Может ли домен иметь более одной записи SPF?

Нет. Согласно стандарту RFC 7208, для каждого домена должна быть только одна запись SPF. Если существуют две записи TXT, начинающиеся со строки «v=spf1», обе возвращают ошибку PermError, и проверка SPF завершается полным провалом. Объедините все авторизованные источники в одну запись.

Что означает, если для моего домена выполняется слишком много запросов DNS?

Ваша запись SPF превышает ограничение в 10 запросов к DNS, установленное стандартом RFC 7208. Это приводит к ошибке SPF PermError, которая нарушает аутентификацию SPF для всех писем, а не только для тех, в которых произошло превышение лимита. Уменьшите количество включений, замените их на ip4:/ip6: или воспользуйтесь сглаживанием SPF или макросами, чтобы не превышать установленный лимит.

В чём заключается разница между SPF softfail (~all) и hardfail (-all)?

Softfail (~all) указывает получателям принимать письмо, но помечать его как подозрительное. Hardfail (-all) указывает получателям сразу отклонять письмо. Используйте softfail на этапе первоначальной настройки и тестирования; перейдите на hardfail после того, как будут подтверждены все легитимные отправители и налажена работа DMARC.

Предотвращает ли SPF подделку адресов электронной почты?

Само по себе это не поможет. SPF проверяет отправителя конверта (Return-Path), а не заголовок «From», который видят получатели. Злоумышленник может пройти проверку SPF, подделав видимый адрес «From». Чтобы предотвратить подделку отображаемого имени, вам понадобится DMARC — протокол, который проверяет соответствие результатов SPF/DKIM и заголовка «From».

Что происходит, если SPF не работает?

Это зависит от параметра SPF и от того, настроена ли политика DMARC. При использовании параметра -all и политики DMARC, предусматривающей отклонение, письмо блокируется. При использовании параметра ~all и отсутствии DMARC письмо может быть доставлено, но будет помечено как подозрительное. При полном отсутствии SPF у получателей нет данных SPF для проверки.

Как проверить запись SPF?

Воспользуйтесь бесплатным инструментом для проверки SPF. Введите свой домен, и инструмент извлечет вашу запись SPF из DNS, проверит ее синтаксис, подсчитает количество запросов к DNS и выявит любые ошибки, включая нарушения PermError и void lookup.

Нужен ли мне SPF, если у меня уже есть DKIM и DMARC?

Да. Для прохождения проверки DMARC и обеспечения соответствия требованиям необходимо, чтобы хотя бы один из механизмов — SPF или DKIM — прошел проверку. Хотя для соответствия требованиям DMARC достаточно одного DKIM, использование как SPF, так и DKIM обеспечивает избыточность. Если один из них не проходит проверку (например, SPF дает сбой при пересылке), другой все равно может обеспечить соответствие требованиям DMARC.

Что такое выравнивание SPF?

Соответствие SPF означает, что домен в поле Return-Path (отправитель конверта) совпадает с доменом в заголовке From. DMARC проверяет это соответствие. Без него проверка SPF может пройти успешно, но DMARC всё равно завершится с ошибкой — именно это происходит со многими сторонними отправителями, если они не настроены на использование вашего домена в поле Return-Path.

Как часто следует обновлять запись SPF?

Проверяйте запись SPF при каждом добавлении или удалении службы отправки писем и проводите ее аудит не реже одного раза в квартал. Записи SPF теряют актуальность по мере изменения поставщиками диапазонов IP-адресов и развития почтовой инфраструктуры вашей организации. Запись SPF, которая была действительна шесть месяцев назад, сегодня может оказаться неверной или неполной.

Что такое сглаживание SPF?

Преобразование SPF-записей в «all include» преобразует все записи в исходные IP-адреса, сокращая количество запросов к DNS. Это позволяет уложиться в лимит из 10 запросов, но приводит к созданию статической записи, которую необходимо обновлять при каждом изменении IP-адресов поставщиком. Современные альтернативы, такие как макросы SPF, позволяют сохранить динамичность записи, не превышая установленный лимит.

Сводный отчет DMARC (RUA): что это такое и как его читать

Ключевые выводы

Отчеты RUA (Reporting URI for Aggregate) содержат полную суточную сводку всего почтового трафика, проходящего через ваш домен, и позволяют выяснить, кто отправляет письма от вашего имени.
В отличие от экспертно-криминалистических отчетов, отчеты RUA не содержат текста писем или персональных данных (PII), что позволяет обеспечить их соответствие международным требованиям по защите данных.
Эти отчеты являются основным инструментом для выявления попыток подделки и неправильно настроенных легитимных служб.
Необработанные отчеты в формате XML трудно читать вручную; использование автоматического анализатора является отраслевым стандартом на 2026 год.
Только тщательный анализ данных RUA позволяет надежно перевести вашу политику в режим «отклонять», не заблокировав при этом «хорошую» почту.

Каждые 24 часа принимающие почтовые серверы отправляют вам структурированный набор данных — сводный отчет DMARC (RUA) — с указанием всех IP-адресов, с которых отправлялись письма с использованием вашего домена: что прошло, что не прошло и что было отклонено. Если ваше утро начинается с сбоев в доставке и жалоб на спам, именно здесь вы сможете найти их причину.

Однако эти отчеты предоставляются в виде сложных XML-файлов, которые не совсем удобны для восприятия человеком. Поэтому, несмотря на всю мощь этих данных, для их эффективного использования требуется подходящий подход.

В этом руководстве мы разберем, что на самом деле содержат сводные отчеты DMARC, как их читать, не сойдя с ума, и как превратить эти необработанные данные в нечто гораздо более полезное.

Что такое сводный отчет DMARC?

Сводный отчет DMARC — это ежедневная сводка в формате XML, которую почтовые серверы-получатели отправляют владельцам доменов и которая охватывает весь почтовый трафик, использующий ваш домен, за 24-часовой период.

В отличие от отчетов судебной экспертизы, отчеты RUA не нарушают конфиденциальность. Они не содержат текста писем, тем писем или персональных данных (PII); вместо этого в них отражаются IP-адреса, объемы трафика и результаты аутентификации.

Исходный XML (упрощенный)

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>24h</date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>reject</p>
  </policy_published>

  <record>
    <source_ip>209.85.1.1</source_ip>
    <count>1284</count>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </record>
</feedback>

Проанализировано

Отчитывающаяся организация

Кто отправил отчет (Google, Microsoft, Yahoo)

Идентификатор отчета • период • контактный адрес электронной почты

Опубликованная политика DMARC

Ваш действующий полис за отчетный период

Домен • режим сопоставления • p=none/quarantine/reject

Отправляющий IP-адрес

Каждый сервер, отправлявший электронные письма с использованием вашего домена

Обнаружение неавторизованных отправителей и поддельных IP-адресов

Результаты аутентификации

Результаты SPF, DKIM и DMARC по источникам

пропустить
неудача
по SPF • по DKIM

DMARC: агрегированный и криминалистический анализ (RUA и RUF)

Отчеты RUA (агрегированные) содержат ежедневную общую сводку всей активности электронной почты, осуществляемой с использованием вашего домена, тогда как отчеты RUF (криминалистические) представляют собой оповещения в режиме реального времени по каждому отдельному инциденту, в которых подробно описываются отдельные сбои аутентификации. Одним словом, RUA дает общее представление о ситуации, а RUF позволяет сосредоточиться на конкретных проблемах, хотя он поддерживается не так широко из-за соображений конфиденциальности.

Ниже приведены основные различия между отчетами RUA и RUF.

Характеристика	RUA (URI отчета для агрегированных данных)	RUF (экспертно-криминалистический отчет)
Частота	Раз в сутки	В режиме реального времени, по каждому сбою
Область применения	Ежедневный отчет по всему трафику	События сбоев при индивидуальной аутентификации
Конфиденциальность	Не содержит персональных данных	Может содержать данные/заголовки на уровне сообщений
Поддержка	Универсальные (Google, Microsoft и др.)	Ограниченный (многие провайдеры не указывают его из соображений конфиденциальности)

RUA

СВОДНЫЙ ОТЧЕТ

Частота

Раз в сутки

Что он охватывает

Весь почтовый трафик — успешный и неудачный

Конфиденциальность

Без персональных данных — безопасно для всех регионов

Лучше всего подходит для

Повседневный мониторинг и обеспечение соблюдения

против

RUF

ЭКСПЕРТНО-КРИМИНАЛИСТИЧЕСКИЙ ОТЧЕТ

Частота

В режиме реального времени, по каждому сбою

Что он охватывает

Только отдельные письма, доставка которых не удалась

Конфиденциальность

Может содержать темы писем

Лучше всего подходит для

Расследование конкретных атак с подделкой данных

Какие данные содержатся в сводном отчете DMARC?

Хотя необработанный XML-файл может выглядеть сложным, в нем данные организованы в отдельные блоки записей, которые отражают состояние вашей системы аутентификации.

1. Метаданные отчета

В данном разделе указано, кто подготовил отчет, а также период, за который он составлен:

Идентификатор отчета: уникальный идентификатор конкретного отчета.
Период: конкретный 24-часовой промежуток времени, в течение которого осуществлялся мониторинг деятельности.
Название организации: организация, подготовившая отчет (как правило, поставщик почтовых услуг).
Контактная информация: сведения о том, как связаться с организацией, предоставившей отчет.

2. Опубликованная политика DMARC

Здесь указана конкретная политика (p=none, quarantine или reject), которая действовала в вашей системе DNS в течение отчетного периода.

3. Блоки записей

Каждый блок записей содержит подробную информацию о конкретном наборе электронных писем в зависимости от их источника:

IP-адрес отправителя: IP-адрес, с которого были отправлены анализируемые электронные письма.
Количество сообщений: Общий объем электронных писем, отправленных с данного IP-адреса за указанный период.
Оцениваемая политика: предпринятые действия (решение) и их соответствие вашей политике.
Результатыпроверки SPF и DKIM: конкретные результаты (прошел/не прошел) для каждого метода аутентификации.

Как включить сводные отчеты DMARC?

Чтобы получать эти отчеты, вам необходимо добавить тег rua= в запись DMARC TXT в DNS.

Пример записи:

v=DMARC1; p=none; rua=mailto:[email protected]

Если вам необходимо отправлять отчеты на внешний домен, домен получателя должен опубликовать специальную запись DNS, предоставляющую соответствующее разрешение.

Как читать сводный отчет DMARC

Reading DMARC aggregate reports manually involves parsing XML tags like <record>, <row>, and <auth_results>.

Выявление тенденций

Отдельные отчеты дают лишь краткую картину, но их лучше всего использовать в совокупности для отслеживания текущих результатов. Например, большое количество сбоев с определенного IP-адреса в течение определенного периода может свидетельствовать о попытке подделки или о неправильной настройке легитимного сервера.

Фрагмент кода XML

<source_ip>192.168.1.1</source_ip> <count>1023</count> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf>

В этом фрагменте письма, отправленные с IP-адреса 192.168.1.1, прошли проверку DKIM, но не прошли проверку SPF. Поскольку для них установлено значение «none», несмотря на неудачу никаких действий предпринято не было.

Почему сводные отчеты DMARC важны для безопасности электронной почты?

Невозможно защитить то, чего не видно. Отчеты RUA содержат множество практических рекомендаций, которые помогут вашему бизнесу:

Повышение доставляемости: выявляйте случаи, когда легитимные письма попадают в спам, и корректируйте настройки для их устранения.
Повышение безопасности и обеспечение соответствия нормативным требованиям: выявление неавторизованных отправителей, пытающихся выдать себя за представителей вашего бренда или злонамеренно использовать ваш домен.
Безопасная реализация мер по обеспечению соответствия требованиям: обеспечение необходимой прозрачности для перехода из состояния p=none (только мониторинг) в состояние p=quarantine или p=reject без блокировки легитимной почты.
Контроль над «теневыми ИТ» (неавторизованными облачными сервисами, используемыми сотрудниками без разрешения ИТ-отдела): выявляйте сторонние облачные сервисы, которые могут отправлять электронные письма от вашего имени без вашего ведома.

Как эффективно использовать сводные отчеты DMARC?

Чтобы максимально эффективно использовать сводные отчеты DMARC, вам необходимо перейти от пассивного сбора данных к активному управлению доменами. Поскольку необработанные XML-файлы, как известно, сложно анализировать вручную, соблюдение этих шести стратегических рекомендаций поможет вам уверенно достичь полного соблюдения требований DMARC (p=reject).

1. Использовать специализированное решение для анализа DMARC

Хотя технически XML-файлы можно открывать в текстовом редакторе, делать это с сотнями отчетов в больших объемах нецелесообразно. Специализированный инструмент, такой как анализатор отчетов DMARC, берет на себя основную работу, выполняя следующие задачи:

Преобразование XML в наглядные визуальные материалы: преобразование тысяч строк кода в интуитивно понятные географические карты, круговые диаграммы и информационные панели по угрозам.
Автоматическая идентификация источника: вместо того, чтобы просто отображать IP-адрес, например 209.85.220.41, профессиональный анализатор определяет сервис по названию (например, «Google Workspace» или «Salesforce»).
Выделение ошибок: автоматическое выделение синтаксических ошибок в записях SPF/DKIM, которые могут приводить к отклонению легитимных писем.

2. Установить регулярный график проверок

Экосистемы электронной почты постоянно развиваются: появляются новые маркетинговые инструменты, а диапазоны IP-адресов сторонних поставщиков часто меняются.

Ежедневный мониторинг: на этапе первоначальной настройки (при значении p=none) ежедневно проверяйте отчеты, чтобы убедиться, что не блокируется легитимный трафик.
Еженедельные проверки: как только ваша политика переходит в состояние p=quarantine или p=reject, для отслеживания новых попыток подделки или «теневых ИТ» (неавторизованных облачных сервисов, используемых различными подразделениями) обычно достаточно проводить еженедельную проверку.
Проактивный подход против реактивного: не ждите, пока возникнет кризис с доставкой писем или произойдет фишинговая атака, чтобы проанализировать данные RUA.

3. Подробный анализ причин массовых сбоев

Не каждая сбой представляет собой угрозу безопасности, но массовые сбои почти всегда имеют серьезные последствия.

Определите «кто»: найдите IP-адреса, с которых отправляются тысячи писем, но которые не проходят проверку DMARC.
Настройка или злонамеренное действие: если IP-адрес принадлежит известному поставщику (например, HubSpot или Mailchimp), сбой указывает на ошибку в настройках SPF или DKIM. Если IP-адрес неизвестен и находится в регионе с высоким уровнем риска, это, скорее всего, попытка подделки.
Проверьте коды ошибок: обратите внимание на причину сбоя — была ли это проблема с сопоставлением (домен в заголовке «From» не совпадал с доменом, прошедшим аутентификацию) или полный сбой аутентификации?

4. Анализ долгосрочных тенденций и сезонности

Сводные отчеты DMARC дают «моментальный снимок» за 24 часа, но настоящая ценность заключается в анализе тенденций.

Базовый уровень трафика: определите «нормальный» объем трафика, чтобы сразу замечать отклонения, например внезапный всплеск трафика, который может свидетельствовать об атаке ботнета.
Влияние политики: отслеживайте, как повышается процент успешной аутентификации по мере оптимизации ваших записей. Устойчивый рост показателя «DMARC Pass» — это сигнал к тому, что можно переходить к более строгой политике.
Исторический анализ: храните данные за период не менее 6–12 месяцев для обеспечения соответствия требованиям аудитов безопасности и выявления сезонных колебаний объема электронной почты.

5. Создать цикл обратной связи, позволяющий принимать конкретные меры

Данные полезны только в том случае, если они способствуют оптимизации. Используйте выводы из отчетов для:

Оптимизация записей SPF: удалите старые и неиспользуемые IP-адреса или поставщиков, чтобы не превысить ограничение в 10 запросов DNS.
Обновление ключей DKIM: если в отчетах фиксируются сбои DKIM для конкретного офиса, возможно, пришло время обновить ключи или исправить неработающий селектор.
Решение проблем с согласованием адресов: многие поставщики проходят проверку SPF/DKIM, но не проходят DMARC, поскольку поле «Return-Path» не совпадает с доменом вашего бренда. Отчеты точно указывают, где необходимо настроить параметры «Custom Return-Path» или «Custom DKIM».

6. Отражение результатов и мер по устранению недостатков

История отчетов DMARC служит в качестве аудиторских доказательств для систем обеспечения соответствия, включая SOC 2, HIPAA и PCI-DSS.

Регистрируйте значимые события: фиксируйте, когда вы добавили нового поставщика, когда изменили политику с «без действий» на «карантин», а также обоснование таких действий.
Доказательства для регулирующих органов: если аудитор спросит, как вы защищаете данные клиентов от подделки адресов электронной почты, ваши отчеты DMARC и журнал корректирующих мер послужат убедительным доказательством эффективности вашей системы безопасности.
Передача знаний: благодаря документации можно быть уверенным, что в случае ухода из компании основного администратора электронной почты новый сотрудник сможет разобраться в существующей архитектуре почтовой системы и списке авторизованных отправителей.

Как PowerDMARC упрощает отчетность по DMARC?

Обработка сотен XML-файлов вручную становится нецелесообразной при больших объемах. PowerDMARC автоматизирует весь жизненный цикл ваших отчетов, выходя за рамки простого синтаксического анализа и обеспечивая полноценный набор инструментов для управления безопасностью (SecOps).

Расширенные возможности автоматизации и визуализации

Автоматический анализ XML: PowerDMARC преобразует сложные XML-данные в удобные для восприятия информационные панели, географические карты и диаграммы, благодаря чему отпадает необходимость в ручном анализе данных.
Идентификация отправителя: Наше решение идентифицирует ваши сервисы по названию (например, Salesforce, Zoom), а не по неоднозначным IP-адресам, что позволяет быстро отличить легитимных поставщиков от злоумышленников.
Обработка нестандартных данных: PowerDMARC разработан для обработки отчетов от таких провайдеров, как Microsoft, которые не соответствуют стандарту RFC, что гарантирует, что ваши данные всегда будут полными.
Хостируемые SPF и DKIM: Устали от ограничения в 10 запросов к DNS? Наши хостируемые инструменты позволяют управлять записями прямо из панели управления, не затрагивая настройки DNS, что мгновенно устраняет ошибку «Слишком много запросов».
Поддержка BIMI (Brand Indicator for Message Identification) с VMC (Verified Mark Certificates): обеспечьте не только безопасность, но и повысьте доверие, отображая проверенный логотип вашего бренда в почтовых ящиках получателей, что способствует увеличению показателей открываемости писем.
DMARC для поставщиков управляемых услуг (MSP) и многопользовательских сред: благодаря обновленной функции расширенного глобального мониторинга наша платформа позволяет поставщикам управляемых услуг контролировать сотни доменов с помощью единого интерфейса.
Аналитика угроз на базе искусственного интеллекта: используйте наши обновления для выявления схем подделки адресов и получения автоматических уведомлений при обнаружении нового неавторизованного отправителя, использующего ваш домен.
Индивидуальные отчеты в формате PDF: создавайте готовые к представлению руководству отчеты одним щелчком мыши, что поможет задокументировать весь процесс — от состояния «p=none» до «p=reject» — для целей аудита соответствия требованиям.

Подведение итогов

В условиях постоянно меняющейся угрозы в 2026 году полагаться на «слепую» рассылку электронной почты больше нельзя. Агрегированные отчеты DMARC — это самый мощный инструмент в арсенале администратора, позволяющий обеспечить прозрачность и контроль над использованием домена. Преобразуя необработанные XML-данные в полезную аналитическую информацию с помощью PowerDMARC, организации могут упреждающе предотвращать фишинг, повышать доставляемость электронной почты и обеспечивать соблюдение глобальных требований к массовым рассылкам.

Часто задаваемые вопросы

Что такое сводный отчет DMARC?

Ежедневный отчет в формате XML с информацией о проверке подлинности электронной почты, а также результатами проверки SPF, DKIM и DMARC, который отправляется почтовыми серверами-получателями владельцам доменов.

Как часто отправляются эти отчеты?

Как правило, один раз в сутки от каждой организации, предоставляющей отчеты (например, Google и Microsoft отправляют отдельные отчеты).

Содержатся ли в этих отчетах персональные данные?

Нет. Они содержат IP-адреса и объемы данных, но не включают текст писем или персональные данные, благодаря чему их использование безопасно во всех регионах.

Можно ли отправлять отчеты на внешний домен?

Да, но внешний домен должен опубликовать запись DNS, разрешающую получение этих отчетов.

Как включить сводные отчеты DMARC?

Чтобы включить агрегированные отчеты DMARC, добавьте запись TXT в настройки DNS:

Ведущий: _dmarc
Значение: v=DMARC1; p=none;rua=mailto:[email protected];

Когда будете готовы, перейдите в режим p=quarantine или p=reject. Это обеспечит необходимый контроль для защиты вашего домена, из которого исходит 91 % кибератак.

О сайте
Последние сообщения

Милена Багдасарян

Специалист по контенту в PowerDMARC

Милена - опытный писатель и создатель контента с более чем 7-летним опытом работы в создании увлекательных материалов по ИТ, кибербезопасности, виртуальным мероприятиям и многим другим темам. У нее есть опыт работы с высококачественными материалами для международных журналов, она окончила такие престижные учебные заведения, как Нью-Йоркский университет Абу-Даби, UWC China и Колледж Европы.

Последние сообщения Милены Багдасарян (см. все)

Обзор сводных отчетов DMARC: что это такое, что в них содержится и как их использовать - 6 мая 2026 г.
Обзор Sendmarc: функции, отзывы пользователей, плюсы и минусы (2026) - 22 апреля 2026 г.
Соответствие стандарту FIPS: как укрепить свою инфраструктуру до крайнего срока в 2026 году - 20 апреля 2026 г.

Обзор сводных отчетов DMARC: что это такое, что в них содержится и как их использовать