Как добавить запись DMARC

Как защитить домен от спуфинга и фишинга и предотвратить попадание ваших писем в спам

Чтобы внедрить функции DMARC, необходимо добавить запись DMARC в настройках DNS своего домена.

Подготовив текст записи DMARC, добавьте или измените TXT-запись DNS у регистратора домена. Чтобы изменить TXT-запись DNS, введите строку текста, соответствующую вашей записи с правилами DMARC, в консоли управления у регистратора домена.

При каждом изменении правил и записи DMARC необходимо также менять TXT-запись DNS у регистратора домена.

Субдомены и дополнительные домены

Если у вас несколько доменов, выполните приведенные ниже шаги для каждого из них. У каждого домена могут быть свои правила и параметры отчетов (определяются в записи).

Если вы не создадите правила DMARC для субдоменов, они унаследуют эти правила от своих родительских доменов. Чтобы определить правила DMARC для субдоменов, используйте тег правил sp в записи DMARC для родительского домена.

Как добавить или изменить запись

Важно!

Прежде чем внедрять DMARC, настройте технологии DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework). Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC.
Домены, используемые в шагах ниже, приведены в качестве примера. Замените их на ваши домены.

Приведенные ниже шаги следует выполнять в консоли управления своего регистратора домена, а не в консоли администратора. Как определить регистратора домена?

Подготовьте текстовый файл или строку, представляющие запись с правилами.
Войдите в консоль управления своего регистратора домена.
Перейдите на страницу, на которой можно изменить записи DNS.
Добавьте TXT-запись DNS или измените существующую, введя свои данные в поле для параметра _dmarc:
1. TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Имя хоста DNS) введите следующее: _dmarc.solarmora.com.
  Важно! Некоторые регистраторы домена автоматически добавляют доменное имя после _dmarc. После добавления записи TXT для DMARC вы можете проверить корректность ее названия.
2. TXT record value (Значение записи TXT). Во втором поле введите текст записи DMARC, например:
  v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
  
  Приведенные здесь названия полей могут отличаться от тех, которые использует ваш регистратор. Названия полей TXT-записей DNS могут быть разными у разных регистраторов. Здесь представлен пример домена. Замените solarmora.com именем своего домена.
Сохраните изменения.

Отключение DMARC

Не рекомендуется отключать DMARC для организации или домена. Без DMARC хакеры и другие злоумышленники смогут подделывать электронные письма, выдавая их за отправленные из вашей организации или домена. Отключение этого протокола подвергнет ваших пользователей и контакты риску спама, спуфинга и фишинга. Если вам необходимо отключить DMARC, выполните эти инструкции.

Как проверить название записи TXT для DMARC (необязательно)

Важно! Домены, используемые в шагах ниже, приведены в качестве примера. Замените их на ваши домены.

Некоторые регистраторы доменов автоматически добавляют доменное имя в конец названия записи TXT, которое вы указали на шаге 4a раздела Как добавить или изменить запись. Из-за этого название записи TXT для DMARC может иметь неправильный формат.

Например, если вы введете _dmarc.solarmora.com и регистратор домена автоматически добавит доменное имя, формат записи TXT будет неправильным: _dmarc.solarmora.com.solarmora.com.

Добавив запись TXT для DMARC в соответствии с инструкциями из раздела Как добавить или изменить запись, проверьте ее название.

Для этого можно использовать функцию Dig из Набора инструментов администратора Google:

Откройте Набор инструментов администратора Google и выберите функцию Dig.
В поле Имя введите _dmarc. и полное доменное имя. Например, для домена solarmora.com укажите _dmarc.solarmora.com
Нажмите TXT под полем Имя.
Проверьте название записи TXT для DMARC в результатах. Это строка текста, которая начинается с _dmarc.

Формат записи DMARC.

Важно!: В примере правил DMARC в этом разделе используются примеры доменов. Замените эти примеры на ваши домены.

Запись DMARC – это строка обычного текста, в которой перечислены теги и значения DMARC через точку с запятой. Не все теги обязательны.

Правила DMARC определяют, какие действия предпринимает сервер получателя в отношении сообщений из вашего домена, не прошедших аутентификацию. Действия задаются тегом правил (p), который вы указываете в записи DMARC.

Ниже приведен пример записи с правилами DMARC. Теги должны быть отделены точкой с запятой (;). Первыми должны указываться теги v и p, остальные теги могут быть расположены в произвольном порядке. При использовании тега rua для отправки отчетов DMARC по электронной почте необходимо добавлять префикс mailto: в начале каждого адреса электронной почты. Пример:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Теги записи DMARC

Тег	Описание и значения
v	Версия DMARC. Необходимое значение: DMARC1. Это обязательный тег.
p	Определяет действия, которые почтовый сервер получателя должен выполнять с сообщениями, не прошедшими аутентификацию. none — не предпринимать никаких действий и доставить получателю. Зарегистрировать сообщения в ежедневном отчете. Отчет будет отправлен на адрес электронной почты, указанный в параметре rua в записи. quarantine— пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке. reject— отклонить сообщение. При этом сервер получателя обычно отправляет на сервер отправителя сообщение о недоставке. Это обязательный тег. Примечание относительно BIMI. Если в вашем домене используется BIMI, параметр DMARC p должен иметь значение quarantine или reject. BIMI не поддерживает правила DMARC со значением none для параметра p.
pct	Определяет процент не прошедших аутентификацию сообщений, на которые распространяются правила DMARC. Если вы развертываете DMARC постепенно, можно начать с небольшого процента сообщений. По мере того как всё больше сообщений из вашего домена будут проходить аутентификацию на серверах получателей, увеличивайте значение процента в записи, пока оно не достигнет 100. Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена. Этот тег использовать необязательно. Примечание относительно BIMI. Если в вашем домене используется BIMI, для параметра DMARC pct должно быть установлено значение 100. BIMI не поддерживает правила DMARC со значением менее 100 для параметра pct.
rua	Позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Адрес должен содержать mailto: Например: `mailto:dmarc-reports@solarmora.com` Чтобы отправлять отчеты о применении правил DMARC на несколько адресов электронной почты, перечислите адреса через запятую, добавив перед каждым префикс mailto:. Например: `mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com` Активация этого параметра может привести к большому количеству писем с отчетами. Не рекомендуем использовать для этой цели собственный адрес электронной почты. Лучше воспользуйтесь отдельным почтовым ящиком, группой или сторонним сервисом, который специализируется на отчетах DMARC. Этот тег использовать необязательно.
ruf	Не поддерживается. Gmail не поддерживает тег ruf, используемый для отправки отчетов о сбоях (также называются аналитическими).
sp	Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine — пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке. reject — отклонить сообщение. При этом сервер получателя должен отправить на сервер отправителя сообщение о недоставке. Если этот параметр в записи не используется, субдомены наследуют правила DMARC от родительских доменов. Этот тег использовать необязательно.
adkim	Позволяет настроить режим проверки соответствия для DKIM, который определяет, насколько точно данные о сообщениях должны совпадать с подписями DKIM. Подробнее о проверке соответствия… s — строгое соответствие. Доменное имя отправителя должно точно совпадать со значением, указанным для параметра d=доменное_имя в заголовках DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted. Этот тег использовать необязательно.
aspf	Позволяет настроить режим проверки соответствия для SPF, который определяет, насколько точно данные о сообщениях должны совпадать с подписями SPF. Подробнее о проверке соответствия… s— строгое соответствие. Заголовок "От:" сообщения должен точно совпадать с доменным именем в команде SMTP MAIL FROM. r — нестрогое соответствие (по умолчанию). Разрешаются частичные совпадения, например принимаются субдомены. Этот тег использовать необязательно.

Эта информация оказалась полезной?

Как можно улучшить эту статью?