Выравнивание DMARC: Спокойный и строгий режимы выравнивания

Аутентификация электронной почты больше не ограничивается проверкой «прошел ли SPF или DKIM». В 2026 году поставщики почтовых ящиков будут уделять столько же внимания тому, соответствуют ли результаты аутентификации домену, который пользователи фактически видят в поле «От». Именно здесь и приходит на помощь DMARC.

Соответствие DMARC (Domain-based Message Authentication Reporting and Conformance) определяет, соответствует ли домен, отображаемый получателям, доменам, проверенным SPF и DKIM. Если они не совпадают, электронное письмо может не пройти проверку DMARC, даже если SPF или DKIM технически прошли проверку. Именно поэтому многие организации сталкиваются с тем, что легитимные электронные письма попадают в спам или отклоняются после ужесточения требований DMARC.

Сложность заключается в режимах выравнивания. Расслабленное выравнивание позволяет совпадать доменам организации, включая поддомены. Строгое выравнивание требует точного совпадения доменов. Выбор неправильного режима может незаметно нарушить доставку, особенно когда задействованы несколько ESP, поддоменов или переадресация.

В этом руководстве объясняется, как работает согласование DMARC, какова реальная разница между строгим и мягким согласованием в 2026 году, рассмотрены типичные сценарии сбоев и описано, как выбрать режим, подходящий для вашей почтовой инфраструктуры, без риска для доставки писем в папку «Входящие».

Что такое выравнивание DMARC?

DMARC — это процесс проверки соответствия домена в поле «От» вашего электронного письма доменам, используемым в аутентификации SPF и DKIM. DMARC согласуется с вашей электронной почтой, если сообщение проходит согласование идентификаторов SPF и DKIM или одного из них.

Это гарантирует, что ваши электронные письма являются легитимными и защищены от целого ряда атак, связанных с мошенничеством по электронной почте, включая фишинг, спуфинг, вымогательство выкупа и многое другое.

Протокол аутентификации DMARC проверяет соответствие идентификаторов DMARC, чтобы определить, является ли домен электронной почты потенциально поддельным. При проверке электронной почты DMARC проверяет 3 идентификатора:

• Заголовок From
• Адрес обратного пути
• Доменное имя в подписи DKIM

Ключевой момент: DMARC проходит проверку на соответствие, если SPF или DKIM соответствуют домену From (в зависимости от ваших строгих или мягких настроек). Если ни один из них не соответствует, DMARC проваливает проверку, даже если SPF или DKIM показывают «прошел» самостоятельно.

Это то, что мешает мошенникам рассылать электронные письма, которые выглядят как будто они пришли с вашего домена, а на самом деле аутентифицируются с другого домена.

Упростите безопасность с помощью PowerDMARC!

Как работает согласование DMARC?

Чтобы четко понять принцип работы DMARC, полезно знать, какую идентичность домена DMARC призван защищать. сравнение. 

При внедрении DMARC вы связываете результаты SPF и DKIM для аутентификации всех писем, поступающих с вашего домена. Для любого письма DMARC использует так называемую «центральную идентичность», то есть домен, указанный в поле «От». Это домен, который видят получатели, и домен, который DMARC пытается защитить.

Когда электронное письмо с вашего домена поступает на сервер получателя, SPF проверяет его обратный путь (адрес отправителя/адрес отскока) , а DKIM проверяет зашифрованную подпись с использованием домена подписи DKIM. Затем DMARC берет результат каждой проверки и проверяет, соответствует ли домен, используемый в SPF и/или DKIM, домену в заголовке «От».

Однако есть одна небольшая проблема. Любой, включая преступников, может купить домен и внедрить SPF и DKIM. Таким образом, теоретически кто-то может отправить электронное письмо с доменом вашей организации в поле «От:» (центральная идентификация) и пройти аутентификацию SPF с помощью Return Path своего собственного домена. Пользователи обычно видят только адрес «От:», а не Return Path, поэтому они даже не будут знать, что между ними есть несоответствие.

Типы выравнивания DMARC: Строгое и расслабленное выравнивание идентификаторов 

После того, как вы в общих чертах поняли принцип работы DMARC, следующим шагом будет определение степени строгости проверки соответствия доменов. DMARC предлагает два режима проверки: «свободный» и «строгий», которые определяют, насколько точно аутентифицированные домены SPF и DKIM должны соответствовать домену, указанному в заголовке From.

Сравнение: строгое и гибкое выравнивание

Эти режимы согласования применяются независимо к SPF и DKIM, но вместе определяют, проходит ли электронное письмо DMARC.

1. Ослабленное выравнивание DMARC

Когда для SPF и DKIM включено расслабленное выравнивание, DMARC считает электронное письмо выровненным, если аутентифицированные домены соответствуют домену отправителя. Это означает, что поддомены рассматриваются как выровненные.

В режиме «расслабленном», даже если домен в команде Mail From и домены в заголовке Return-Path (для SPF) или подписи DKIM (для DKIM) не совпадают точно, но принадлежат одному и тому же организационному домену, выравнивание DMARC считается прошедшим.

Пример смягченного выравнивания DMARC
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r

Здесь теги выравнивания aspf=r и adkim=r указывают на расслабленное выравнивание как для SPF, так и для DKIM.

2. Строгое выравнивание DMARC

Строгое согласование обеспечивает более высокий уровень точности. В этом режиме согласование DMARC проходит только в том случае, если домен в заголовке From точно соответствует доменам, используемым для аутентификации SPF и DKIM.

Если включено строгое выравнивание, поддомены не считаются выровненными. Любое несовпадение, даже в пределах одного организационного домена, приведет к сбою выравнивания.

Пример строгого выравнивания DMARC
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s

Здесь aspf=s и adkim=s требуют точного совпадения как для SPF, так и для DKIM.

Роль согласования идентификаторов SPF и DKIM

Совмещение идентификаторов SPF и DKIM существует для предотвращения подделки домена, а не только для подтверждения того, что электронное письмо прошло базовую проверку аутентификации. Без совмещения электронное письмо может технически пройти проверку SPF или DKIM, используя один домен, но при этом отображать другой, доверенный домен в адресе отправителя — той части, которую фактически видят получатели.

Согласование идентификаторов аутентификации помогает определить, действительно ли отправитель электронного письма уполномочен отправлять сообщения от имени домена, указанного получателям. Поставщики почтовых ящиков полагаются на этот сигнал согласования, чтобы отличить легитимные источники электронной почты от поддельных или вводящих в заблуждение сообщений, даже если SPF или DKIM независимо возвращают результат «прошел».

Согласованные электронные письма с большей вероятностью пройдут проверку отправителя и будут рассматриваться почтовыми серверами получателей как надежные. При несогласованности поставщики считают сообщение более рискованным и могут отфильтровать, поместить в карантин или отклонить его, особенно если DMARC применяется в соответствии с политиками, такими как p=quarantine или p=reject.

Какие факторы могут повлиять на согласование идентификаторов SPF и DKIM?

Некоторые распространенные сценарии отправки могут привести к сбоям в выравнивании:

• Сторонние почтовые сервисы и ESP могут аутентифицировать электронную почту с использованием своих собственных доменов, если это явно не настроено для согласования.
• Пересылка электронной почты может нарушить SPF из-за изменений IP-адреса и сделать DKIM недействительным, если содержание сообщения будет изменено.

Как режимы выравнивания применяются к SPF

Выравнивание SPF фокусируется на взаимосвязи между доменом Return-Path (Envelope From) и доменом заголовка From.

Выравнивание SPF проходит, когда эти домены выравниваются в соответствии с выбранным режимом выравнивания DMARC:

• Расширенное согласование SPF: Допускается совпадение доменных имен организаций, поэтому субдомены проходят проверку.
• Строгое соответствие SPF: Проходят только точные совпадения доменов

Поскольку SPF опирается на IP-адрес отправителя, согласование SPF особенно чувствительно к таким сценариям, как пересылка электронной почты, когда IP-адрес сервера пересылки может не быть авторизован в исходной записи SPF.

Как режимы выравнивания применяются к DKIM

Выравнивание DKIM оценивает, соответствует ли домен подписи DKIM ( d= в подписи DKIM) совпадает с доменом отправителя.

Соответствие DKIM проходит, когда домен подписи соответствует домену «От» в соответствии с выбранным режимом соответствия:

• Смягченное соответствие DKIM: Допускается совпадение доменов организаций
• Строгое соответствие DKIM: Требуется точное совпадение домена

В отличие от SPF, DKIM не зависит от изменений IP-адреса при пересылке, но выравнивание DKIM может не сработать, если содержание сообщения или заголовки были изменены во время передачи.

Как решать проблемы с выравниванием

Для поддержания постоянной согласованности DMARC организации должны обеспечить, чтобы все легитимные источники отправки были намеренно согласованы с доменом, используемым в адресе отправителя, и регулярно контролировались по мере изменения инфраструктуры электронной почты.

В PowerDMARC мы идем еще дальше, помогая вам настроить и поддерживать SPF, DKIM, ARCи DMARC централизованным образом. Это упрощает согласование действий сторонних отправителей, решение проблем, связанных с пересылкой, и обновление записей аутентификации по мере развития вашей системы, чтобы ваши легитимные электронные письма с максимальной вероятностью попадали в папку «Входящие».

Примеры выравнивания DMARC

Следующие примеры показывают, как строгое и свободное выравнивание ведет себя в реальных сценариях отправки электронных писем.

Пример 1: Компания SaaS, использующая несколько субдоменов

• Из заголовка: [email protected]
• SPF Return-Path: marketing.company.com
• Подпись DKIM: support.company.com

Результат расслабленного выравнивания: ✓ Пройден (домены организации совпадают)
Результат строгого сопоставления: ✗ Неудовлетворительный (требуется точное совпадение)

Это типично для SaaS-компаний, которые отправляют электронные письма с нескольких поддоменов. Смягченное согласование позволяет этим сообщениям проходить DMARC без дополнительной настройки.

Пример 2: Финансовая организация с точным совпадением домена

• Из заголовка: [email protected]
• SPF Return-Path: bank.com
• Подпись DKIM: bank.com

Результат расслабленного выравнивания: ✓ Пройден
Результат строгого выравнивания: ✓ Прошел

Поскольку все домены совпадают точно, оба режима выравнивания успешны. Такая настройка типична для организаций с централизованной инфраструктурой и строгими требованиями к безопасности.

Пример 3: Сторонний почтовый сервис без выравнивания

• Из заголовка: [email protected]
• SPF Return-Path: mailservice.com
• Подпись DKIM: mailservice.com

Результат расслабленного выравнивания: ✗ Неудача
Результат строгого выравнивания: ✗ Неудовлетворительно

В этом сценарии ни SPF, ни DKIM не совпадают с доменом отправителя. Даже если SPF или DKIM проходят проверку по отдельности, DMARC не проходит из-за несовпадения, что подчеркивает необходимость правильной настройки сторонних отправителей.

Как выбрать правильный режим согласования DMARC?

Выбор между мягким и строгим согласованием DMARC зависит от вашей почтовой инфраструктуры, вашей терпимости к ложным срабатываниям и того, насколько агрессивно вы планируете применять политики DMARC, такие как p=quarantine или p=reject. Цель состоит в том, чтобы улучшить защиту от подделки, не нарушая легитимный почтовый поток.

Какой режим выравнивания DMARC лучше?

Универсального «лучшего» варианта не существует. Для большинства организаций более безопасным начальным вариантом обычно является гибкое согласование, поскольку оно поддерживает распространенные в реальной жизни настройки (несколько поддоменов и сторонних отправителей). Строгое согласование обеспечивает более надежную защиту, но требует более чистой и последовательной архитектуры отправки и более тщательного мониторинга, чтобы избежать блокировки легитимных писем.

Выбирайте расслабленное выравнивание, когда

Расслабленное выравнивание обычно лучше всего подходит, когда в вашей организации используется более сложная экосистема отправки, например:

• Вы отправляете электронные письма с нескольких поддоменов (например, marketing.example.com, support.example.com)
• Вы используете несколько почтовых платформ или сторонние почтовые сервисы, которые могут аутентифицироваться с помощью субдоменов.
• Вы впервые внедряете DMARC и хотите снизить риск сбоев в работе
• Вам нужна гибкость при выявлении и исправлении несоответствий в источниках отправки

Выбирайте строгое выравнивание, когда

Строгое выравнивание наиболее эффективно, когда ваша настройка отправки жестко контролируется и вы хотите максимальную защиту от подделки, например:

• Вы отправляете почту с одного основного домена с минимальными изменениями.
• У вас есть строгие требования к безопасности (например, в сфере финансовых услуг, государственного управления, регулируемых сред).
• Вы хотите предотвратить попытки подделки субдоменов
• Вы готовы применять DMARC с настройками p=quarantine или p=reject и включенным мониторингом.

Практическая система принятия решений

Чтобы выбрать правильный режим согласования DMARC без риска для доставки:

1. Проведите аудит вашей инфраструктуры отправки
   Составьте список всех систем, которые отправляют электронные письма для вашего домена (маркетинговые инструменты, CRM, системы продажи билетов, расчет заработной платы, выставление счетов, внутренние ретрансляторы), включая субдомены.
2. Проверьте, как каждый источник проходит аутентификацию сегодня
   Определите, проходит ли проверка SPF и/или DKIM, и соответствуют ли аутентифицированные домены домену в заголовке «From».
3. Если вы не уверены, начните с расслабленного выравнивания
   Расслабленное выравнивание более терпимо, пока вы обнаруживаете неверные настройки и несоответствия доменов поставщиков.
4. Переходите к строгому выравниванию только после того, как выравнивание станет стабильным
   Строгий режим лучше всего применять после того, как ваши легитимные источники будут стабильно проходить аутентификацию и выравнивание, а вы сможете проверять результаты с помощью отчетов DMARC.
5. Постоянно контролируйте работу после переключения режимов
   Проблемы с выравниванием часто возникают вновь, когда команды добавляют новые инструменты, изменяют конфигурации ESP или вводят новые поддомены.

В большинстве случаев наиболее эффективный подход заключается в том, чтобы начать с гибкого выравнивания, устранить проблемы выравнивания во всех легитимных источниках, а затем перейти к строгому выравниванию только тогда, когда ваша инфраструктура сможет его поддерживать.

Как контролировать, тестировать и проверять соответствие DMARC 

После включения строгого согласования DMARC (или планирования перехода от мягкого к строгому) мониторинг становится необходимым для предотвращения ложных срабатываний и фильтрации или отклонения легитимных писем. Наиболее надежным способом проверки согласования DMARC является агрегированная отчетность DMARC, которая показывает, правильно ли SPF и DKIM согласуются с вашим доменом отправителя во всех источниках отправки.

Вот пошаговая инструкция по проверке соответствия DMARC для ваших электронных писем:

1. Перейдите к разделу Отчетность в главном меню
2. Нажмите «Агрегированные отчеты DMARC» и разверните раскрывающийся список.
3. Выбрать по результату
4. Отслеживайте источники отправки по каждому результату, чтобы просматривать результаты соответствия DMARC и согласования для каждого результата.

Когда согласование DMARC проходит

Согласование DMARC проходит, когда проходит согласование идентификатора SPF или DKIM (или обоих), в зависимости от выбранного вами режима согласования (строгий или смягченный).

Почему не работает согласование DMARC

Ошибка согласования DMARC обычно возникает, когда ни SPF, ни DKIM не согласуются с доменом в заголовке «From». К числу распространенных причин относятся:

• Домен в заголовке «From» не совпадает с доменом Return-Path (несоответствие SPF).
• Домен в заголовке «From» не совпадает с доменом подписи DKIM (несоответствие DKIM).
• Сторонние почтовые службы настроены неверно и аутентифицируются с использованием собственных доменов.
• Пересылка электронной почты нарушает SPF (изменения IP) и может сделать DKIM недействительным, если сообщения изменяются во время передачи.

Отслеживание результатов выравнивания с помощью PowerDMARC

PowerDMARC помогает вам отслеживать ваши электронные письма в соответствии со строгой политикой DMARC с помощью нашего инструмента анализа DMARC . Мы помогаем вам отслеживать источники отправки электронных писем, проверять наличие несоответствий и оптимизировать настройки аутентификации прямо из нашей панели управления.

Свяжитесь с нами сегодня, чтобы начать работу!

Вопросы и ответы

Что такое согласование DMARC?

Выравнивание DMARC — это процесс проверки того, что домен, указанный в заголовке «От» электронного письма, соответствует доменам, аутентифицированным SPF и/или DKIM. Это гарантирует, что домен, который видят получатели, является тем же доменом, который проверяется во время аутентификации, что помогает предотвратить атаки с подделкой и имитацией.

Какова настройка выравнивания по умолчанию для DMARC?

По умолчанию настройка выравнивания DMARC является мягкой как для SPF, так и для DKIM. Это позволяет сопоставлять домены организаций, то есть субдомены могут проходить проверку выравнивания, если явно не настроены более строгие параметры.

Что такое домен Return-Path и почему он важен для DMARC?

Домен Return-Path (также известный как Envelope From или адрес отскока) — это домен, который принимает недоставленные или отскочившие электронные письма. Во время проверки проверке DMARCоценка соответствия SPF проводится с использованием домена Return-Path, а не видимого адреса отправителя. Если домен Return-Path не соответствует домену отправителя, проверка соответствия SPF завершится с ошибкой.

Что такое домен подписи DKIM?

Домен подписи DKIM — это домен, используемый для криптографической подписи электронного письма ( d= значение в подписи DKIM). Во время оценки DMARC выравнивание DKIM проверяет, соответствует ли этот домен подписи домену «От». Ослабленное выравнивание допускает организационные совпадения, в то время как строгое выравнивание требует точного совпадения доменов.

Как пересылка электронной почты влияет на согласование DMARC?

Пересылка электронной почты может привести к сбоям в согласовании DMARC, нарушая SPF и, в некоторых случаях, DKIM. SPF может дать сбой, если пересылаемые электронные письма отправляются с IP-адресов, не авторизованных в записи SPF исходного отправителя. DKIM может дать сбой, если содержание электронного письма или заголовки изменены во время пересылки. Если ни SPF, ни DKIM не остаются согласованными, DMARC даст сбой.

Как я могу отслеживать сбои в согласовании DMARC?

Вы можете отслеживать сбои в согласовании, включив агрегированные отчеты DMARC и отчеты о сбоях. Эти отчеты показывают, какие источники отправки согласованы, какие имеют сбои и почему, что помогает вам устранять проблемы и улучшать доставляемость перед введением более строгих политик DMARC.

Как правильно настроить DMARC-согласование?

Чтобы правильно настроить DMARC:

1. Настройте SPF и DKIM для всех легитимных источников отправки
2. Опубликуйте запись DMARC с соответствующим aspf и adkim .
3. Мониторинг отчетов DMARC для выявления несоответствующих доменов
4. Исправление проблем с выравниванием сторонних доменов и субдоменов
5. Постепенно переходите от расслабленного к строгому выравниванию, как только стабильность будет подтверждена.

Что такое «смягченное» согласование в DMARC?

Расширенное согласование позволяет совпадать доменам организаций. Например, если ваш домен «От» — example.com, а домен SPF Return-Path или DKIM — mail.example.com, расширенное согласование все равно будет пройдено.

Когда следует использовать строгое выравнивание DMARC?

Строгое согласование лучше всего подходит для организаций с жестко контролируемой настройкой отправки, минимальным использованием поддоменов и высокими требованиями к безопасности или нормативным требованиям. Обычно его следует внедрять только после того, как все легитимные источники отправки будут последовательно согласованы и проконтролированы.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
• Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
• SPF Permerror: что это значит и как исправить - 24 декабря 2025 г.