Как спланировать плавный переход от DMARC None к DMARC Reject?
Последнее обновление:
5 Время чтения: 5 минут
Если ваш домен уже соответствует DMARC, вам все равно придется убедиться, что протоколы SPF, DKIM и DMARC настроены должным образом и что применяется подходящая политика 7. 'Отклонить' - это самая строгая политика, когда речь идет о безопасность электронной почтыно она может вызвать проблемы с доставкой и для настоящих сообщений.
Если вы не используете систему отчетности для контроля аутентификации, пройдут месяцы, прежде чем вы узнаете, что некоторые из ваших законных писем вообще не попали в почтовые ящики получателей. Это может серьезно повлиять на ваше общение с клиентами и перспективами, а также свести на нет усилия по маркетингу электронной почты.
Эксперты советуют на начальном этапе установить политику внедрения DMARC на None, так как это позволит вам начать получать отчеты без риска того, что ваши письма будут отклонены или помечены как спам.
Но когда наступает подходящее время для смены полиса и как сделать это правильно? Читайте этот блог, чтобы получить ответы на все вопросы.
Ключевые выводы
- Убедитесь, что протоколы SPF, DKIM и DMARC правильно настроены, чтобы предотвратить подмену почты и проблемы с доставкой.
- Начните с политики DMARC, установленной на None, чтобы собирать отчеты без риска отклонения важных писем.
- Отслеживайте эффективность работы почты вашего домена и достигайте высокого уровня соответствия DMARC, прежде чем переходить к более строгой политике, например Reject.
- Постепенно внедряйте изменения в политику DMARC с помощью тега pct, чтобы минимизировать риск во время переходного периода.
- Политика отклонения может повысить безопасность, но при неправильном управлении может привести к потере законных писем.
Политики DMARC
Вы можете установить свою DMARC запись на одну из трех политик.
Нет
Политика None, также называемая политикой Monitoring Only Policy, предписывает интернет-провайдерам доставлять отчеты на адрес электронной почты, указанный в теге RUA или RUF вашей записи. Эта политика не наносит никакого вреда вашей доставляемости электронной почты, поскольку она лишь делится глубокими сведениями о вашем канале электронной почты.
Если вы установите для своей записи значение Нет, никаких действий с письмами, не прошедшими проверку подлинности, предприниматься не будет. Это означает, что они не помечаются как спам и не отклоняются полностью.
Упростите DMARC с помощью PowerDMARC!
Карантин
Политика карантина доставляет отчеты и дает указания провайдерам пометить все письма, не прошедшие аутентификацию, как спам или иным образом поместить их в папку карантина вместо почтового ящика. Письма, прошедшие аутентификацию, нормально доставляются в основные почтовые ящики получателей.
Отклонить
Политика Reject предписывает интернет-провайдерам полностью отклонять все электронные письма, не прошедшие проверку подлинности. Письма, прошедшие проверку подлинности, нормально доставляются в основные почтовые ящики получателей. Недостатком политики Reject является то, что иногда отклоняются и законные электронные письма, что наносит вред общению с клиентами и потенциальными клиентами на нескольких уровнях.
Когда наступает подходящее время для установки политики DMARC на отклонение?
Перед сбросом политики необходимо проследить за работой и активностью домена, отправляющего электронную почту. Анализ каналов позволит вам правильно настроить запись для эффективного и безошибочного процесса аутентификации электронной почты.
Идеальное время для перехода на "Отклонить" - когда все источники авторизованы и их соответствие DMARC достигло примерно 100%. Такая практика обеспечивает хороший показатель доставляемости подлинных писем.
Вы также можете настроить политику DMARC так, чтобы она применялась только к определенному проценту писем, отправленных с вашего домена. Все, что вам нужно сделать, это добавить процентный тег (pct) к записи DMARC, и это сведет к минимуму риск плохой доставки электронной почты. Кроме того, тег 'pct' увеличивает вероятность успешной доставки подлинных писем, отправленных с вашего домена.
Как спланировать плавный переход От DMARC None к DMARC Reject?
Следуйте этому пошаговому руководству, чтобы обеспечить соблюдение строжайшей политики DMARC.
Шаг 1: Начать мониторинг DMARC
Лучшим способом безопасного перехода от политики "Нет" к политике "Отклонить" является использование службы мониторинга DMARC с помощью PowerDMARC. Вы можете выбрать получение двух типов отчетов DMARC -
Агрегированные отчеты (RUA)
Вы ежедневно получаете сводные отчеты с подробной информацией о трафике вашего домена. Он состоит из списка IP-адресов, которые пытались отправить электронную почту через ваш домен.
Отчеты судебно-медицинской экспертизы (RUF)
Отчеты о расследовании отправляются сразу после того, как письмо с вашего домена не удалось доставить. Отчет RUF всегда содержит исходные заголовки сообщения и может включать в себя также исходные тексты сообщений.
Оставайтесь в политике None на этапе первоначального мониторинга, чтобы понять почтовый поток, не влияя на его производительность.
Шаг 2: Анализ отчетов DMARC
Используя политику None, настройте SPF- и DKIM-записи домена-отправителя электронной почты для обеспечения оптимальной безопасности электронной почты. В то же время внимательно следите за всеми отчетами, которые вы получаете, поскольку они информируют вас о том, какие селекторы DKIM используются и какие отправители посылают электронные письма с вашего домена. В отчетах также указывается процент писем, прошедших и не прошедших проверку подлинности.
Также не забывайте о лимите в 10 DNS-поисков. Если для вас проблематично удалить механизмы, воспользуйтесь функцией сглаживание SPF чтобы мгновенно устранить SPF PermError и не превысить лимит в 10 обращений к SPF.
Не пропускайте использование разных DKIM-селекторов для каждого отправителя и включайте только используемые селекторы. Кроме того, храните ключи DKIM в защищенном виде и регулярно меняйте их.
Шаг 3: Переключиться на карантин
После правильной настройки SPF и DKIM вы можете перейти к политике "Карантин" от политики "Нет". При ее применении почтовые ящики получателей будут перенаправлять все неаутентифицированные письма, отправленные с вашего домена, в папки со спамом.
Чтобы проверить, не пора ли переходить к политике карантина, нужно посмотреть, какой процент писем не проходит проверку подлинности. Переключайте политику только в том случае, если небольшой процент рекламных писем не проходит аутентификацию. Готовность к применению политики карантина может варьироваться от домена к домену.
Более того, воспользуйтесь преимуществами процентного тега и начните с установки тега pct на 5 или 10%. Это будет означать, что только 5-10% неаутентифицированных писем будут перенаправлены в спам. Затем вы можете постепенно увеличивать процент.
Шаг 4: Наконец, переключитесь на "Отклонить
Когда вы полностью перешли на политику карантина, и только несколько писем помечаются как спам, вы можете перейти на политику отклонения. При надлежащем применении она не будет препятствовать потоку электронной почты и возможности доставки. Помните, что политика Reject полностью блокирует попадание неаутентифицированных писем в почтовые ящики получателей.
Если ваши важные сообщения по-прежнему попадают в папки со спамом, вы еще не готовы к переходу на политику отклонения. Вместо этого сделайте плавный переход, применяя ее для небольшого процента, как это было в карантине. Когда вы убедитесь, что большинство ваших важных сообщений попадает в почтовые ящики адресатов, вы можете перейти к 100-процентному применению.
Всегда ли политика отказа является наиболее эффективным выбором?
Независимо от того, насколько тщательно вы проверяете подлинность своих записей, лишь немногие владельцы доменов добиваются 100% соответствия DMARC для всех достоверных источников. 100% применение политики Reject может привести к тому, что некоторые важные сообщения также не будут доставлены. Но с другой стороны, это полностью защищает вас от самозванства, фишинга и злоупотреблений.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
- Что такое v=spf1? Для чего оно предназначено? - 5 мая 2026 г.
- Пример внедрения DMARC у MSP: как Digital Infinity IT Group оптимизировала управление DMARC и DKIM для клиентов с помощью PowerDMARC - 21 апреля 2026 г.
- Что такое DANE? Объяснение аутентификации именованных объектов на основе DNS (2026) - 20 апреля 2026 г.
