Что такое DMARC?

Начиная с февраля 2024 года, Gmail и Yahoo вводят новые требования к аутентификации, которые требуют использования пользовательского, DKIM-аутентифицированного домена, с усиленным DMARC.

GetResponse настоятельно рекомендует всем отправителям использовать адрес отправителя на пользовательском домене, а также настроить записи DKIM и DMARC.

Более подробная информация об этих изменениях приведена в нашем блоге:
Все, что нужно знать об изменениях в аутентификации Gmail и Yahoo (статья на английском языке).

Что такое DMARC?

DMARC расшифровывается как Domain-based Message Authentication, Reporting, and Conformance (Аутентификация, Отчётность и Соответствие сообщений на основе домена). Это стандарт для обеспечения безопасности электронной почты. DMARC использует протоколы SPF и DKIM для повышения защиты домена от мошеннических писем. Он добавляет дополнительные проверки, связанные с доменным именем отправителя (“From:”), определяет правила обработки сообщений в случае сбоев аутентификации, а также предоставляет отчетность от получателей отправителям.

DMARC также предоставляет возможность владельцу домена получать уведомления о письмах, которые кажутся отправленными от его домена, но при этом не прошли правильную аутентификацию.

Настройка записи DMARC

Прежде чем приступить к настройке DMARC:

В записи DMARC TXT определяется политика DMARC. Настройка политики DMARC задает уровень строгости проверки сообщений и рекомендуемые действия для сервера, получающего сообщение в случае неудачи аутентификации.

Чтобы настроить основные функции DMARC, необходимо добавить соответствующую запись в настройки DNS-сервера вашего домена. Подготовьте TXT-запись, определяющую основной текст для DMARC-записи, а затем добавьте или обновите этот файл в настройках DNS-сервера доставки вашего домена, с которого отправляются маркетинговые кампании по электронной почте.

Политика DMARC может быть установлена в одной записи. Вот пример наиболее простой записи, которую можно использовать:

v=DMARC1; p=none;

Имя DMARC-записи (хост) должно быть _dmarc.yourdomain.com, где вместо yourdomain.com должен быть указан реальный URL домена.

Еще один пример:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Примечание: адреса электронной почты должны быть изменены на реальные рабочие адреса, к которым у вас есть доступ. Теги, использованные в этом примере, могут не подходить для всех, пожалуйста, прочитайте их описание ниже.

Запись DMARC включает в себя обязательные и необязательные теги, определяющие политику аутентификации электронной почты. Основной пример DMARC-записи должен включать следующие обязательные теги:

  • тег v – информирует о версиях DMARC, всегда устанавливается как DMARC1
  • тег p – содержит информацию о том, что серверы должны делать с сообщениями, не прошедшими аутентификацию, есть три политики на выбор:
    • p=none – отслеживает письма, отправленные на вашем домене, не изменяя почтовые серверы получателей.
    • p=quarantine – перенаправляет неудачные письма в папки нежелательной почты или спама, но при этом отслеживает отправленные письма.
    • p=reject – отклоняет неудачные письма, заставляя их отскакивать и не попадать ни в одну папку получателей, при этом отслеживая отправленные письма.

Если вы новичок в DMARC, лучше всего настраивать политику с использованием тега p и установкой значения none.

С течением времени, анализируя входящие отчеты для определения того, как ваш домен аутентифицируется серверами-получателями, вы можете изменить настройку этого тега на quarantine или reject.

Дополнительные теги обеспечивают дополнительную персонализацию:

  • pct – описывает процент неаутентифицированных писем, которые должны быть подвергнуты DMARC-записи. Диапазон выражается от 0 до 100, где 0 означает 0% сообщений, а 100 – 100%. Параметр pct является необязательным, но если вы не зададите его в записи, его значение по умолчанию будет равно 100, что будет включать все сообщения, не прошедшие аутентификацию.
  • rua=mailto:address@domain.com – указывает адрес электронной почты для получения отчетов от участвующих поставщиков почтовых ящиков, помогающих выявить проблемы с доменом.
  • adkim – указывает выравнивание идентификатора DKIM.
    • adkim=s – выравнивание будет строгим, что означает, что имя домена должно точно совпадать с именем домена, указанным в заголовках DKIM-почты.
    • adkim=r – выравнивание будет грубым, при котором будут приниматься все допустимые поддомены, используемые в заголовке.
  • aspf – работает аналогично adkim, однако относится к значениям SPF.
    • aspf=s – адрес электронной почты должен точно совпадать с именем домена
    • aspf=r – в заголовке сообщения может быть использован любой допустимый поддомен.

Для каждого домена, используемого вами для отправки, необходимо настроить отдельную запись, следуя описанным выше шагам. Политики DMARC каскадируются на поддомены: если вы устанавливаете их для основного домена, они автоматически применяются к настройкам родительского домена. При необходимости установки индивидуальных правил для каждого поддомена используйте параметр sp.

Более подробную информацию об аутентификации электронной почты не только для новичков можно найти в нашем блоге, а исчерпывающую информацию о функциональности DMARC – на сайте dmarc.org.

Популярные ресурсы