DMARC

Что такое DMARC

Domain-based Message Authentication, Reporting & Conformance (DMARC) — политика проверки подлинности отправителя электронного письма, основанная на протоколах DKIM и SPF. Данная политика определяет, как почтовый сервер получателя должен обрабатывать входящие письма, если адрес отправителя не удалось идентифицировать.

Зачем нужна политика

Политика DMARC защищает владельцев доменов от отрицательных последствий мошеннических действий. Злоумышленники рассылают мошеннические письма с доменов авторитетных компаний. Получатели помечают их как спам и в результате страдает репутация владельца домена, с которого они отправляются.

Как работает DMARC

Проверяется, соответствует ли домен email адреса в строке «От:» идентификаторам проверки SPF и подписи DKIM. Если совпадение полное, письмо отправляется во входящие получателя, если есть сомнения, оно обрабатывается согласно выбранной политике DMARC:

  1. none — письмо попадает во входящие получателя. Владельцу домена приходит отчет с информацией об отправке сообщения для анализа, кто отправляет письма от данного имени и разрешено ли им это делать.
  2. quarantine — email сервер получателя отправляет письмо в папку «Спам», владельцы домена продолжают анализировать данные.
  3. reject — письма, не прошедшие проверку DMARC, отклоняются и не попадают ни в одну папку почтового ящика получателя. Устанавливая данный тип политики, убедитесь, что третьи лица, которым разрешено отправлять сообщения от вашего имени, добавлены в белый список, иначе их письма также будут отклонены. Это относится и к CRM системам и сервисам email рассылок.

Как настроить DMARC

  1. Проведите ревизию писем, отправляемых с вашего домена, включая системные письма с серверов и другого оборудования, отчеты о доставке писем (DSN и NDR), внутренние списки рассылок и тому подобное, и добавьте в белый список все легитимные адреса
  2. Настройте SPF-запись и DKIM-подпись для необходимого домена.
  3. В разделе управления DNS-зонами домена опубликуйте DMARC-запись с установленным для политик флагом«none», который запрашивает отчеты о данных.
  4. Проанализируйте данные и измените флаги политики DMARCnone на quarantine или reject, в зависимости от того, как вы хотите, чтобы письма от неавторизованных отправителей обрабатывались сервером получателя.

Пример записи:

v=DMARC1;p=reject;rua=mailto:example@domain.com;ruf=mailto:email@domain.com;fo=s

где:

v Версия протокола, равна DMARC1. Этот параметр означает, что именно эта запись определяет политику DMARC, и должен быть первым в записи.
p Политика обработки писем. Указывается один из возможных вариантов — none, quarantine или reject.
rua Email-адрес для получения статистических отчетов. Адрес должен принадлежать тому же домену, для которого настраивается DMARC запись.
ruf Email-адрес для получения отчетов о непройденных проверках аутентификации. Так как каждая ошибка при проверке адреса отправителя генерирует отдельный отчет, лучше указывать отдельный почтовый ящик для этого.
fo

Определяет, в каких случаях будут отправляться отчёты владельцу домена.

Возможные значения fo:

  • — отчет отправляется, если не пройдены проверки SPF и DKIM. Установлено значением по умолчанию
  • — отчет отправляется, если не пройдена одна из проверок — или SPF, или DKIM
  • — отчет отправляется при каждой проваленной проверке ключа DKIM
  • — отчет отправляется при каждой проваленной проверке механизма SPF