Как настроить DMARC

Для пользователей Gmail: если вы получаете спам или фишинговые письма в Gmail, прочитайте эту статью, а если вам не удается отправлять или получать письма в Gmail – эту статью.

После настройки SPF и DKIM администратор может настроить DMARC. DMARC сообщает принимающим почтовым серверам, что делать с письмами, которые не прошли проверку аутентификации SPF или DKIM. Вы также можете получать отчеты, с помощью которых можно выявить возможные проблемы с аутентификацией и вредоносные действия, связанные с электронными письмами из вашего домена.

What is DMARC?

DMARC помогает защитить пользователей от поддельных электронных писем
и позволяет вам управлять письмами, которые не прошли проверку SPF или DKIM.

Содержание

Шаг 1. Включите SPF и DKIM

Чтобы использовать DMARC, нужно включить в домене SPF и DKIM. Если вы не настроили SPF и DKIM, ознакомьтесь с разделом Как улучшить защиту от спуфинга, фишинга и спама.

SPF, DKIM и DMARC применяются индивидуально для каждого домена. Если вы управляете несколькими доменами, вам необходимо отдельно включить SPF, DKIM и DMARC для каждого из них.

Важно!

  • Если перед включением DMARC не настроить проверку SPF и DKIM, для писем, отправленных из вашего домена, могут возникнуть проблемы доставки.
  • Подождите 48 часов после настройки SPF и DKIM, прежде чем приступать к настройке DMARC.

Шаг 2. Проверьте, выполнена ли настройка DMARC

Если вы используете Google Workspace, с помощью Набора инструментов администратора Google можно проверить, выполнена ли настройка DMARС. В противном случае следуйте инструкциям, чтобы проверить это у регистратора домена.

Чтобы проверить с помощью Набора инструментов администратора Google:

  1. Откройте Набор инструментов администратора Google.
  2. Выберите Устранение неполадок, связанных с DNSа затемПроверка MX.
  3. Укажите значение в поле Доменное имя и нажмите Начать проверку.
  4. В результатах будет указано, есть ли у вашего домена запись DMARC:
    • Запись DMARC не настроена. У вашего домена нет записи DMARC.
    • Форматирование правил DMARC. У вашего домена есть запись DMARC.

Чтобы проверить у регистратора домена:

  1. Войдите в консоль управления своего регистратора домена.
  2. Перейдите на страницу, на которой можно изменить записи TXT для DNS домена.
  3. Если у вас запись DMARC в субдомене _dmarc.example.com (где example – доменное имя), вы увидите запись TXT, которая начинается на v=DMARC.

Действуйте дальше в зависимости от результатов:

Шаг 3. Подготовьте группу или почтовый ящик для отчетов

Количество отчетов DMARC, поступающих на вашу электронную почту, может быть разным в зависимости от того, какой объем почты отправляет ваш домен и на какое количество доменов вы отправляете письма. Вы можете получать множество отчетов каждый день. Крупным организациям может приходить несколько сотен и даже тысяч отчетов ежедневно.

Из этих отчетов вы сможете узнать, какие сообщения из вашего домена проходят аутентификацию SPF и DKIM и какие письма постоянно не проходят аутентификацию. Кроме того, они содержат информацию об отправителях писем из вашего домена, чтобы вы могли узнать о возможных спамерах. Мониторинг отчетов DMARC особенно полезен на этапе развертывания. Подробнее о рекомендуемом порядке внедрения DMARC

Мы рекомендуем создать группу или специальный почтовый ящик для получения отчетов DMARC и работы с ними.

Важно! Обычно адрес электронной почты находится в том же домене, где размещена запись DMARC. Если это не так, добавьте запись DNS в соответствующем домене. Подробнее о том, как отправлять отчеты на адрес электронной почты в другом домене (страница Отчеты DMARC)…

Шаг 4. Убедитесь, что сторонние сервисы прошли аутентификацию

Если вы используете сторонний сервис для отправки писем организации, убедитесь, что они прошли аутентификацию и проверки SPF и DKIM:

  • Убедитесь, что у стороннего поставщика правильно настроена проверка DKIM.
  • Убедитесь, что домен отправителя конверта, используемый вашим поставщиком, совпадает с вашим доменом. Добавьте IP-адреса почтовых серверов, с которых поставщик отправляет электронные письма, в запись SPF своего домена.
  • Направьте исходящую почту от поставщика через серверы Google, настроив службу ретрансляции SMTP.

Шаг 5. Подготовьте запись DMARC

Правила DMARC определяет строка текстовых значений, которая называется записью DMARC. Запись определяет:

  • насколько строго DMARC будет проверять письма;
  • какие действия должен выполнять сервер получателя с письмами, которые не прошли аутентификацию.

Пример записи правил DMARC (замените example.com своим доменным именем):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Теги v и p нужно указывать первыми, а остальные теги можно расположить в произвольном порядке.

Если вы только начинаете использовать DMARC, рекомендуем задать для параметра правил (p) значение none. По мере получения данных о том, как ваши письма проходят аутентификацию на серверах получателей, меняйте это значение на quarantine (or reject). Подробнее о рекомендуемом порядке внедрения DMARC

Определения и значения тегов записи DMARC

Тег Описание и значения
v

Обязательный тег. Версия DMARC. Необходимое значение: DMARC1.
p Обязательный тег. Определяет действия, которые почтовый сервер получателя должен выполнять с сообщениями, не прошедшими аутентификацию.
  • none – не предпринимать никаких действий и доставить получателю. Зарегистрировать сообщения в ежедневном отчете. Отчет будет отправлен на адрес электронной почты, указанный в параметре rua в записи.
  • quarantine— пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке.
  • reject— отклонить сообщение. При этом сервер получателя обычно отправляет на сервер отправителя сообщение о недоставке.

Примечание относительно BIMI. Если в вашем домене используется BIMI, параметр DMARC p должен иметь значение quarantine или reject. BIMI не поддерживает правила DMARC со значением none для параметра p.
pct

Тег pct необязательный, но Google рекомендует добавить его в запись DMARC при развертывании DMARC, чтобы вы могли управлять процентом писем, к которым применяются правила DMARC.

Определяет процент не прошедших аутентификацию сообщений, на которые распространяются правила DMARC. Если вы развертываете DMARC постепенно, можно начать с небольшого процента сообщений. По мере того как всё больше сообщений из вашего домена будут проходить аутентификацию на серверах получателей, увеличивайте значение процента в записи, пока оно не достигнет 100.

Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена.

Примечание относительно BIMI. Если в вашем домене используется BIMI, для параметра DMARC pct должно быть установлено значение 100. BIMI не поддерживает правила DMARC со значением менее 100 для параметра pct.
rua

Тег rua необязательный, но Google рекомендует всегда включать его в запись DMARC.

Отчеты DMARC отправляются на адрес электронной почты. В адресе должен быть префикс mailto:.
Например: mailto:dmarc-reports@example.com (замените example.com своим доменом).

  • Чтобы отправлять отчеты о применении правил DMARC на несколько адресов электронной почты, перечислите адреса через запятую, добавив перед каждым префикс mailto:. Например: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (замените example.com своим доменом).
  • Активация этого параметра может привести к большому количеству писем с отчетами. Не рекомендуем использовать для этой цели собственный адрес электронной почты. Лучше воспользуйтесь отдельным почтовым ящиком, группой или сторонним сервисом, который специализируется на отчетах DMARC.
  • Чтобы отправлять отчеты DMARC на адрес электронной почты, который находится в домене, отличающемся от того, где размещена ваша запись DMARC, добавьте к DNS домена электронной почты запись TXT. Подробнее о том, как отправлять отчеты на адрес электронной почты в другом домене (страница Отчеты DMARC)…
ruf

Gmail не поддерживает тег ruf, используемый для отправки отчетов о сбоях (также называются аналитическими).
sp Необязательный тег. Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке.
  • reject – отклонить сообщение. При этом сервер получателя должен отправить на сервер отправителя сообщение о недоставке.

Если этот параметр в записи не используется, субдомены наследуют правила DMARC от родительских доменов.
adkim Необязательный тег. Позволяет настроить режим проверки соответствия для DKIM, который определяет, насколько точно данные о сообщениях должны совпадать с подписями DKIM. Узнайте о режиме проверки соответствия (далее на этой странице).
  • s – строгое соответствие. Доменное имя отправителя должно точно совпадать со значением, указанным для параметра d=доменное_имя в заголовках DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf Необязательный тег. Позволяет настроить режим проверки соответствия для SPF, который определяет, насколько точно данные о сообщениях должны совпадать с подписями SPF. Узнайте о режиме проверки соответствия (далее на этой странице).
  • s строгое соответствие. Заголовок "От:" сообщения должен точно совпадать с доменным именем в команде SMTP MAIL FROM.
  • r – нестрогое соответствие (по умолчанию). Разрешаются частичные совпадения, например принимаются субдомены.

Принцип проверки DMARC

Письмо проходит или не проходит аутентификацию DMARC в зависимости от того, насколько точно домен в заголовке От соответствует домену-отправителю, указанному в данных SPF или DKIM. Это называется проверкой на соответствие.

Есть два режима проверки соответствия: строгий и нестрогий. Режим проверки соответствия для SPF и DKIM задается в записи DMARC с помощью тегов записи DMARC aspf и adkim.

Способ аутентификации Строгое соответствие Нестрогое соответствие
SPF Точное соответствие между доменом в адресе Envelope-Sender (также называется Return-Path или адресом возврата) и доменом в заголовке От. Домен в заголовке От должен соответствовать домену в адресе Envelope-Sender (также называется Return-Path или адресом возврата) или быть его субдоменом.
DKIM Точное совпадение соответствующего домена DKIM и домена, указанного в заголовке От. Домен в заголовке От должен совпадать с доменом, указанным в теге подписи DKIM d=, или быть его субдоменом.

В некоторых случаях Google рекомендует перейти на строгое соответствие, чтобы повысить надежность защиты от спуфинга:

  • Почта для вашего домена отправляется из субдомена, которым вы не управляете.
  • У вас есть субдомены, которыми управляют другие организации.
Важно! Обычно для защиты от спуфинга достаточно нестрогой проверки соответствия. При строгой проверке письма из связанных субдоменов могут отклоняться или отправляться в папку "Спам".

Чтобы пройти аутентификацию DMARC, письмо должно пройти хотя бы одну из следующих проверок:

  • аутентификация и проверка соответствия SPF;
  • аутентификация и проверка соответствия DKIM.

Аутентификация DMARC не пройдена, если письмо не проходит обе следующие проверки:

  • SPF или проверку соответствия SPF;
  • DKIM или проверку соответствия DKIM.

Шаг 6. Добавьте запись DMARC

Подготовив текст записи DMARC, добавьте или измените TXT-запись DNS для DMARC у регистратора домена. При каждом изменении правил и записи DMARC необходимо также менять TXT-запись DMARC у регистратора домена.

Как добавить или изменить запись

Важно! Обязательно настройте DKIM и SPF до настройки DMARC. Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC.

  1. Подготовьте текстовый файл или строку для записи DMARC.
  2. Войдите в аккаунт на сайте регистратора домена (как правило, это компания, у которой вы приобрели домен). Если вы не знаете, кто является регистратором вашего домена, попробуйте найти эту информацию.
  3. Перейдите на страницу, на которой можно изменить TXT-записи DNS для вашего домена. Информация о том, как найти эту страницу, приведена в документации регистратора вашего домена.

  4. Добавьте в запись TXT следующую информацию или измените запись TXT (изучите документацию для вашего домена):

    Название поля Значение
    Тип Тип записи: TXT.
    Хост (Имя, Имя хоста, Псевдоним) Укажите значение _dmarc.example.com (замените example.com на свое доменное имя).
    Значение Строка, представляющая собой запись TXT: Пример: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Подробнее о том, как настроить запись DMARC
    Примечание. Некоторые регистраторы доменов автоматически добавляют доменное имя. После того как вы добавите или обновите запись TXT, проверьте доменное имя в записи DMARC, чтобы убедиться, что оно имеет правильный формат.
  5. Сохраните изменения.
  6. Если вы настраиваете DMARC для нескольких доменов, выполните эти шаги для каждого из них. У каждого домена могут быть свои правила и параметры отчетов (определяются в записи).

Шаг 7. Проверьте запись DMARC

Важно! Домены, используемые в шагах ниже, приведены в качестве примера. Замените их на ваши домены.

Некоторые регистраторы доменов автоматически добавляют доменное имя в конец названия записи TXT. Из-за этого название записи TXT для DMARC может иметь неправильный формат.Например, если вы введете _dmarc.example.com и регистратор домена автоматически добавит доменное имя, формат записи TXT будет неправильным: _dmarc.example.com.example.com.

Добавив запись TXT для DMARC в соответствии с инструкциями из раздела Как добавить или изменить запись, проверьте ее название.

С помощью приложения Dig из Набора инструментов администратора Google можно посмотреть и проверить запись TXT для DMARC:

  1. Откройте Набор инструментов администратора Google и выберите функцию Dig.
  2. В поле Имя введите _dmarc. и полное доменное имя. Например, если вы используете домен example.com, укажите _dmarc.example.com.
  3. Нажмите TXT под полем Имя.
  4. Проверьте название записи TXT для DMARC в результатах. Это строка текста, которая начинается с _dmarc.

Статьи по теме


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
6281470481828261807
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false