DMARC (Domain-based Message Authentication, Reporting, and Conformance) — это технология аутентификации электронной почты, которая помогает защитить ваш домен и пользователей от спама, фишинга и других злоупотреблений.

В этой статье мы подробно рассмотрим основные аспекты DMARC, его настройки и применение на платформе NotiSend.

Зачем нужен DMARC?

DMARC помогает бороться с мошенничеством, целью которого является кража данных пользователей через поддельные email-рассылки. Злоумышленники маскируют свои письма под сообщения известных компаний, чтобы обманом получить личные данные. Если у компании настроен DMARC, такие письма либо не доставляются, либо помечаются как подозрительные, что защищает как пользователей, так и репутацию компании.

Настроив DMARC, вы также можете с помощью отчетов контролировать, как почтовые службы обрабатывают сообщения, которые не проходят проверку.

Как работает DMARC?

DMARC — это стандарт аутентификации электронной почты, который объединяет два других протокола безопасности: SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail).

SPF подтверждает, что указанный IP-адрес имеет право отправлять письма от имени указанного домена, а DKIM проверяет, были ли изменения в имени отправителя или содержании письма во время доставки. DMARC позволяет отправителю указать, что делать с письмами, которые не проходят проверки SPF и DKIM, а также получать отчёты о таких письмах.

Этапы проверки:

1. Проверка SPF: сравнивается IP-адрес отправителя с разрешёнными адресами в DNS-записи SPF.

2. Проверка DKIM: проверяется цифровая подпись письма, чтобы подтвердить его целостность и подлинность.

Этапы проверки DNS-записей SPF и DKIM почтовым сервером получателя для защиты пользователей и домена отправителя от мошенников

3. Применение политики DMARC: если письмо не прошло проверки SPF или DKIM, то почтовый провайдер применяет правила, которые вы зададите в политике DMARC (none, quarantine, reject).

Этапы проверки DNS-записи и применение политики DMARK почтовым сервером получателя для защиты пользователей и домена отправителя от мошенников

4. Отчётность: отправитель получает отчёты о прохождении проверок, что помогает анализировать их доставляемость.

Основные правила политики DMARC: none, quarantine, reject. Какое выбрать?

DMARC поддерживает три типа политик, которые определяют действия с письмами, не прошедшими проверку: none, quarantine, reject.

None (p=none):

  • Письма доставляются в почтовый ящик или в папку спам на усмотрение почтового провайдера.
  • Отправитель получает отчёты о прохождении проверок.
  • Рекомендуется использовать на начальном этапе для сбора данных.

Quarantine (p=quarantine):

  • Письма, не прошедшие проверку, помещаются в спам или помечаются как подозрительные.
  • Подходит для постепенного перехода к более строгой политике.

Reject (p=reject):

  • Самая строгая политика. Письма, не прошедшие проверку, полностью блокируются.
  • Рекомендуется применять, если SPF и DKIM настроены корректно, а все легитимные письма соответствуют проверкам.
Важно учитывать, что сервисы, не поддерживающие настройку DNS-записей, или ошибки в настройках могут привести к проблемам с доставкой. В NotiSend процесс настройки записей упрощен.

      Пример базовой записи DMARC:

      _dmarc.example.com IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensics@example.com"

      Использование тегов DMARC: обязательные и дополнительные

      Обязательные теги DMARC. Эти теги необходимы, чтобы политика DMARC работала корректно. Без них запись будет считаться некорректной.

      1. v=DMARC1
        Этот тег указывает на версию протокола DMARC. В текущий момент значение всегда равно DMARC1. Он необходим для того, чтобы почтовый сервер получателя смог распознать вашу запись как запись DMARC.
      2. p= — политика (none, quarantine, reject).

      Дополнительные теги DMARC/ Эти теги необязательны, но они расширяют функционал DMARC и дают больше контроля над настройкой политики.

      1. rua=
        Указывает email-адрес, на который будут отправляться агрегированные отчёты о работе DMARC. Эти отчёты содержат статистику о том, какие письма проходят или не проходят проверки, с каких IP-адресов они отправляются, и насколько они соответствуют вашей DMARC-политике.
        Примерrua=mailto:dmarc-reports@yourbestdomen.ru
      2. ruf=
        Указывает email-адрес для получения отчётов о сбоях. Эти отчёты присылаются, если письмо не прошло проверку DMARC, и содержат детальную информацию о причинах сбоя. Они помогают понять, почему письмо было отклонено или помечено как подозрительное.
        Примерruf=mailto:errors@yourbestdomen.ru
      3. pct=
        Процент писем, к которым применяется текущая политика DMARC. Это полезно на этапе тестирования. Например, вы можете указать, что только 10% ваших писем будут проходить через более строгую проверку, чтобы избежать случайной блокировки важных сообщений.
        Примерpct=10 — политика применяется к 10% сообщений.
      4. aspf= и adkim=
        Эти теги задают уровень проверки для протоколов SPF и DKIM. Уровень проверки может быть:
        • r (relaxed) — мягкая проверка, при которой допустимы некоторые несоответствия. Например, если письмо отправлено от имени поддомена, оно всё равно может пройти проверку.
        • s (strict) — строгая проверка, при которой любое несоответствие приводит к тому, что письмо не проходит проверку.
        Пример:
        • aspf=s — включена строгая проверка для SPF.
        • adkim=r — включена мягкая проверка для DKIM.

      Рекомендации по внедрению DMARC

      Выбор политики DMARC зависит от этапа внедрения и подготовки вашей почтовой инфраструктуры.

      Рекомендации по постепенному внедрению DMARC:

      • Настройте механизм отчётности DMARC. Убедитесь, что указанные адреса для отчётов (rua и ruf) работают, и вы можете анализировать полученные данные. Отчёты помогут выявить проблемы с доставляемостью и случаи фишинга.
      • Проверьте SPF и DKIM. Убедитесь, что все ваши легитимные письма соответствуют этим проверкам.
      • Тестируйте на небольшом проценте писем. Используйте параметр pct для применения политики только к части писем.
      • Постепенно усиливайте политику. Используйте параметр pct, чтобы частично применять quarantine или reject.

      На начальном этапе рекомендуется использовать политику none, которая позволяет собирать статистику и анализировать поток сообщений без риска блокировки легитимных писем. После изучения отчетов и устранения проблем можно постепенно переходить к более строгим политикам — quarantine и reject. Для плавного внедрения строгих правил стоит использовать параметр pct, задающий процент писем, к которым применяется текущая политика, что помогает избежать неожиданных проблем с доставляемостью.

        Преимущества настройки DMARC в NotiSend

        Сервис NotiSend упрощает настройку DMARC. Вам не нужно разбираться в технических деталях — платформа предоставит готовые записи для вашего домена, а вы просто добавите их в DNS. Это обеспечит соответствие требованиям почтовых провайдеров и повысит доставляемость ваших писем. Для настройки записей нужно:

        1. Добавить домен в кабинете NotiSend.
        2. Следовать инструкциям по добавлению DNS-записей.
        3. Проверить корректность настроек через встроенные инструменты.

        После завершения настройки вы получите:

        • Контроль за рассылками. Вы видите, кто отправляет письма от имени вашего домена.
        • Защиту бренда. Предотвращение фишинга и использования домена злоумышленниками.
        • Повышение доверия. Почтовые провайдеры с большей вероятностью доставят ваши письма.
        • Улучшение репутации. Ваши письма реже попадают в спам.

        Частые ошибки при настройке DMARC

        • Игнорирование отчетов. Не анализировать отчеты DMARC — значит упускать возможность оптимизации.
        • Отсутствие SPF или DKIM. DMARC не работает без этих записей. Убедитесь, что они настроены правильно.
        • Некорректные адреса для отчетов. Убедитесь, что указанные адреса доступны и корректны.
        • Пропуск режима мониторинга. Сразу установка строгой политики может привести к потере легитимных писем.

        DMARC — это мощный инструмент, который помогает не только защитить ваш домен, но и повысить эффективность email-кампаний. Если вы являетесь пользователем NotiSend, настройка DMARC становится еще проще благодаря подробным инструкциям и поддержке сервиса. Следуйте нашим рекомендациям, анализируйте отчеты, и ваши рассылки будут всегда доставляться вовремя и по адресу.