Как читать отчеты DMARC: Типы, инструменты и советы

Фишинг стоит за 90% кибератак, поэтому вам и вашей команде крайне важно вам и вашей команде понимать, как читать отчеты DMARC, чтобы защитить свои данные и репутацию.

DMARC Отчеты DMARC (Domain-based Message Authentication, Reporting, and Conformance) предоставляют подробную информацию о том, как проверяется подлинность ваших писем, помогая вам внимательно следить за безопасностью электронной почты. Подтверждая, что письма действительно приходят из надежных источников, DMARC играет ключевую роль в блокировании фишинг и подделка которые могут нанести ущерб вашему бренду и подвергнуть риску ваших клиентов.

В этом блоге мы расскажем, как читать отчеты DMARC, и объясним, как использование правильных инструментов может упростить этот процесс, помогая защитить свой домен и усилить безопасность электронной почты.

Что такое отчет DMARC?

Отчеты DMARC — это диагностические отчеты, генерируемые почтовыми серверами-получателями, которые показывают, как ваши электронные письма аутентифицируются в Интернете. Они обеспечивают четкое представление о поведении электронной почты и почтовых потоках, включая результаты аутентификации SPF и DKIM для сообщений, отправленных с домена, поддерживающего DMARC.

Эти отчеты основаны на двух ключевых технологиях:

• SPF (Sender Policy Framework) проверяет, отправлено ли письмо с авторизованного сервера.
• DKIM (DomainKeys Identified Mail) проверяет, не было ли содержимое письма изменено при передаче.

В совокупности эти проверки показывают, являются ли ваши письма подлинными или потенциально мошенническими.

Как включить отчеты DMARC (пошаговая инструкция)

Прежде чем вы сможете читать отчеты DMARC, вам необходимо настроить запись DMARC, которая сообщает поставщикам почтовых ящиков куда отправлять ваши отчеты.

Шаг 1: Опубликуйте запись DMARC

Создайте запись DNS TXT для: _dmarc.yourdomain.com

Начните с режима мониторинга: v=DMARC1; p=none; rua=mailto:[email protected];

Шаг 2: Добавьте адреса для отправки отчетов (сначала rua)

• rua (агрегированные отчеты): Это основной канал отчетности DMARC, на который полагается большинство организаций.
• ruf (судебные отчеты): Необязательно. Поддержка зависит от поставщика и может вызвать опасения по поводу конфиденциальности, поэтому многие организации пропускают ее или используют с осторожностью.

Пример с обоими (только если вы намерены использовать криминалистическую отчетность):

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Шаг 3: Решите, как вы будете получать отчеты

У вас есть два практических варианта:

• Выделенный почтовый ящик: Полезен для тестирования, но необработанные отчеты поступают в виде вложений XML и становятся сложными для управления в больших объемах.
• Инструмент отчетности DMARC: Рекомендуется для постоянного мониторинга, фильтрации и создания информационных панелей, на основе которых можно принимать меры.

Шаг 4: Убедитесь, что отчеты поступают

Агрегированные отчеты часто начинают появляться в течение 24–48 часов, в зависимости от распространения DNS и циклов отчетности почтового провайдера. Если ничего не поступает, проверьте:

• запись DMARC опубликована правильно,
• почтовый ящик/служба назначения может принимать сообщения,
• и ваш домен активно отправляет электронные письма.

После включения отчетов вы сможете их прочитать. 

Как читать отчеты DMARC

Отчеты DMARC обычно приходят в формате XML в виде вложений к электронным письмам с темой «Отчет DMARC». Хотя необработанные отчеты нелегко читать напрямую, понимание их структуры помогает извлечь из них ценную информацию. 

Вы также можете найти полезные ресурсы, такие как база знаний PowerDMARC, чтобы узнать, как настраивать и интерпретировать отчеты. 

Вот как читать отчеты DMARC:

Понимание формата DMARC XML

Типичный отчет DMARC XML включает следующие ключевые разделы:

• IP-адрес источника: IP-адрес сервера-отправителя.
• Оценка политики: Действия, предпринятые на основе вашей политики DMARC
• Результаты проверок SPF и DKIM: Прошла ли каждая проверка или нет
• Детали домена: Имена доменов, участвующих в отправке и аутентификации

Расшифровка ключевых элементов необработанного отчета

При рассмотрении отчета уделяйте особое внимание следующим важным областям:

• источник_ip: Место отправления электронного письма
• оценка_политики: Решение, принятое вашей политикой DMARC (например, нет, карантин, отклонение)
• spf и dkim: Результаты, показывающие прохождение или провал. Прохождение означает, что электронное письмо соответствует стандартам аутентификации, а провал указывает на проблемы, которые могут свидетельствовать о подделке или неправильной настройке.

Ожидайте практических проблем с необработанными отчетами

При работе непосредственно с файлами XML часто возникают следующие препятствия:

• Отчеты могут поступать в сжатом виде (.zip или .gz)
• Домены с большим объемом данных могут генерировать очень большие файлы.
• Вы часто будете получать несколько отчетов от разных поставщиков, охватывающих один и тот же день.

Поэтому большинство команд отказываются от ручной проверки, когда объем отчетности увеличивается.

Выявление проблем на основе данных (SPF, DKIM, выравнивание).

Обратите внимание на этипросто потому, что SPF или DKIM были настроены неправильно. Маркетинговые инструменты, CRM-системы, платформы для рассылки новостных писем и инструменты службы поддержки должны быть добавлены в вашу запись SPF или настроены с помощью их ключей DKIM, чтобы DMARC проходил стабильно. Эти сбои особенно часто встречаются после внедрения нового инструмента, изменения домена или обновления отправки со стороны поставщика.

Предупреждающие знаки:

• Сбои в SPF или DKIM проверках
• Проблемы с выравниванием, когда домен отправителя не совпадает с доменом аутентификации
• Подозрительные IP-адреса отправителей, которые не принадлежат вам известным источникам почты

Эти флаги могут сигнализировать о попытках подражать вашего домена.

Узнайте, как Джорди Альтимира (руководитель отдела технической реализации и успеха клиентов в Pablo Herreros) достиг 100% показателя безопасности доменас помощью PowerDMARC.

Читать пример из практики Начать 15-дневную пробную версию

Типы отчетов DMARC

Отчеты DMARC в основном предоставляются в двух типах: агрегированные (RUA) и криминалистические (RUF). Оба типа служат разным целям, и большинство организаций в основном полагаются на агрегированные отчеты для непрерывного мониторинга.

1. Агрегированные отчеты DMARC (RUA)

Агрегированные отчеты DMARC предоставляют обзор аналитики и активности DMARC для домена. Они включают:

• Информация о количестве сообщений, прошедших или не прошедших проверку подлинности DMARC
• IP-адреса почтовых серверов-отправителей
• Статусы аутентификации механизмов, используемых для проверки сообщения электронной почты

Эта информация помогает узнать о спамерах и несанкционированных сторонних сервисах, неправомерно использующих ваше доменное имя.

Чтобы упростить интерпретацию этих отчетов, сводные отчеты PowerDMARC стали более читаемыми и понятными, так как они упрощены и организованы в виде диаграмм и таблиц с расширенными возможностями просмотра и фильтрации. Чтобы включить наши удобные для чтения сводные отчеты, свяжитесь с нами сегодня!

2. Отчеты DMARC Forensic Reports (RUF)

Экспертные отчеты DMARC, также известные как отчеты о неудачах, содержат подробную информацию об отдельных почтовых сообщениях, которые не прошли проверку подлинности DMARC. В некоторых случаях криминалистические отчеты DMARC могут включать:

• Все сообщение электронной почты
• Статус аутентификации
• Причина отказа неавторизованного сообщения

Отчеты о сбоях в DMARC особенно полезны при расследовании конкретных инцидентов, таких как потенциальное мошенничество с электронной почтой, злоупотребление доменными именами и подделка личности.

Отчеты о сбоях могут иногда содержать конфиденциальную информацию, что вызывает опасения по поводу конфиденциальности, если злоумышленник получит к ним доступ. Это побудило PowerDMARC упростить PGP-шифрование этих отчетов, гарантируя, что только вы имеете доступ к конфиденциальному контенту.

Объяснение полей отчета DMARC

Отчеты DMARC aggregate (RUA) обычно поступают в формате XML и содержат несколько «записей». Каждая запись представляет собой активность электронной почты от определенного источника отправки (обычно IP-адрес) и показывает, как этот источник выполнял вашу политику DMARC. Как только вы поймете значение ключевых полей, вам будет гораздо проще идентифицировать легитимных отправителей, обнаруживать несанкционированное использование и исправлять проблемы с согласованием SPF/DKIM.

Ключевые поля DMARC, которые вы увидите в сводных отчетах (RUA)

Как эти поля взаимодействуют друг с другом

Распространенной ошибкой является восприятие DMARC как простой проверки «SPF pass/DKIM pass». DMARC также проверяет, соответствует ли SPF или DKIM домену в header_from. Вот почему вы можете увидеть, что SPF или DKIM показывают «прошел», но DMARC все равно не проходит для этой записи.

Используйте эти комбинации для быстрой интерпретации записей:

• DMARC прошел: SPF или DKIM проходит проверку и соответствует header_from
• Неудача DMARC: Ни SPF, ни DKIM не достигают согласования с header_from
• SPF проходит, но DMARC проваливается: SPF может пройти, но envelope_from домен не совпадает с header_from
• DKIM проходит, но DMARC проваливается: DKIM может пройти, но dkim_domain не совпадает с header_from
• Большой объем от неизвестного источника_ip: Часто указывает на неавторизованного отправителя, упущенную систему или неправильно настроенный сторонний сервис.

После того как вы поймете эти поля, чтение отчетов DMARC станет гораздо более практичным. Следующим шагом является просмотр записей в порядке приоритета, начиная с источников, генерирующих наибольший объем или наибольший процент сбоев.

Общие проблемы, обнаруженные в отчетах DMARC

Агрегированные отчеты DMARC часто выявляют проблемы, которые влияют на аутентификацию, безопасность домена и доставку электронной почты. Это проблемы вы можете столкнуться чаще всего, и что они означают.

• Несоответствие SPF или DKIM: это происходит, когда электронные письма проходят проверку SPF или DKIM, но используемые домены не совпадают с доменами, которые получатели видят в заголовке «От». Несоответствие приводит к сбою DMARC, даже если основные проверки аутентификации прошли успешно. В большинстве случаев для устранения этой проблемы необходимо настроить службы отправки так, чтобы домен Return-Path (идентификатор SPF) и/или домен подписи DKIM совпадали с доменом «От», а затем подтвердить изменение в следующем цикле сводных отчетов.
• Неавторизованные источники отправки: Отчеты DMARC могут показывать серверы, отправляющие электронные письма от от вашего имени без разрешения. Это могут быть старые системы, неправильно настроенные сторонние службы или злоумышленники. Выявление и удаление неавторизованных отправителей имеет решающее значение для защиты вашего домена от подделки.
• Неправильно настроенные почтовые сервисы (маркетинговые платформы, CRM, инструменты для продажи билетов и т. д.): Часто легитимные службы не проходят аутентификацию просто потому, что SPF или DKIM были настроены неправильно. Маркетинговые инструменты, CRM-системы, платформы для рассылки новостей и инструменты службы поддержки должны быть добавлены в вашей записи SPF или настроены с помощью ключей DKIM, чтобы стабильно проходить DMARC.
• Высокий процент неудачных отправлений и что он означает: Большой процент неудачных писем в отчетах DMARC сигнализирует о серьезных проблемах; это может указывать на попытки подражания, несоответствие или отсутствие аутентификации важных отправителей. Высокий процент неудач требует немедленного внимания, чтобы предотвратить потерю доставляемости и потенциальное злоупотребление вашего домена.

Лучшие практики управления отчетами DMARC

Профессиональный совет: автоматизировать анализ отчетов DMARC, чтобы сэкономить время и избежать ошибок при ручной работе. В остальном следуйте этим рекомендациям:

Автоматизируйте синтаксический анализ с помощью инструментов

Агрегированные отчеты DMARC поступают в формате XML, который может быть сложен для чтения вручную. Использование инструмента анализа DMARC автоматизирует разбор, преобразует отчеты в информационные панели или сводки и помогает обнаружить несоответствия, неавторизованных отправителей или шаблоны, которые вы могли пропустить.

Проверяйте отчеты еженедельно или ежемесячно

Постоянный контроль гарантирует вы сможете своевременно обнаруживать новые проблемы. Еженедельные проверки хорошо подходят для доменов с большим объемом данных, в то время как для небольших сред достаточно ежемесячных проверок. Регулярный мониторинг гарантирует, что все ваши источники отправки остаются аутентифицированными и согласованными по мере развития вашей настройки.

Отслеживайте источники IP-адресов и сторонних отправителей

Отчеты DMARC показывают каждый сервер, который отправляет почту от от вашего имени, даже те, о которых вы, возможно, забыли. Отслеживание этих IP-адресов помогает вы определить, какие отправители являются легитимными, а какие необходимо удалить, аутентифицировать или изучить более внимательно. Это становится особенно важным, когда вы используете сразу несколько инструментов, например маркетинговые платформы, CRM или системы обработки заявок, которые отправляют письма под вашим доменом.

Поддерживайте согласованность действий всех служб отправки

Каждая используемая вами служба , которую вы используете, должна пройти проверку SPF или DKIM и соответствовать вашему домену; в противном случае DMARC не сработает, даже если все остальное выглядит нормально. Легко упустить из виду одну или две платформы (особенно старые интеграции), поэтому стоит дважды проверить, что каждая из них настроена с правильными заявлениями SPF include или ключами DKIM. Когда все отправители выстроены правильно, вся цепочка аутентификации становится гораздо более стабильной. Это позволяет снизить уровень отказов и защитить ваш домен от злоупотреблений.

Следующий шаг

Понимание отчетов DMARC является ключом к защите вашего домена электронной почты от поддельных писем и фишинговых атак. Следуя инструкциям в этом руководстве, вы сможете эффективно контролировать аутентификацию электронной почты и принимать меры против угроз.

Ключевые меры, которые необходимо принять сейчас:

1. Включите отчетность DMARC, настроив записи DNS с тегами rua/ruf.
2. Используйте автоматизированные инструменты для упрощения анализа и интерпретации отчетов.
3. Установите регулярный график проверок (еженедельный или ежемесячный)
4. Вести учет всех авторизованных источников отправки электронных писем
5. Постепенно вводите более строгие политики DMARC по мере улучшения аутентификации.

Готовы упростить безопасность своей электронной почты? Такие инструменты, как DMARC Report Reader от PowerDMARC, преобразуют сложные XML-данные в понятные и полезные аналитические сведения, которые помогают защитить ваш домен от фишинга и спуфинга.

Часто задаваемые вопросы (FAQ)

1. Как отчеты DMARC помогают повысить безопасность электронной почты?

Они показывают, какие электронные письма проходят или не проходят аутентификацию, помогая вам обнаруживать и предотвращать попытки подделки или фишинга, направленные на ваш домен.

2. Как часто генерируются отчеты DMARC?

На платформе PowerDMARC отчеты DMARC генерируются и систематизируются ежедневно, еженедельно или ежемесячно, в зависимости от ваших предпочтений.

3. Как улучшить свой DMARC-рейтинг?

Вы можете улучшить свои показатели DMARC, устранив проблемы с аутентификацией, согласовав SPF и DKIM и постепенно применяя более строгие политики DMARC.

4. Какие действия я могу предпринять на основании отчетов DMARC?

Вы можете выявлять неавторизованных отправителей, изменять настройки электронной почты и блокировать мошеннические письма.

5. Что означает получение отчета DMARC?

Это означает, что получатель делится информацией о том, как проходит аутентификация ваших писем и были ли какие-либо неудачные проверки.

6. Почему я получаю сводные отчеты DMARC?

Вы получаете сводные отчеты DMARC, потому что у вас есть запись DMARC, опубликованная с тегом rua. Эти отчеты отправляются почтовыми провайдерами, чтобы помочь вам отслеживать, как ваш домен используется для аутентификации электронной почты.

7. Как проверить отчет DMARC?

Вы можете проверить свои отчеты DMARC, перейдя по адресу электронной почты, указанному в теге rua, или с помощью инструмента анализа DMARC, который автоматически обрабатывает и визуализирует данные XML для облегчения интерпретации.

8. Кто генерирует отчеты DMARC?

Отчеты DMARC генерируются и отправляются получающими почтовыми серверами и крупными почтовыми провайдерами, такими как Gmail, Yahoo, Outlook и другими почтовыми службами, которые обрабатывают электронные письма с вашего домена.

9. Куда отправлять отчеты DMARC?

Отчеты DMARC могут быть отправлены на адрес электронной почты, указанный в теге rua вашей вашей записи DMARC.

У вас есть два варианта решения этой задачи:

1. Специальный почтовый ящик , который вы создаете (например, [email protected]).
2. Сторонняя служба анализа DMARC. Это рекомендуемый вариант, так как они обрабатывают сложные XML-отчеты в удобные для пользователя информационные панели.

10. Кто отправляет отчеты DMARC?

Отчеты DMARC отправляются принимающими почтовыми серверами и провайдерами почтовых ящиков.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
• Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
• SPF Permerror: как исправить слишком много DNS-запросов — 24 декабря 2025 г.