solarmora.com укажите _dmarc.solarmora.com
3. Нажмите TXT под полем Имя.
4. Проверьте название записи TXT для DMARC в результатах. Это строка текста, которая начинается с _dmarc.

Формат записи DMARC

Запись DMARC – это строка обычного текста, в которой перечислены теги и значения DMARC через точку с запятой. Не все теги обязательны.

Правила DMARC определяют, какие действия предпринимает сервер получателя в отношении сообщений из вашего домена, не прошедших аутентификацию. Действия задаются тегом правил (p), который вы указываете в записи DMARC.

Ниже приведен пример записи правил DMARC. Теги v и p должны указываться первыми, остальные теги могут быть расположены в произвольном порядке:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Теги записи DMARC

Тег	Обязательный?	Описание и значения
v	Да	Версия DMARC. Необходимое значение: DMARC1.
p	Да	Определяет действия, которые почтовый сервер получателя должен выполнять с сообщениями, не прошедшими аутентификацию. none: не предпринимать никаких действий и доставить получателю. Зарегистрировать сообщения в ежедневном отчете. Отчет будет отправлен на адрес электронной почты, указанный в параметре rua в записи. quarantine: пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке. reject: Reject the message. With this option, the receiving server usually sends a bounce message  to the sending server.
pct	Нет	Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена. Определяет процент не прошедших аутентификацию сообщений, на которые распространяются правила DMARC. Если вы развертываете DMARC постепенно, можно начать с небольшого процента сообщений. По мере того как всё больше сообщений из вашего домена будут проходить аутентификацию на серверах получателей, увеличивайте значение процента в записи, пока оно не достигнет 100. Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена.
rua	Нет	Позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Адрес должен содержать mailto:, например mailto:dmarc-reports@solarmora.com. Чтобы отправлять отчеты на несколько адресов, укажите их через запятую. Активация этого параметра может привести к большому количеству писем с отчетами. Не рекомендуем использовать для этой цели собственный адрес электронной почты. Лучше воспользуйтесь отдельным почтовым ящиком, группой или сторонним сервисом, который специализируется на отчетах DMARC.
ruf	Не поддерживается	Gmail не поддерживает тег ruf, используемый для отправки отчетов о сбоях (также называются аналитическими).
sp	Нет	Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC. none: Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy . quarantine: пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке. reject: отклонить сообщение. При этом сервер получателя должен отправить на сервер отправителя уведомление об отклонении. Если этот параметр в записи не используется, субдомены наследуют правила DMARC от родительских доменов.
adkim	Нет	Позволяет настроить режим проверки соответствия для DKIM, который определяет, насколько точно данные сообщений должны совпадать с подписями DKIM. Подробнее о проверке соответствия… s: строгое соответствие. Доменное имя отправителя должно точно совпадать со значением, указанным для параметра d (доменное имя) в заголовках DKIM. r: Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	Нет	Позволяет настроить режим проверки соответствия для SPF, который определяет, насколько точно данные сообщений должны совпадать с подписями SPF. Подробнее о проверке соответствия… s: строгое соответствие. Заголовок От: сообщения должен точно совпадать с доменным именем в команде SMTP MAIL FROM. r: нестрогое соответствие (по умолчанию). Разрешаются частичные совпадения, например принимаются субдомены.