Чтобы внедрить функции DMARC, необходимо добавить запись DMARC в настройках DNS своего домена.
Подготовив текст записи DMARC, добавьте или измените TXT-запись DNS у регистратора домена. Чтобы изменить TXT-запись DNS, введите строку текста, соответствующую вашей записи с правилами DMARC, в консоли управления у регистратора домена.
При каждом изменении правил и записи DMARC необходимо также менять TXT-запись DNS у регистратора домена.
Субдомены и дополнительные домены
Если у вас несколько доменов, выполните приведенные ниже шаги для каждого из них. У каждого домена могут быть свои правила и параметры отчетов (определяются в записи).
Если вы не создадите правила DMARC для субдоменов, они унаследуют эти правила от своих родительских доменов. Чтобы определить правила DMARC для субдоменов, используйте тег правил sp в записи DMARC для родительского домена.
Как добавить или изменить запись
Важно!
- Прежде чем внедрять DMARC, настройте технологии DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework). Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC.
- Домены, используемые в шагах ниже, приведены в качестве примера. Замените их на ваши домены.
Приведенные ниже шаги следует выполнять в консоли управления своего регистратора домена, а не в консоли администратора. Как определить регистратора домена?
- Подготовьте текстовый файл или строку, представляющие запись с правилами.
- Войдите в консоль управления своего регистратора домена.
- Перейдите на страницу, на которой можно изменить записи DNS.
- Добавьте TXT-запись DNS или измените существующую, введя свои данные в поле для параметра _dmarc:
- TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Имя хоста DNS) введите следующее: _dmarc.solarmora.com.
Важно! Некоторые регистраторы домена автоматически добавляют доменное имя после _dmarc. После добавления записи TXT для DMARC вы можете проверить корректность ее названия.
- TXT record value (Значение записи TXT). Во втором поле введите текст записи DMARC, например:
v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
Приведенные здесь названия полей могут отличаться от тех, которые использует ваш регистратор. Названия полей TXT-записей DNS могут быть разными у разных регистраторов. Здесь представлен пример домена. Замените solarmora.com именем своего домена.
- TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Имя хоста DNS) введите следующее: _dmarc.solarmora.com.
- Сохраните изменения.
Отключение DMARC
Не рекомендуется отключать DMARC для организации или домена. Без DMARC хакеры и другие злоумышленники смогут подделывать электронные письма, выдавая их за отправленные из вашей организации или домена. Отключение этого протокола подвергнет ваших пользователей и контакты риску спама, спуфинга и фишинга. Если вам необходимо отключить DMARC, выполните эти инструкции.
Как проверить название записи TXT для DMARC (необязательно)
Важно! Домены, используемые в шагах ниже, приведены в качестве примера. Замените их на ваши домены.
Некоторые регистраторы доменов автоматически добавляют доменное имя в конец названия записи TXT, которое вы указали на шаге 4a раздела Как добавить или изменить запись. Из-за этого название записи TXT для DMARC может иметь неправильный формат.
Например, если вы введете _dmarc.solarmora.com и регистратор домена автоматически добавит доменное имя, формат записи TXT будет неправильным: _dmarc.solarmora.com.solarmora.com.
Добавив запись TXT для DMARC в соответствии с инструкциями из раздела Как добавить или изменить запись, проверьте ее название.
Для этого можно использовать функцию Dig из Набора инструментов администратора Google:
- Откройте Набор инструментов администратора Google и выберите функцию Dig.
- В поле Имя введите _dmarc. и полное доменное имя. Например, для домена solarmora.com укажите _dmarc.solarmora.com
- Нажмите TXT под полем Имя.
- Проверьте название записи TXT для DMARC в результатах. Это строка текста, которая начинается с _dmarc.
Формат записи DMARC.
Важно!: В примере правил DMARC в этом разделе используются примеры доменов. Замените эти примеры на ваши домены.
Запись DMARC – это строка обычного текста, в которой перечислены теги и значения DMARC через точку с запятой. Не все теги обязательны.
Правила DMARC определяют, какие действия предпринимает сервер получателя в отношении сообщений из вашего домена, не прошедших аутентификацию. Действия задаются тегом правил (p), который вы указываете в записи DMARC.
Ниже приведен пример записи с правилами DMARC. Теги должны быть отделены точкой с запятой (;). Первыми должны указываться теги v и p, остальные теги могут быть расположены в произвольном порядке. При использовании тега rua для отправки отчетов DMARC по электронной почте необходимо добавлять префикс mailto: в начале каждого адреса электронной почты. Пример:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Теги записи DMARC
Тег | Описание и значения |
v |
Версия DMARC. Необходимое значение: DMARC1. Это обязательный тег. |
p | Определяет действия, которые почтовый сервер получателя должен выполнять с сообщениями, не прошедшими аутентификацию.
Это обязательный тег. Примечание относительно BIMI. Если в вашем домене используется BIMI, параметр DMARC p должен иметь значение quarantine или reject. BIMI не поддерживает правила DMARC со значением none для параметра p. |
pct |
Определяет процент не прошедших аутентификацию сообщений, на которые распространяются правила DMARC. Если вы развертываете DMARC постепенно, можно начать с небольшого процента сообщений. По мере того как всё больше сообщений из вашего домена будут проходить аутентификацию на серверах получателей, увеличивайте значение процента в записи, пока оно не достигнет 100. Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена. Этот тег использовать необязательно. Примечание относительно BIMI. Если в вашем домене используется BIMI, для параметра DMARC pct должно быть установлено значение 100. BIMI не поддерживает правила DMARC со значением менее 100 для параметра pct. |
rua |
Позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Адрес должен содержать mailto: Чтобы отправлять отчеты о применении правил DMARC на несколько адресов электронной почты, перечислите адреса через запятую, добавив перед каждым префикс mailto:. Например: Активация этого параметра может привести к большому количеству писем с отчетами. Не рекомендуем использовать для этой цели собственный адрес электронной почты. Лучше воспользуйтесь отдельным почтовым ящиком, группой или сторонним сервисом, который специализируется на отчетах DMARC. Этот тег использовать необязательно. |
ruf |
Не поддерживается. Gmail не поддерживает тег ruf, используемый для отправки отчетов о сбоях (также называются аналитическими). |
sp | Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC.
Если этот параметр в записи не используется, субдомены наследуют правила DMARC от родительских доменов. Этот тег использовать необязательно. |
adkim | Позволяет настроить режим проверки соответствия для DKIM, который определяет, насколько точно данные о сообщениях должны совпадать с подписями DKIM. Подробнее о проверке соответствия…
Этот тег использовать необязательно. |
aspf | Позволяет настроить режим проверки соответствия для SPF, который определяет, насколько точно данные о сообщениях должны совпадать с подписями SPF. Подробнее о проверке соответствия…
Этот тег использовать необязательно. |