DMARC — технология, которая снижает количество спама и фишинговых писем за счёт обмена информацией между отправителем и получателем.
Получатель сообщает данные об инфраструктуре проверки подлинности почты. Отправитель — о том, что делать, если сообщение не прошло проверку.
Пока звучит запутанно, но скоро мы во всём разберёмся.
DMARC разработан так, чтобы с минимальными усилиями внедрить его в любой процесс отправки почты.
Он помогает определить, соответствует ли сообщение тому, что получатель знает об отправителе. Или проще: можно ли доверять этому отправителю. Если да — подписчик получает сообщение. Если нет — срабатывает политика DMARC для неаутентифицированных сообщений.
Приведём пример.
Вот как выглядит полный цикл отправки-приёма email сообщений с включённой DMARC-политикой.
Пользу DMARC трудно переоценить. Не требуя специфических навыков для внедрения, DMARC позволяет полностью исключить нежелательный мошеннический трафик для отправителя, доставляя до получателя только аутентифицированные сообщения.
Важно отметить, что DMARC основывается на спецификациях DomainKeys Identified Mail (DKIM) и Sender Policy Framework (SPF), которые в настоящее время разрабатываются в IETF (Инженерный совет Интернета (англ. Internet Engineering Task Force, IETF) — открытое международное сообщество проектировщиков, учёных, сетевых операторов и провайдеров, созданное IAB в 1986 году и занимающееся развитием протоколов и архитектуры интернета).
Запись DMARC указывает почтовому провайдеру, что делать с письмом в зависимости от результатов прочтения DKIM и SPF. А затем говорит серверу отправить отчет на почту администратора домена (то есть вам или вашему системному администратору) с информацией, какие письма были отправлены и как провайдер поступил с письмами.
Добавить DMARC для вашего домена довольно просто. Для этого надо найти панель управления DNS-записями на вашем хостинге и внести туда новую TXT-запись с хостом _dmarc.
Примерный порядок действий:
Вот пример, как это выглядит в хостинге Fornex.
Важно! С 2024 года Google начал следить за доменами, которые рассылают более 5000 сообщений в сутки на ящики Gmail. Поэтому владельцы рассылок теперь обязаны прописывать SPF, DKIM и DMARC. О таких же требованиях рассказали и в Yahoo.
Рассмотрим пример записи DMARC TXT для домена «sender.example.com»:
В этом примере отправитель требует, чтобы получатель отклонил все неаутентифицированные сообщения и отправил агрегированный отчёт об отклонении по адресу postmaster@example.com.
Чтобы вам не ломать голову, приведем ниже четыре самые распространенные DMARC-записи:
Самая простая DMARC-запись. По сути, она не призывает сервер получателя ни к каким действиям по отношению к неаутентифицированным письмам. Мы рекомендуем её внести, чтобы проверить, что всё работает исправно.
Показывает получателю, что не надо отклонять никаких писем, но вам на указанный адрес будет отправляться письмо. В письме — агрегированный отчёт об отправленных письмах и серверах, откуда они ушли. Такая запись нужна, если вы хотите увидеть, идёт ли от вас нежелательный трафик. Ещё это промежуточный вариант перед включением политики reject (полного отклонения неаутентифицированных сообщений).
Вариант-середнячок, один из самых распространённых. Письма, которые не аутентифицированы, будут помечаться вашим почтовым сервисом как спам или как нежелательные (зависит от сервиса).
Это уже строгая политика DMARC относительно неаутентифицированных сообщений. Мы рекомендуем вам постепенно наращивать процент отклонения таких писем: начиная с 25%, понемногу переходить к 100%. Например, когда мы в Unisender вводили DMARC, мы перешли на 100% за полтора месяца.
Ниже описываю синтаксис и значение тегов.
Начну с таблицы тегов. Потом подробнее расскажу о каждом из них.
| Тег | Назначение | Пример | Обязательный (да/нет) |
| v | Версия протокола | v=DMARC1 | Да |
| pct | Процент сообщений, подлежащих фильтрации | pct=20 | Нет |
| ruf | URI для отправки отчетов | ruf=mailto:fail@example.com | Нет |
| rua | URI для отправки агрегированных отчетов | rua=mailto:aggr@example.com | Нет |
| p | Политика домена | p=quarantine | Да |
| sp | Политика для субдомена | sp=reject | Нет |
| adkim | Режим аутентификации для DKIM | adkim=s | Нет |
| aspf | Режим аутентификации для SPF | aspf=r | Нет |
| fo | Настройки отчетов об ошибках | fo=1 | Нет |
| rf | Формат для отчетов об ошибках | rf=afrf | Нет |
| rf | Интервал между отправкой агрегированных отчетов (в секундах). | ri=86400 | Нет |
Как вы поняли, все теги делятся на обязательные и нет. Начнём с обязательных.
Политика для приёма сообщений. Обязательный тег. Определяет политику приёма сообщений для домена и поддоменов (если отдельно не указана политика для поддоменов с помощью тега «sp»).
Принимаемые значения:
Версия. Обязательный тег. Обязательно должен принимать значение DMARC1. Если это не так, то запись будет проигнорирована.
Проверка на аутентификацию DKIM-записи. Может принимать значение «r» — relaxed или «s» — strict. По умолчанию принимает значение «r».
В режиме relaxed, если проверяемая DKIM-запись относится к домену d=example.com, а отправка идет от адреса email@news.example.com, проверка будет пройдена. В случае strict проверка будет пройдена только в том случае, если отправка идет от адреса на домене example.com. Поддомены не пройдут проверку.
Проверка на аутентификацию SPF-записи. Не обязательный тег. По аналогии с adkim, может принимать значение «r» — relaxed или «s» — strict. По умолчанию принимает значение «r».
Настройки отчетов об ошибках. По умолчанию принимает значение «0».
Принимаемые значения:
Процент сообщений, к которым применяется политика DMARC. Любое целое число от 0 до 100. По умолчанию значение 100.
Это необходимо для постепенного развёртывания политики, чтобы избежать ошибок.
Формат для отчётов об ошибках. По умолчанию значение afrf. На текущий момент поддерживается только это значение.
Интервал между отправкой агрегированных отчетов (в секундах). Значение по умолчанию: 86400 (1 раз в сутки).
Адреса для отправки агрегированных отчётов, разделенные запятой. Возможно указание mailto: ссылки для отправки отчетов по почте.
Адреса для отправки отчетов об ошибках, разделенные запятой. Указание этого тега подразумевает, что владелец домена требует от серверов получателей отправлять детальные отчеты о каждом сообщении, не прошедшем проверку DMARC.
Политика DMARC для поддоменов (по аналогии с тегом p).
Пара слов о создании и задачах политики DMARC.
Больше 10 лет назад для аутентификации отправителя были созданы технологии SPF и DKIM. Они помогали отследить мошеннические сообщения, отправленные от имени банков, социальных сетей, почтовых служб.
Казалось бы, SPF и DKIM позволяли легко отличить мошеннические сообщения от нормальных. Но это стало трудным по ряду причин:
В 2007 году PayPal впервые применил этот подход и разработал в сотрудничестве с Yahoo, Google и Microsoft систему обмена данными между отправителем и получателем. Результат был чрезвычайно эффективным. Мошеннических email, предположительно полученных от PayPal, стало намного меньше.
DMARC — это политика, благодаря которой получатель письма понимает, можно ли доверять его отправителю. Позволяет бороться со спамом, фишингом и нежелательной почтой.
Чтобы настроить DMARC, зайдите в панель управления хостингом и внесите в настройки DNS-запись формата TXT. Распространённые примеры записей (в порядке нарастания строгости политики):
DMARC — ? На текущий момент некоторые почтовые провайдеры, такие как Gmail, Mail.ru, Yahoo, AOL уже включили строгую политику DMARC p=reject для своих доменов.
Делимся новостями и свежими статьями, рассказываем о новинках сервиса
Искренние письма о работе и жизни. Свежие статьи из блога. Эксклюзивные кейсы и интервью с экспертами диджитала.
