Настройка DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) — это техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей.
Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию. Воспользуйтесь нашей статьей для того, чтобы продумать все этапы настройки политики DMARC заранее.
Подготовка к настройке DMARC
Перед настройкой DMARC необходимо:
- Настроить SPF-запись;
- Настроить DKIM-подпись.
Это связано с тем, что технология DMARC использует данные средства. Если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Если же сообщение успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC сообщение пройдет успешно.
Настройка DMARC
Чтобы настроить политику DMARC:
- Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
- Введите логин и пароль для входа в «Панель управления»;
- Перейдите в раздел управления DNS-зонами необходимого домена.
- Добавьте новую TXT-запись вида _dmarc.example.com (где вместо example.com должен быть ваш домен), соответствующую выбранной политике.
Пример записи: "v=DMARC1;p=none;rua=mailto:rua@example.com;ruf=mailto:ruf@example.com;fo=s"
Некоторые провайдеры ставят кавычки для TXT-записи самостоятельно. Вы можете уточнить необходимость кавычек у хостинг-провайдера или взять за образец другую ТХТ-запись домена, если она есть.
В TXT-записи можно использовать следующие теги:
|
Название тега |
Назначение |
Пример |
Требуется |
Дополнительно |
|---|---|---|---|---|
|
v |
Версия протокола |
v=DMARC1 |
да |
|
|
p |
Правила для домена |
p=reject |
да |
none — не принимать никаких действий quarantine — отправлять сообщения в спам reject — не принимать сообщения |
|
aspf |
Режим проверки соответствия для SPF-записей |
aspf=s |
нет |
r (relaxed) — разрешать частичные совпадения, s (strict) — разрешать только |
|
pct |
Сообщения, подлежащие фильтрации (в %) |
pct=40 |
нет |
|
|
sp |
Правила для субдоменов |
sp=reject |
нет |
none — не принимать никаких действий quarantine — отправлять сообщения в спам reject — не принимать сообщения |
|
rua |
Адрес для сводных отчетов |
rua=mailto:admin@test.ru |
нет |
Если вы хотите получать отчеты (rua) на домен, который отличается от домена DMARC, необходимо разместить TXT запись для почтового домена специального вида. Например, если домен с DMARC — example.com, а получать отчеты вы хотите на домен test.ru, необходимо в DNS домена test.ru добавить следующую TXT-запись: example.com._report._dmarc.test.ru со значением "v=DMARC1"
Примеры
- Отклонять все сообщения, не прошедшие проверку DMARC: "v=DMARC1; p=reject"
- Отклонять все сообщения, не прошедшие проверку DMARC, и отправлять все отчеты на ящик admin@test.ru: "v=DMARC1; p=reject; rua=mailto:admin@test.ru"
- 30% сообщений, которые приходят от вашего домена, но не проходят проверки DMARC, помещаются в карантин: "v=DMARC1; p=quarantine; pct=30"
Политика DMARC: "v=DMARC1; p=none" не защищает вас от спуфинга. Используйте ее только как промежуточный этап при настройке DMARC.