Як налаштувати DMARC

Користувачі Gmail. Якщо ви отримуєте спам або фішингові повідомлення в Gmail, перегляньте цю статтю. Якщо ви не можете надіслати чи отримати листи в Gmail, перегляньте цю статтю.

Адміністратор може налаштувати DMARC після SPF і DKIM. DMARC повідомляє сервери одержувачів, що потрібно робити з повідомленням, яке не пройшло перевірку за допомогою методів автентифікації SPF або DKIM. Ви також можете отримувати звіти, які допоможуть виявити можливі проблеми з автентифікацією і зловмисні дії щодо повідомлень, надісланих із вашого домену.

What is DMARC?

DMARC helps protect users from forged email messages,
and lets you manage messages that don't pass SPF or DKIM.

На цій сторінці

Крок 1. Увімкніть SPF і DKIM
Крок 2. Перевірте, чи DMARC уже налаштовано
Крок 3. Укажіть групу або поштову скриньку для звітів
Крок 4. Переконайтеся, що сторонні сервіси автентифіковано
Крок 5. Підготуйте запис DMARC
Крок 6. Додайте запис DMARC
Крок 7. Підтвердьте запис DMARC
Пов’язані теми

Крок 1. Увімкніть SPF і DKIM

Перш ніж використовувати DMARC, потрібно ввімкнути SPF і DKIM для свого домену. Якщо ви ще не налаштували SPF і DKIM, перегляньте цю статтю.

SPF, DKIM і DMARC застосовуються окремо для кожного домену. Якщо ви керуєте кількома доменами, потрібно ввімкнути SPF, DKIM і DMARC для кожного з них окремо.

Важливо

Якщо перш ніж увімкнути DMARC, ви не налаштували SPF і DKIM, можуть виникати проблеми з доставкою повідомлень, що надсилаються з вашого домену.
Зачекайте 48 годин після налаштування SPF і DKIM, перш ніж налаштовувати DMARC.

Крок 2. Перевірте, чи DMARC уже налаштовано

Якщо ви використовуєте Google Workspace, перевірте, чи налаштовано DMARC, за допомогою Набору інструментів адміністратора Google. В іншому разі виконайте вказівки постачальника домену.

Виконайте перевірку за допомогою Набору інструментів адміністратора Google.

Відкрийте Набір інструментів адміністратора Google.
Перейдіть до розділу Перевірка записів DNSПеревірка MX.
Введіть відповідне значення в полі Доменне ім’я і натисніть ЗАПУСТИТИ ПЕРЕВІРКУ.
Результати показують, чи є у вашому домені запис DMARC.
- DMARC не налаштовано. У вашому домені ще немає запису DMARC.
- Форматування правил DMARC. У вашому домені є запис DMARC.

Виконайте перевірку в постачальника домену.

Увійдіть у консоль керування постачальника домену.
Перейдіть на сторінку, де можна оновити записи TXT DNS свого домену.
Якщо у вас є запис DMARC, у субдомені _dmarc.example.com (де example – це ваше доменне ім’я) ви побачите запис TXT, що починається з v=DMARC.

Залежно від результатів виконайте наведені нижче дії.

Якщо DMARC уже налаштовано, перегляньте звіти DMARC і переконайтеся, що повідомлення проходять автентифікацію і доставляються належним чином.
Якщо налаштування DMARC ще не виконано, перейдіть до розділу Укажіть групу або поштову скриньку для звітів (на цій сторінці).

Крок 3. Укажіть групу або поштову скриньку для звітів

Кількість звітів DMARC, які ви отримуєте електронною поштою, може відрізнятися залежно від того, скільки листів надсилає ваш домен і скільком доменам ви надсилаєте пошту. Щодня ви можете отримувати багато звітів, а великі організації – сотні чи навіть тисячі.

Завдяки звітам DMARC ви дізнаєтесь, які повідомлення, надіслані з вашого домену, проходять автентифікацію за допомогою SPF і DKIM, а з якими регулярно відбуваються проблеми. Крім того, звіти дають змогу дізнатися, хто надсилає листи з вашого домену, і отримувати сповіщення про потенційних спамерів. Відстеження звітів DMARC особливо корисне на етапі впровадження. Перегляньте Рекомендований порядок впровадження DMARC.

Google рекомендує створити групу або спеціальну поштову скриньку, щоб отримувати звіти DMARC і керувати ними.

Важливо. Зазвичай електронна адреса для звітів належить до того самого домену, у якому розміщено запис DMARC. Якщо використано інший домен, потрібно додати запис DNS у відповідному домені. Щоб дізнатися більше, перегляньте розділ Як надсилати звіти на електронну адресу в іншому домені на сторінці Звіти DMARC.

Крок 4. Переконайтеся, що сторонні сервіси автентифіковано

Якщо ви надсилаєте листи для своєї організації за допомогою стороннього сервісу, такі повідомлення мають проходити автентифікацію і перевірки за допомогою SPF і DKIM.

Зв’яжіться зі своїм стороннім постачальником і переконайтеся, що DKIM налаштовано правильно.
Перевірте, чи збігається домен відправника конверта, який використовує постачальник, з вашим доменом. Додайте IP-адреси поштових серверів, з яких постачальник надсилає пошту, до запису SPF свого домену.
Переспрямовуйте вихідні листи від постачальника через Google за допомогою налаштування служби ретрансляції SMTP.

Крок 5. Підготуйте запис DMARC

Правила DMARC визначаються в рядку текстових значень, який називається записом DMARC. Цей запис визначає:

наскільки суворо DMARC має перевіряти повідомлення;
рекомендовані дії для сервера одержувача щодо отримуваних повідомлень, які не проходять автентифікацію.

Приклад запису правил DMARC (замініть example.com на свій домен):

v=DMARC1; p=reject; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s.

Спершу потрібно вказати теги v і p, а решту тегів можна навести в будь-якому порядку.

Коли ви починаєте використовувати DMARC, радимо вибрати для параметра правил (p) значення none. Оновлюйте його, коли дізнаватиметесь, як сервери отримувачів автентифікують повідомлення з вашого домену. Із часом ви можете змінити його на quarantine (or reject). Перегляньте Рекомендований порядок впровадження DMARC.

Визначення й значення тегів запису DMARC

Тег	Опис і значення
v	Обов’язковий тег. Версія DMARC. Потрібно ввести значення DMARC1.
p	Обов’язковий тег. Визначає дії поштового сервера одержувача щодо повідомлень, які не пройшли автентифікацію. none – не вживати заходів щодо повідомлення й доставити його призначеному одержувачу. Реєструвати повідомлення в щоденному звіті. Звіт надсилається на електронну адресу, указану в записі за допомогою параметра rua. quarantine— позначити повідомлення як спам і надіслати їх у папку зі спамом одержувача. Ці повідомлення можна переглядати, щоб визначати потрібні. reject— відхилити повідомлення. У такому разі сервер одержувача зазвичай надсилає повідомлення про помилку доставки на сервер відправника. Примітка щодо BIMI. Якщо у вашому домені використовується BIMI, параметр DMARC p повинен мати значення quarantine або reject. (значення none не підтримується).
pct	Тег pct необов’язковий, але Google рекомендує додавати його в запис DMARC під час запуску, щоб ви могли керувати відсотком листів, до яких застосовуються правила DMARC. Визначає відсоток неавтентифікованих повідомлень, на які поширюються правила DMARC. Якщо ви поступово розгортаєте DMARC, можна почати з невеликого відсотка повідомлень. Коли більше повідомлень із вашого домену проходитимуть автентифікацію на серверах отримувачів, збільшуйте відсоток у записі, доки він не досягне 100%. Значення має бути цілим числом від 1 до 100. Якщо не використовувати цей параметр у записі, правило DMARC застосовуватиметься до 100% повідомлень, надісланих із вашого домену. Примітка щодо BIMI. Якщо у вашому домені використовується BIMI, для правила DMARC потрібно вказати значення pct 100. Правила DMARC зі значеннями pct, меншими за 100, не підтримуються.
rua	Тег rua необов’язковий, але Google рекомендує завжди включати його в запис DMARC. Звіти DMARC надсилаються на електронну адресу. Електронна адреса має містити префікс mailto:. Наприклад: mailto:[email protected] (замініть example.com на свій домен). Щоб надсилати звіти DMARC на кілька адрес, розділіть кожну адресу комою і додайте перед нею префікс mailto:. Наприклад: mailto:[email protected], mailto:[email protected] (замініть example.com на свій домен). Ви можете отримувати багато листів зі звітами. Не радимо використовувати власну електронну адресу. Натомість укажіть спеціальну поштову скриньку, групу або сторонній сервіс, який спеціалізується на звітах DMARC. Щоб надсилати звіти DMARC на електронну адресу, яка належить іншому домену, додайте запис TXT в DNS домену. Щоб дізнатися більше, перегляньте розділ Як надсилати звіти на електронну адресу в іншому домені на сторінці Звіти DMARC.
ruf	Gmail не підтримує тег ruf, який використовується для надсилання звітів про помилки. Звіти про помилки також називаються аналітичними.
sp	Необов’язковий тег. Налаштовує правило для повідомлень із субдоменів вашого основного домену. Виберіть цей варіант, якщо хочете використовувати інше правило DMARC для своїх субдоменів. none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine— позначити повідомлення як спам і надіслати їх у папку зі спамом одержувача. Ці повідомлення можна переглядати, щоб визначати потрібні. reject— відхилити повідомлення. У такому разі сервер одержувача має надіслати повідомлення про помилку доставки на сервер відправника. Якщо не використовувати цей параметр у записі, субдомени успадкують правило DMARC, налаштоване для батьківського домену.
adkim	Необов’язковий тег. Налаштовує перевірку відповідності для DKIM, щоб визначити, наскільки точно інформація про повідомлення має збігатися з підписами DKIM. Дізнайтесь, як працює перевірка відповідності (нижче на цій сторінці). s— сувора відповідність. Доменне ім’я відправника має точно збігатися з відповідним параметром d=domainname у заголовках DKIM. r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf	Необов’язковий тег. Налаштовує перевірку відповідності для SPF, щоб визначити, наскільки точно інформація про повідомлення має збігатися з підписами SPF. Дізнайтесь, як працює перевірка відповідності (нижче на цій сторінці). s— сувора відповідність. Заголовок "Від:" має точно збігатися з доменним ім’ям у команді SMTP MAIL FROM. r— несувора відповідність (за умовчанням). Дозволено часткові збіги. Приймаються будь-які дійсні субдомени доменного імені.

Перевірка відповідності DMARC

Пройде чи не пройде повідомлення автентифікацію DMARC, залежить від того, наскільки точно домен у заголовку Від: відповідає домену відправника, указаному в даних SPF або DKIM. Це називається перевіркою відповідності.

Ви можете вибрати один із двох режимів перевірки відповідності: суворий або несуворий. Режим перевірки відповідності для SPF і DKIM налаштовується в записі DMARC за допомогою тегів запису DMARC aspf і adkim.

Метод автентифікації	Сувора перевірка відповідності	Несувора перевірка відповідності
SPF	Точний збіг домену в адресі Envelope-Sender (інші назви – Return-Path або адреса повернення) з доменом у заголовку Від:.	Домен у заголовку Від: має збігатися з доменом в адресі Envelope-Sender (інші назви – Return-Path або адреса повернення) або бути його субдоменом.
DKIM	Точний збіг відповідного домену DKIM і домену в адресі заголовка Від:.	Домен у заголовку Від: має збігатися з доменом, указаним у тегу підпису DKIM d=, або бути його субдоменом.

Щоб підвищити надійність захисту від спуфінгу, Google рекомендує перейти на суворий режим перевірки відповідності в таких випадках:

листи для вашого домену надсилаються із субдомену, яким ви не керуєте;
ви маєте субдомени, якими керують інші організації.

Важливо. Щоб захиститися від спуфінгу, зазвичай достатньо несуворої перевірки. Якщо перевірка сувора, то повідомлення з пов’язаних субдоменів можуть відхилятися або надсилатися в папку зі спамом.

Щоб пройти автентифікацію DMARC, повідомлення має пройти принаймні одну з наведених нижче перевірок:

автентифікація і перевірка відповідності SPF;
автентифікація і перевірка відповідності DKIM.

Повідомлення не пройде автентифікацію DMARC, якщо воно не пройде обидві такі перевірки:

SPF (або перевірка відповідності SPF);
DKIM (або перевірка відповідності DKIM).

Крок 6. Додайте запис DMARC

Підготувавши текст запису DMARC, додайте або оновіть запис TXT DNS для DMARC у постачальника домену. З кожною зміною правил і запису DMARC потрібно також оновлювати запис TXT DMARC у постачальника домену.

Як додати або оновити запис

Важливо. Обов’язково налаштуйте DKIM і SPF, переш ніж налаштувати DMARC. Автентифікація повідомлень за допомогою DKIM і SPF має здійснюватися протягом принаймні 48 годин до ввімкнення DMARC.

Підготуйте текстовий файл або рядок для запису DMARC.
Увійдіть в обліковий запис на сайті реєстратора домену (зазвичай це місце, де ви придбали доменне ім’я). Якщо ви не знаєте, хто ваш реєстратор домену, перегляньте цю статтю.
Перейдіть на сторінку, де можна оновити записи TXT DNS для свого домену. Щоб дізнатись, як знайти цю сторінку, перегляньте документацію для домену.

Додайте до запису TXT наведену нижче інформацію (перегляньте документацію для свого домену).

Назва поля	Значення, яке потрібно ввести
Тип	Тип запису: TXT.
Хост (ім’я, ім’я хоста, псевдонім)	Потрібно вказати значення _dmarc.example.com (замініть example.com на своє доменне ім’я).
Значення	Рядок, який і є записом TXT. Наприклад: v=DMARC1; p=none; rua=mailto:[email protected], mailto:[email protected]; pct=100; adkim=s; aspf=s. Щоб дізнатися більше, перегляньте розділ Як підготувати запис DMARC вище на цій сторінці.

Примітка. Деякі реєстратори доменів автоматично додають доменне ім’я. Після додавання або оновлення запису TXT перевірте, чи правильний формат має доменне ім’я в записі DMARC.

Збережіть внесені зміни.
Якщо ви налаштовуєте DMARC для кількох доменів, виконайте ці кроки для кожного з них. Кожен домен може мати різні правила й параметри звітів, визначені в записі.

Крок 7. Підтвердьте запис DMARC

Важливо. Домени в наведених нижче кроках є лише прикладами. Замініть їх на власні домени.

Деякі реєстратори доменів автоматично додають ваше доменне ім’я в кінець назви запису TXT. Через це назва запису TXT для DMARC може мати неправильний формат. Наприклад, якщо ви введете _dmarc.example.com і реєстратор домену автоматично додасть ваше доменне ім’я, назва запису TXT матиме некоректний формат _dmarc.example.com.example.com.

Додавши запис TXT для DMARC відповідно до кроків у розділі Як додати або оновити запис, перевірте, чи правильно вказано назву.

У Наборі інструментів адміністратора Google можна переглянути й перевірити запис TXT для DMARC за допомогою функції Dig:

Перейдіть у Набір інструментів адміністратора Google і виберіть функцію Dig.
У полі Ім’я введіть _dmarc, а потім – повне доменне ім’я. Наприклад, якщо ваше доменне ім’я – example.com, введіть _dmarc.example.com.
Під полем Ім’я натисніть TXT.
У результатах перевірте назву запису TXT для DMARC. Знайдіть рядок тексту, який починається з _dmarc.

Пов’язані теми

_{Google, Google Workspace та пов’язані з ними позначки й логотипи є торговельними марками компанії Google LLC. Усі інші назви компаній і продуктів – це торговельні марки відповідних компаній.}

Чи корисна ця інформація?

Як можна її покращити?