DMARCbis - что меняется и как подготовиться

DMARCbis — это долгожданное обновление исходной спецификации DMARC, определенной в RFC 7489. Оно вносит структурные изменения в принципы работы DMARC, устраняет устаревшие элементы и проясняет давние неясности, связанные с привязкой доменов и обработкой политик.

Хотя это обновление не влечет за собой сбоев в работе, оно изменяет порядок определения границ доменов, применения политик к поддоменам, а также интерпретации или удаления определенных тегов.

В этом руководстве объясняется, что изменится, что останется прежним и что вам следует делать дальше.

Что такое DMARCbis?

DMARCbis — это обновленная спецификация протокола DMARC (Domain-based Message Authentication, Reporting, and Conformance), разработанная IETF.

Первоначальная спецификация DMARC (RFC 7489) была опубликована в качестве информационного документа.

DMARCbis продвигается в качестве «предлагаемого стандарта», что свидетельствует о более широком консенсусе и более четких рекомендациях по внедрению.

Обновление посвящено трем основным направлениям:

• Устранение неоднозначности в порядке оценки доменов
• Упрощение протокола за счёт отказа от использования неиспользуемых тегов
• Предоставление владельцам доменов большего контроля над наследованием политик

Важно отметить, что DMARCbis оставляет параметр v=DMARC1 без изменений, поэтому существующие записи продолжают работать.

Что заменяет DMARCbis?

DMARCbis объединяет и заменяет:

RFC 7489 – исходная спецификация DMARC

RFC 9091 – расширение DMARC для домена с публичным суффиксом (PSD)

Это важно, поскольку поддержка PSD теперь встроена в основную спецификацию с помощью тега psd. Внешние зависимости, такие как список Public Suffix List, больше не требуются. Границы доменов определяются непосредственно в DNS.

Каковы основные изменения в DMARCbis?

1. Обход дерева DNS заменяет список общедоступных суффиксов

DMARCbis заменяет список Public Suffix List (PSL) на собственный механизм DNS, называемый «обходом дерева DNS». Вместо использования стороннего списка он определяет домен организации путем непосредственного обхода дерева DNS.

Как это работает:

Возьмём, к примеру, этот домен: mail.marketing.example.com

Получатель проверяет наличие записи DMARC в следующем порядке:

1. mail.marketing.example.com
2. marketing.example.com
3. example.com
4. com

На каждом уровне он ищет запись DMARC с тегом psd:

• psd=n → это домен организации → конец
• psd=y → это общедоступный суффикс → остановиться
• psd=u или отсутствует → продолжить вверх

Поиск прекращается не позднее 8-го уровня.

Такой подход позволяет отказаться от использования внешних списков, дает владельцам доменов возможность контролировать границы доменов и делает поведение более предсказуемым в различных системах.

2. Устаревшие теги: «pct», «rf», «ri»

DMARCbis удаляет следующие теги:

• «pct» (тег «Percentage» для принудительного применения на основе процентов)
• «rf» (форматсудебного отчета)
• «ri» (интервал отчёта)

Они редко использовались последовательно и только усложняли ситуацию, не принося при этом явной пользы.

Примечание по поводу тега pct: некоторые организации использовали pct для постепенного внедрения политик DMARC. Его удаление упрощает протокол, но при этом лишает возможности поэтапного внедрения.

Мнение PowerDMARC: поэтапное внедрение по-прежнему имеет большое значение, однако этот процесс следует организовывать на операционном уровне, а не полагаться на непоследовательную поддержку со стороны получателей.

3. Введены новые теги: «psd», «np», «t»

«psd» (домен с общедоступным суффиксом)

Тег «psd» явно определяет тип домена и контролирует, где завершается обход дерева DNS:

• psd=y → домен с публичным суффиксом (например, операторы доменов верхнего уровня)
• psd=n → организационная область
• psd=u → неизвестно (поведение по умолчанию, если параметр не указан)

«np» (Политика в отношении несуществующих доменов)

Тег «np» определяет политику в отношении несуществующих субдоменов и предотвращает злоупотребление неиспользуемыми или незарегистрированными субдоменами.
Пример: np=reject
«t» (режим тестирования)

Тег t указывает, что домен находится в тестовом режиме.

• Это не переопределяет политику («p», «sp», «np»)
• Это носит исключительно рекомендательный характер
• Получатели могут решить, выполнять ли это

Изменения в сводном отчете (RUA)

DMARCbis выделяет агрегированную отчетность в отдельную спецификацию. Хотя это не нарушает текущий процесс отчетности, оно сигнализирует о будущих изменениях.

Основные выводы:

• Формат отчетности дорабатывается в отдельном проекте IETF
• Структура XML может изменяться в целях обеспечения большей согласованности
• Со временем порядок представления отчетности станет более стандартизированным

Списки рассылки и рекомендации по отклонению

DMARCbis содержит более четкие рекомендации по спискам рассылки.

Пользователям доменов, участники которых активно публикуют сообщения в списках рассылки, не рекомендуется использовать параметр p=reject, поскольку это приводит к отклонению легитимных писем по следующим причинам:

• В списках рассылки сообщения часто редактируются
• Это приводит к нарушению подписей DKIM
• Выравнивание SPF обычно завершается неудачей

Если ваши пользователи участвуют в публичных списках рассылки, избегайте применения жестких правил отклонения сообщений, если вы не до конца понимаете, к каким последствиям это может привести.

Что осталось без изменений в DMARCbis?

DMARCbis обратно совместим, что, по сути, означает, что даже после его официального внедрения ваша существующая запись DMARC без современных обновлений по-прежнему будет работать исправно. Вот некоторые моменты, которые останутся без изменений:

• Существующие записи с параметром v=DMARC1 продолжают работать
• Механизмы согласования SPF и DKIM остаются без изменений
• Основные теги, такие как «p», «sp», «rua» и «ruf», по-прежнему играют ключевую роль

До и после: примеры записей DMARC

До (старая запись):

После (с учетом DMARCbis):

Узнайте, как опубликовать запись DMARC.

Кто за что отвечает?

Как подготовиться к внедрению DMARCbis?

Важно отметить, что, хотя в данный момент никаких немедленных изменений не требуется, своевременная подготовка позволяет снизить риски в будущем. Чтобы подготовиться к DMARCbis, воспользуйтесь приведенным ниже кратким контрольным списком:

Познакомьтесь с DMARCbis от PowerDMARC

PowerDMARC полностью готов обеспечить поддержку перехода на DMARCbis. По мере развития спецификации мы гарантируем, что ваша конфигурация будет оставаться совместимой без каких-либо сбоев. Вот как мы можем вам помочь:

• Генератор записей, совместимый с DMARCbis: наш генератор уже поддерживает новые теги np, psd и t, а также помечает устаревшие теги, такие как pct, rf и ri, для удаления, избавляя вас от необходимости гадать, какие теги следует оставить, а какие удалить.
• Хостируемый DMARC с автоматическими обновлениями: если вы пользуетесь нашим сервисом Hosted DMARC, мы обновляем вашу запись по мере доработки спецификации. Когда DMARCbis переходит из стадии «Last Call» в статус «Proposed Standard», ваша конфигурация обновляется автоматически.
• Централизованный обзор всех доменов: отслеживайте в режиме реального времени, что работает, а что выходит из строя, благодаря предупреждениям об устаревших тегах, рекомендациям экспертов и всплывающим подсказкам.
• Анализ политики в отношении субдоменов и несуществующих доменов: DMARCbis вводит показатель np для несуществующих субдоменов. Наша платформа помогает вам эффективно проводить аудит субдоменов и управлять ими, устраняя уязвимости, которыми могут воспользоваться злоумышленники.
• Профессиональная поддержка по вопросам интерпретации и внедрения новых изменений: наша служба поддержки работает круглосуточно и без выходных, чтобы помочь вам разобраться в изменениях и спланировать переход. Для получения оперативной помощи по типичным проблемам вы также можете воспользоваться нашим встроенным AI-помощником DMARC.

Заключительные размышления

DMARCbis повышает ясность, упрощает внедрение и предоставляет владельцам доменов больше контроля над применением политик. Хотя эти изменения не носят срочного характера, они имеют большое значение, и организациям следует учитывать предстоящие обновления при анализе своей системы аутентификации. Подготовка уже сейчас гарантирует, что ваша система аутентификации электронной почты останется стабильной, предсказуемой и будет соответствовать следующей версии стандарта.

Хорошая новость: вам не придется переходить на DMARCbis в одиночку! Наша команда экспертов готова помочь вам с легкостью ориентироваться в изменениях в отрасли и требованиях к отправителям электронной почты, при этом вам не понадобятся никакие технические знания. Свяжитесь с нами уже сегодня, чтобы начать работу!

Часто задаваемые вопросы

DMARCbis уже опубликован?

Нет. В настоящее время он находится на этапе «последнего призыва» в IETF и, как ожидается, станет «предлагаемым стандартом».

Обеспечивает ли DMARCbis обратную совместимость?

Да, DMARCbis обратно совместим, то есть существующие записи DMARC продолжают работать, поэтому нет необходимости спешить с настройкой или паниковать.

Мне нужно обновить запись DMARC прямо сейчас?

В настоящее время нет необходимости спешить с обновлением записи DMARC. Однако рекомендуется удалить устаревшие теги, чтобы обеспечить соответствие требованиям в будущем.

Влияет ли DMARCbis на SPF или DKIM?

DMARCbis не влияет на аутентификацию по протоколам SPF или DKIM, поскольку он изменяет лишь то, как DMARC оценивает соответствие и политики.

• О сайте
• Последние сообщения

Юнес Тарада

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

• Объяснение DMARCbis — что меняется и как подготовиться - 16 апреля 2026 г.
• Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.
• Как отправлять защищенные письма в Gmail: пошаговое руководство - 7 апреля 2026 г.