DMARC

Как включить DMARC

Обработка подозрительных писем с помощью DMARC

Чтобы настроить проверку DMARC, добавьте соответствующие правила в записи DNS домена. Правила определяют действия с подозрительными сообщениями, поступившими в ваш домен. Их можно добавить в виде записей TXT.

Есть три типа правил DMARC, которые определяют действия с подозрительными сообщениями:

  • не предпринимать никаких действий с сообщением и зарегистрировать его в ежедневном отчете;
  • отметить сообщение как спам (Gmail помещает эти сообщения в папку "Спам" получателя);
  • отклонить сообщение (касается серверов получателя). Это также приведет к возвращению ошибки SMTP отправителю.

Примеры правил DMARC

Ниже приведены некоторые примеры правил. 

Важно! Замените доменное имя solarmora.com, которое используется в этих примерах, своим доменным именем.

Значения, указанные в этих примерах, описаны в разделе Значение записей TXT для DMARC ниже.

Действия для писем, которые не прошли проверку DMARC Содержимое записи TXT
Не предпринимать никаких действий с сообщениями, которые не прошли проверку DMARC. Отправлять ежедневный отчет на адрес dmarc@solarmora.com. v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Помещать в папку "Спам" получателей 5 % сообщений, не прошедших проверки DMARC. Отправлять ежедневный отчет на адрес dmarc@solarmora.com.

 v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Отклонять 100 % сообщений, не прошедших проверку DMARC. Отправлять ежедневные отчеты на два адреса: postmaster@solarmora.com и dmarc@solarmora.com. 

Сообщения, не прошедшие проверку, могут возвращать отправителю ошибку SMTP.

 v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

Как добавить запись TXT, чтобы включить проверку DMARC

Чтобы включить DMARC, добавьте в DNS домена запись TXT.

О записях TXT

Запись TXT – это тип записи DNS, который содержит текстовую информацию для источников за пределами домена. Добавьте эти записи в настройки домена на сайте регистратора домена, а не в консоли администратора Google.

Подробная информация приведена в разделе Советы по изменению записей TXT DNS.

Как добавить запись TXT для DMARC

Чтобы добавить запись TXT для DMARC в своем домене, выполните перечисленные ниже действия.

Важно!

  • Замените доменное имя solarmora.com, которое используется в этом примере, своим доменным именем. 
  • Замените значения в примере значениями для выбранного правила DMARC.
  1. Войдите в консоль управления своего регистратора домена.
  2. Перейдите на страницу, на которой можно изменить записи DNS.

    Субдомены. Если ваш регистратор не позволяет обновлять записи DNS субдомена, добавьте запись в родительский домен. Узнайте, как обновить записи DNS для субдомена.

  3. Добавьте запись DNS в разделе _dmarc.

    TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Название хоста DNS) введите следующее:
    _dmarc.solarmora.com

    TXT record value (Значение записи TXT). Во втором поле введите значения для правила DMARC, например:
    v=DMARC1; rua=mailto:dmarc-reports@solarmora.com; p=quarantine; pct=90; sp=none
     

  4. Сохраните изменения.

Значение записей TXT для DMARC

Примечание. В Gmail не поддерживается тег DMARC ruf, используемый для отправки отчетов о сбоях (аналитических отчетов).

Название тега Требуется Описание и значения

v

 Да Версия протокола. Необходимое значение: DMARC1.

p

 Да

Определяет действия с подозрительными сообщениями, поступившими в ваш домен:

  • none: не предпринимать никаких действий, зарегистрировать подозрительные сообщения в ежедневном отчете.
  • quarantine: пометить сообщение как спам и поместить в папки "Спам" получателей в Gmail. Они могут просматривать сообщения в этой папке в Gmail.
  • reject: отклонить сообщение (касается серверов получателя). При этом сервер получателя должен отправить на сервер отправителя уведомление об отклонении.

pct

 Нет

Позволяет задать процент подозрительных сообщений, к которым применяется правило DMARC. Подозрительными считаются письма, которые не прошли проверку DMARC.

Укажите целое число от 1 до 100. Значение по умолчанию – 100

rua

 Нет

Позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Укажите в этом параметре собственный адрес электронной почты или создайте новый адрес.

Адрес должен содержать параметр mailto:, например mailto:dmarc-reports@solarmora.com.

Чтобы отправлять отчеты на несколько адресов, укажите их через запятую.

sp

 Нет

Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC.

  • none: не предпринимать никаких действий, зарегистрировать подозрительные сообщения в ежедневном отчете.
  • quarantine: пометить сообщение как спам и поместить в карантин для дальнейшей обработки.
  • reject: отклонить сообщение (касается серверов получателя).
adkim Нет

Позволяет настроить режим проверки соответствия для записей DKIM, который определяет, насколько точно данные сообщений должны совпадать с подписями DKIM.

  • s: строгий режим. Доменное имя отправителя должно точно совпадать со значением, указанным для параметра d=name в заголовках DKIM.
  • r: мягкий режим (по умолчанию). Разрешаются частичные совпадения, например значения субдоменов для параметра d=domain в заголовках DKIM.

aspf

 Нет

Позволяет настроить режим проверки соответствия для записей SPF (ASPF), который определяет, насколько точно данные сообщений должны совпадать с подписями SPF.

  • s: строгий режим. Заголовок От: сообщения должен точно совпадать со значением domain.name в команде SMTP MAIL FROM.
  • r: мягкий режим (по умолчанию). Разрешаются частичные совпадения, например принимаются субдомены для domain.name.

Последовательное развертывание DMARC

Для последовательного развертывания DMARC в Gmail используйте параметры policy (p) и percent (pct).

Используйте параметр policy (p). Задайте или измените его с помощью значения тега p в записи TXT. Начните с настройки правила для карантина, чтобы проверять подозрительные сообщения. Затем постепенно измените правило на основе сообщений, помещенных в карантин, и ежедневных отчетов.

  1. p=none: отслеживайте трафик электронной почты и проблемы, пропуская все сообщения. Обращайте внимание на поддельные письма и сообщения, не подписанные с помощью DKIM или SPF.
  2. p=quarantine: когда вы выявите закономерности, отраженные в ежедневных отчетах, задайте для правила значение quarantine (карантин). Продолжайте просматривать ежедневные отчеты и сообщения, которые помечаются как спам и отправляются в карантин.
  3. p=reject: когда вы будете уверены, что все сообщения в вашем домене подписаны, измените значение правила на reject (отклонять) для фильтрации спама. Продолжайте проверять ежедневные отчеты, чтобы убедиться, что правило фильтрует спам и отправляет получателям обычные электронные письма.

Используйте параметр percent (pct). Он позволяет задать процент подозрительных сообщений, к которым применяется правило DMARC. Подозрительными считаются письма, которые не прошли проверку DMARC. По умолчанию для этого параметра установлено значение 100 % (все подозрительные сообщения). Используйте параметр percent, чтобы сначала фильтровать небольшое количество сообщений, увеличивая его каждые несколько дней по мере настройки работы правила DMARC. Например, для начала установите значение 20, чтобы фильтровать 20 % отклоненных или помещенных в карантин сообщений. На следующей неделе измените значение с 20 на 50, чтобы фильтровать 50 % сообщений.

Пример развертывания: ниже приведен пример использования параметров p и pct для последовательного развертывания правила DMARC. Время от времени обновляйте правило DMARC, указывая следующие значения:

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Ежедневные отчеты DMARC

Ежедневные отчеты DMARC содержат информацию о потоке почты и имеют формат XML. С их помощью можно:

  • проверять, прошли ли источники исходящей почты аутентификацию;
  • проверять надежность серверов электронной почты, отправляющих сообщения из вашего домена;
  • принимать необходимые меры при появлении нового сервера или проблемах с конфигурацией существующего.
Пример отчета DMARC

Ниже приведена выдержка из отчета с сообщениями, отправленными с двух IP-адресов. Одно из них было отправлено непосредственно получателю, а другое переадресовано. Оба сообщения прошли проверки DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

Эта информация оказалась полезной?
Как можно улучшить эту статью?