Как настроить DMARC

DMARC сообщает серверам получателей почты, какое действие следует применять к письмам, которые не прошли аутентификацию SPF или DKIM. Возможные действия: отклонить, поместить на карантин или доставить. Вы также можете получать отчеты, с помощью которых можно выявить возможные проблемы с аутентификацией и вредоносные действия, связанные с электронными письмами из вашего домена. Настройте DMARC, добавив запись TXT DNS для DMARC (далее – запись DMARC) в домене.

Запись DMARC – это строка текста, которую нужно добавить в домен, следуя инструкциям поставщика домена. Вот как она может выглядеть:

v=DMARC1; p=reject; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s

Когда принимающий почтовый сервер получает письмо из вашего домена, которое не проходит аутентификацию SPF или DKIM, он с помощью записи DMARC определяет, что нужно сделать с таким письмом – отклонить, поместить на карантин или доставить обычным образом.

What is DMARC?

DMARC помогает защитить пользователей от поддельных электронных писем
и позволяет вам управлять письмами, которые не прошли проверку SPF или DKIM.

Содержание

Подготовка

  • Чтобы использовать DMARC, нужно включить в домене SPF и/или DKIM. Если вы не настроили SPF и/или DKIM, ознакомьтесь с разделом Как улучшить защиту от спуфинга, фишинга и спама.
    • Если перед включением DMARC не настроить проверку SPF и/или DKIM, для писем, отправленных из вашего домена, могут возникнуть проблемы доставки.
    • Подождите 48 часов после настройки SPF и/или DKIM, прежде чем приступать к настройке DMARC.
  • Чтобы узнать, настроен ли протокол DMARC для домена, воспользуйтесь одним из множества бесплатных инструментов в интернете. Если настройка DMARC уже выполнена, изучите отчеты DMARC, чтобы убедиться, что DMARC эффективно аутентифицирует письма и они успешно доставляются.
  • Для настройки DMARC вам не нужно предпринимать никаких действий в консоли администратора Google. Вместо этого подготовьте запись DMARC, следуя инструкциям на этой странице, а затем войдите на сайт регистратора домена и добавьте ее, следуя инструкциям регистратора.

Шаг 1. Подготовьте группу или почтовый ящик для отчетов

Количество отчетов DMARC, поступающих на вашу электронную почту, может быть разным в зависимости от того, какой объем почты отправляет ваш домен и на какое количество доменов вы отправляете письма. Вы можете получать множество отчетов каждый день. Крупным организациям может приходить несколько сотен и даже тысяч отчетов ежедневно. Мы рекомендуем создать группу или специальный почтовый ящик для получения отчетов DMARC и работы с ними.

Важно! Обычно адрес электронной почты находится в том же домене, где размещена запись DMARC. Если это не так, добавьте запись DNS в соответствующем домене. Подробнее о том, как отправлять отчеты на адрес электронной почты в другом домене (страница "Отчеты DMARC")…

Шаг 2. Убедитесь, что электронные письма от стороннего сервиса аутентифицируются

Если вы используете сторонний сервис для отправки писем организации, убедитесь, что они прошли аутентификацию и проверки SPF и DKIM:

  • Убедитесь, что у стороннего поставщика правильно настроена проверка SPK и DKIM.
  • Убедитесь, что домен отправителя конверта, используемый вашим поставщиком, совпадает с вашим доменом. Добавьте IP-адреса почтовых серверов, с которых поставщик отправляет электронные письма, в запись SPF своего домена.
  • Направьте исходящую почту от поставщика через серверы Google, настроив службу ретрансляции SMTP.

Шаг 3. Настройте запись DMARC

Правила DMARC определяет строка текстовых значений, которая называется записью DMARC. В этой записи определяется:

  • насколько строго DMARC будет проверять письма;
  • какие действия должен выполнять сервер получателя с письмами, которые не прошли аутентификацию.

Пример записи DMARC (замените example.com своим доменным именем):

v=DMARC1; p=reject; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s.

Теги v и p нужно указывать первыми, а остальные теги можно расположить в произвольном порядке.

Если вы только начинаете использовать DMARC, рекомендуем задать для параметра правил (p) значение none. По мере получения данных о том, как ваши письма проходят аутентификацию на серверах получателей, меняйте это значение на quarantine (or reject). Подробнее о рекомендуемом порядке внедрения DMARC

Определения и значения тегов записи DMARC

Тег Описание и значения
v

Обязательный тег. Версия DMARC. Необходимое значение: DMARC1.
p Обязательный тег. Определяет действия, которые почтовый сервер получателя должен выполнять с сообщениями, не прошедшими аутентификацию.
  • none – не предпринимать никаких действий и доставить получателю. Зарегистрировать сообщения в ежедневном отчете. Отчет будет отправлен на адрес электронной почты, указанный в параметре rua в записи.
  • quarantine— пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке.
  • reject— отклонить сообщение. При этом сервер получателя обычно отправляет на сервер отправителя сообщение о недоставке.

Примечание относительно BIMI. Если в вашем домене используется BIMI, параметр DMARC p должен иметь значение quarantine или reject. BIMI не поддерживает правила DMARC со значением none для параметра p.
pct

Тег pct необязательный, но Google рекомендует добавить его в запись DMARC при развертывании DMARC, чтобы вы могли управлять процентом писем, к которым применяются правила DMARC.

Определяет процент не прошедших аутентификацию сообщений, на которые распространяются правила DMARC. Если вы развертываете DMARC постепенно, можно начать с небольшого процента сообщений. По мере того как всё больше сообщений из вашего домена будут проходить аутентификацию на серверах получателей, увеличивайте значение процента в записи, пока оно не достигнет 100.

Значение должно быть целым числом от 1 до 100. Если этот параметр в записи не используется, правила DMARC распространяются на 100 % сообщений, отправляемых из вашего домена.

Примечание относительно BIMI. Если в вашем домене используется BIMI, для параметра DMARC pct должно быть установлено значение 100. BIMI не поддерживает правила DMARC со значением менее 100 для параметра pct.
rua

Тег rua необязательный, но Google рекомендует всегда включать его в запись DMARC.

Отчеты DMARC отправляются на адрес электронной почты. В адресе должен быть префикс mailto:.
Например: mailto:[email protected] (замените example.com своим доменом).

  • Чтобы отправлять отчеты о применении правил DMARC на несколько адресов электронной почты, перечислите адреса через запятую, добавив перед каждым префикс mailto:. Например: mailto:[email protected], mailto:[email protected] (замените example.com своим доменом).
  • Активация этого параметра может привести к большому количеству писем с отчетами. Не рекомендуем использовать для этой цели собственный адрес электронной почты. Лучше воспользуйтесь отдельным почтовым ящиком, группой или сторонним сервисом, который специализируется на отчетах DMARC.
  • Чтобы отправлять отчеты DMARC на адрес электронной почты, который находится в домене, отличающемся от того, где размещена ваша запись DMARC, добавьте к DNS домена электронной почты запись TXT. Подробнее о том, как отправлять отчеты на адрес электронной почты в другом домене (страница Отчеты DMARC)…
ruf

Gmail не поддерживает тег ruf, используемый для отправки отчетов о сбоях (также называются аналитическими).
sp Необязательный тег. Задает правило для сообщений из субдоменов вашего основного домена. Используйте этот параметр, чтобы настроить для субдоменов другое правило DMARC.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine пометить сообщение как спам и доставить его в папку "Спам" получателя. Получатель может проверить эту папку и определить, какие сообщения попали туда по ошибке.
  • reject – отклонить сообщение. При этом сервер получателя должен отправить на сервер отправителя сообщение о недоставке.

Если этот параметр в записи не используется, субдомены наследуют правила DMARC от родительских доменов.
adkim Необязательный тег. Позволяет настроить режим проверки соответствия для DKIM, который определяет, насколько точно данные о сообщениях должны совпадать с подписями DKIM. Узнайте о режиме проверки соответствия (далее на этой странице).
  • s – строгое соответствие. Доменное имя отправителя должно точно совпадать со значением, указанным для параметра d=доменное_имя в заголовках DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf Необязательный тег. Позволяет настроить режим проверки соответствия для SPF, который определяет, насколько точно данные о сообщениях должны совпадать с подписями SPF. Узнайте о режиме проверки соответствия (далее на этой странице).
  • s строгое соответствие. Заголовок "От:" сообщения должен точно совпадать с доменным именем в команде SMTP MAIL FROM.
  • r – нестрогое соответствие (по умолчанию). Разрешаются частичные совпадения, например принимаются субдомены.

Проверка соответствия DMARC

Письмо проходит или не проходит аутентификацию DMARC в зависимости от того, насколько точно домен в заголовке От соответствует домену-отправителю, указанному в данных SPF или DKIM. Это называется проверкой на соответствие.

Есть два режима проверки соответствия: строгий и нестрогий. Режим проверки соответствия для SPF и DKIM задается в записи DMARC с помощью тегов записи DMARC aspf и adkim.

Способ аутентификации Строгое соответствие Нестрогое соответствие
SPF Точное соответствие между доменом в адресе Envelope-Sender (также называется Return-Path или адресом возврата) и доменом в заголовке От. Домен в заголовке От должен соответствовать домену в адресе Envelope-Sender (также называется Return-Path или адресом возврата) или быть его субдоменом.
DKIM Точное совпадение соответствующего домена DKIM и домена, указанного в заголовке От. Домен в заголовке От должен совпадать с доменом, указанным в теге подписи DKIM d=, или быть его субдоменом.

В некоторых случаях Google рекомендует перейти на строгое соответствие, чтобы повысить надежность защиты от спуфинга:

  • Почта для вашего домена отправляется из субдомена, которым вы не управляете.
  • У вас есть субдомены, которыми управляют другие организации.
Важно! Обычно для защиты от спуфинга достаточно нестрогой проверки соответствия. При строгой проверке письма из связанных субдоменов могут отклоняться или отправляться в папку "Спам".

Чтобы пройти аутентификацию DMARC, письмо должно пройти хотя бы одну из следующих проверок:

  • аутентификация и проверка соответствия SPF;
  • аутентификация и проверка соответствия DKIM.

Аутентификация DMARC не пройдена, если письмо не проходит обе следующие проверки:

  • SPF или проверку соответствия SPF;
  • DKIM или проверку соответствия DKIM.

Шаг 4. Добавьте запись DMARC в домен

Важно! На этом шаге используйте справочную документацию по DMARC регистратора домена. Необходимые для добавления записи DMARC действия зависят от регистратора домена.

Как добавить или изменить запись

Важно! Обязательно настройте DKIM и SPF до настройки DMARC. Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC.

  1. Подготовьте текстовый файл или строку для записи DMARC.
  2. Войдите в аккаунт на сайте регистратора домена (как правило, это компания, у которой вы приобрели домен). Если вы не знаете, кто является регистратором вашего домена, попробуйте найти эту информацию.
  3. Перейдите на страницу, на которой можно изменить TXT-записи DNS для вашего домена. Информация о том, как найти эту страницу, приведена в документации регистратора вашего домена.

  4. Добавьте в запись TXT следующую информацию или измените запись TXT (изучите документацию для вашего домена):

    Название поля Значение
    Тип Тип записи: TXT.
    Хост (Имя, Имя хоста, Псевдоним) Укажите значение _dmarc.example.com (замените example.com на свое доменное имя).
    Значение Строка, представляющая собой запись TXT: Пример: v=DMARC1; p=none; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s. Подробнее о том, как настроить запись DMARC
    Примечание. Некоторые регистраторы доменов автоматически добавляют доменное имя. После того как вы добавите или обновите запись TXT, проверьте доменное имя в записи DMARC, чтобы убедиться, что оно имеет правильный формат.
  5. Сохраните изменения.
  6. Если вы настраиваете DMARC для нескольких доменов, выполните эти шаги для каждого из них. У каждого домена могут быть свои правила и параметры отчетов (определяются в записи).
  7. Чтобы узнать, настроен ли DMARC для домена, воспользуйтесь одним из множества бесплатных инструментов в интернете.

Статьи по теме


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
13525934894968692143
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false
false