Как настроить DMARC: пошаговое руководство по конфигурации

Только 53,8 % компаний по всему миру настроили DMARC на своем домене, что означает, что почти половина компаний работает без критически важного уровня защиты от атак на электронную почту. Многие организации до сих пор ищут, как настроить DMARC, не понимая, что отсутствие этого протокола создает легкую точку входа для попыток подмены и фишинга.

Аутентификация электронной почты лежит в основе безопасности домена. SPF, DKIM и DMARC работают вместе, чтобы проверить, кому разрешено отправлять почту с вашего домена и как следует обрабатывать подозрительные сообщения. SPF авторизует определенные IP-адреса отправителей, DKIM применяет криптографическую подпись, которая подтверждает целостность сообщения, а DMARC использует оба эти параметра для обеспечения соблюдения политики и указания серверам-получателям, что делать, если сообщение не прошло проверку подлинности. Даже при наличии SPF и DKIM домен без DMARC остается незащищенным, так как в нем нет инструкций о том, как следует поступать с неудачными сообщениями.

Предварительные условия для настройки DMARC

Прежде чем мы перейдем к процессу настройки DMARC, убедитесь, что у вас есть все необходимое:

1. Доступ к консоли управления DNS : это необходимо для создания и публикации записей DNS.
2. Список авторизованных отправителей электронной почты: Укажите все службы и серверы, которые отправляют электронные письма от вашего имени, чтобы избежать непреднамеренной блокировки.
3. Существующая запись SPF и/или DKIM в вашем DNS: Хотя бы одна из этих записей уже должна быть настроена в вашем DNS, поскольку DMARC полагается на них для аутентификации электронной почты. SPF (Sender Policy Framework) указывает принимающему серверу, из какого домена он должен ожидать письмо, в то время как DKIM (DomainKeys Identified Mail) - это метод цифровой подписи ваших писем для проверки подлинности отправителя.

Внимание: Если вы пропускаете SPF/DKIM, DMARC не будет работать. Убедитесь, что вы правильно настроили один из них, а лучше оба, прежде чем переходить к следующим шагам.

Как настроить DMARC шаг за шагом

DMARC - это протокол аутентификации электронной почты, который указывает принимающим серверам, что делать, если письмо не проходит проверку SPF или DKIM. Он помогает защитить ваш домен от спуфинга, фишинга и несанкционированного использования.

Чтобы начать настройку DMARC DNS, выполните следующие действия.

Шаг 1: Создание DMARC-записи

Начните с создания TXT-запись DNS которая содержит вашу политику DMARC и активирует протокол на вашем домене. Запись DNS TXT - это простая текстовая запись в настройках DNS вашего домена, которая хранит важную информацию для внешних серверов, например инструкции по проверке подлинности электронной почты. Добавленная в файл зоны DNS вашего домена, она указывает принимающим почтовым серверам, как обрабатывать сообщения, утверждающие, что они исходят от вашего домена.

Чтобы сгенерировать эту запись бесплатно, воспользуйтесь нашим инструментом генератора DMARC, как показано на скриншоте выше. Когда вы откроете инструмент, вы увидите обязательные поля, которые нужно заполнить, прежде чем запись будет создана.

Упростите настройку DMARC с помощью PowerDMARC!

Шаг 2: Выбор подходящей DMARC-политики для вашей электронной почты

Тег политики p= является обязательной частью каждой записи DMARC. Он указывает принимающим почтовым серверам, что делать с письмами, которые не прошли проверки SPF и DKIM. Если этот тег отсутствует, ваша DMARC-запись становится недействительной и не будет применяться.

Шаг 3: Включите отчетность и нажмите "Создать". 

Чтобы отслеживать почтовый поток и результаты аутентификации, включите агрегатные отчеты DMARC (rua), указав адрес электронной почты, на который вы хотите их получать. Сводные отчеты DMARC - это ежедневные XML-резюме, отправляемые провайдерами почтовых ящиков, которые показывают, какие серверы отправляют почту от вашего имени, как эти сообщения проходят проверку SPF и DKIM и пытались ли какие-либо неавторизованные источники использовать ваш домен. После ввода адреса отчета нажмите "Сгенерировать", чтобы создать запись.

Шаг 4: Публикация и проверка настроек записи

После создания TXT-записи нажмите кнопку "копировать", чтобы скопировать полный синтаксис, а затем откройте консоль управления DNS.

Создайте новую запись TXT.

-В поле Host/Name введите _dmarc (или _dmarc.yourdomain.com, в зависимости от поставщика DNS).

-В поле Value/Data вставьте созданный вами синтаксис записи DMARC.

-Сохраните запись, чтобы опубликовать ее и завершить настройку DMARC.

Для получения более подробной информации ознакомьтесь с нашим полным руководством по публикации DMARC-запись в DNS. Помните, что для полного распространения обновлений DNS может потребоваться до 48 часов.

Проверка настройки DMARC

После настройки DMARC необходимо проверить конфигурации, чтобы убедиться, что вы не столкнетесь с очень распространенной ошибкой «Запись DMARC не найдена» .

Для проверки настроек вы можете бесплатно воспользоваться инструментом проверки DMARC от PowerDMARC. Чтобы использовать его:

1. Введите свое доменное имя в поле назначения (например, если URL вашего веб-сайта https://company.com, ваше доменное имя будет company.com ).
2. Нажмите на кнопку "Поиск"
3. Просмотр результатов на экране

Мы рекомендуем этот метод проверки в качестве альтернативы ручной проверке для более быстрого, точного и беспроблемного процесса.

Советы по расширенной настройке DAMRC

После завершения базовой настройки вот несколько дополнительных советов по улучшению вашей реализации:

Объяснение политик DMARC (какую выбрать?)

Чтобы предотвратить подделку ваших писем, вам необходимо настроить политику DMARC . Вы можете выбрать одну из трех основных политик:

• None (p=none): Никаких действий не предпринимается в отношении писем, не прошедших аутентификацию DMARC. Это идеально подходит для мониторинга трафика электронной почты во время первоначальной настройки.
• Карантин(p=quarantine): Неудачные письма помечаются как подозрительные и отправляются в папки спама/нежелательной почты.
• Отклонить (p=отклонить): Неудачно отправленные письма блокируются и не доставляются вообще.

Примечание: Выберите политику "none" для мониторинга электронной почты, прежде чем перейти к полному применению (p=карантин или p=отклонение).

Режимы выравнивания (строгий и расслабленный)

Расслабленное выравнивание

• Выравнивание по SPF (aspf=r):
  Выравнивание проходит, если домен в обратном пути (SPF-аутентифицированный домен) имеет тот же организационный домен, что и домен в адресе From.
  Организационный домен обычно является базовым доменом (например, example.com), не включая поддомены.

  Пример:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Проходит расслабленное выравнивание SPF, поскольку оба домена имеют один и тот же организационный домен (example.com).

• DKIM relaxed alignment (adkim=r):
  Выравнивание проходит, если домен d= в DKIM-подписи совпадает с доменом организации, указанным в адресе From.

  Пример:
  From: [email protected]
  DKIM-Signature: d=alerts.example.com
  ✔ Проходит расслабленное выравнивание DKIM, поскольку оба имеют один и тот же организационный домен (example.com).

Строгое выравнивание

• SPF strict alignment (aspf=s):
  Выравнивание проходит только в том случае, если домен обратного пути точно совпадает с доменом в адресе From.

  Пример:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Проходит строгое выравнивание.

  ❌ Если бы Return-Path был [email protected] или bounce.mail.example.com, строгое выравнивание было бы неудачным.

• Строгое выравнивание DKIM (adkim=s):
  Выравнивание проходит только в том случае, если домен d= в подписи DKIM точно совпадает с доменом в адресе From.

  Пример:
  От: [email protected]
  DKIM-подпись:[email protected]
  ✔ Проходит строгое выравнивание.

  ❌ Если d=alerts.example.com или bounce.mail.example.com, строгое выравнивание будет неудачным.

Пример настройки DMARC

Вот пример простой настройки DMARC:

v=DMARC1; р=отклонить; rua=mailto:[email protected];

Примечание : в начале пути к аутентификации электронной почты вы можете оставить политику DMARC (p) на уровне none вместо reject, чтобы контролировать поток электронной почты и решать проблемы, прежде чем переходить к строгой политике.

Синтаксис записи DMARC и необязательные теги

Синтаксис вашей настройки DMARC определяет, как будут аутентифицироваться ваши электронные письма и какие действия будут предприниматься после проверки. Давайте рассмотрим некоторые основные механизмы:

• v (обязательно): Указывает версию DMARC. Должна быть DMARC1 и отображаться первой в записи.
• p (обязательно): Определяет политику для отказов DMARC (нет, карантин или отклонение).
• rua (необязательно): Указывает адрес (адреса) электронной почты для получения сводных отчетов в формате mailto:.
• ruf (необязательно):Указывает адрес (адреса) электронной почты для получения отчетов о сбоях в экспертизе с использованием формата mailto:.
• adkim (необязательно): Устанавливает режим выравнивания DKIM на r (расслабленный) или s (строгий). Если режим не задан, по умолчанию используется режим relaxed. 
• aspf (необязательно): Устанавливает режим выравнивания SPF на r (расслабленный) или s (строгий). Если режим не задан, по умолчанию используется режим relaxed. 
• pct (необязательно): Определяет процент неудачных писем, на которые распространяется политика DMARC (по умолчанию 100).
• fo (необязательно): Управляет временем отправки отчетов о судебно-медицинской экспертизе. Варианты включают 0, 1, d и s.

Вы можете узнать больше в нашем подробном блоге о тегах DMARC . Убедитесь, что теги разделены точкой с запятой и нет лишних пробелов, чтобы сохранить правильное форматирование.

Общие ошибки при настройке DMARC, которых следует избегать

Неправильная конфигурация DMARC часто сводится к проблемам выравнивания, синтаксическим ошибкам или пробелам в текущем мониторинге. Одной из частых проблем является неправильное согласование SPF или DKIM. DMARC требует, чтобы хотя бы один из них совпадал с доменом "From". Если домены не совпадают, легитимные электронные письма могут не пройти проверку подлинности, даже если записи существуют. Это особенно часто случается, когда сторонние службы отправляют письма от вашего имени без надлежащей настройки.

Еще одним источником проблем является неправильный синтаксис в тегах DMARC. Даже небольшая ошибка форматирования, например, пропущенная точка с запятой, неподдерживаемый тег или недопустимое значение, может сделать всю запись непригодной для использования. Поскольку записи DMARC считываются машинами, точность имеет значение.

Отдельная проблема возникает, когда организации слишком рано вводят строгие правила. Переход сразу к p=quarantine или p=reject без предварительного изучения сводных отчетов может привести к блокировке легитимной почты. Отчеты дают представление обо всех отправителях, использующих ваш домен, поэтому их просмотр перед ужесточением политики помогает избежать случайных сбоев.

Кроме того, многие установки не удаются из-за того, что адреса электронной почты RUA и RUF устарели. Эти адреса для отчетов должны оставаться активными и доступными, иначе вы потеряете возможность отслеживать результаты аутентификации. Если почтовый ящик, используемый для отчетов, отключен или изменен без обновления записи DMARC, мониторинг нарушается, и проблемы остаются незамеченными.

Итоги

DMARC необходим для обеспечения безопасности вашего домена, ваших клиентов и репутации вашего бренда. При правильной настройке и регулярном мониторинге он предотвращает выдачу себя за другого, снижает фишинговые риски и обеспечивает доверие к вашим письмам.

А в условиях, когда мошенничество встречается повсеместно, сильная политика DMARC не просто блокирует угрозы. Она посылает четкий сигнал о том, что ваш домен серьезно относится к безопасности, что вы не оставляете дверь открытой, чтобы злоумышленники могли проскользнуть через нее.

Если вам нужен более быстрый, простой и точный способ управления DMARC, изучите PowerDMARC. Наша платформа упрощает настройку, предоставляет четкую отчетность и помогает поддерживать надежную защиту во всех источниках отправки. Начните бесплатную пробную версию или закажите демонстрацию, чтобы защитить свой домен уже сегодня.

Часто задаваемые вопросы (FAQ)

Сколько времени требуется для того, чтобы DMARC начал работать после установки?

DMARC начинает работать, как только распространяются изменения в DNS. В зависимости от провайдера это может занять от нескольких минут до 48 часов.

Можно ли настроить DMARC без DKIM или SPF?

Для работы DMARC необходимо установить хотя бы один из них (SPF или DKIM). Если ни один из них не установлен, DMARC не на что проверять ваши письма.

Что произойдет, если я установлю политику DMARC на "отклонение" слишком рано?

Легитимные письма могут быть заблокированы. Переход к политике отклонения перед проверкой отчёты DMARC может привести к тому, что авторизованные отправители не пройдут проверку подлинности.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Статистика фишинга по электронной почте и DMARC: тенденции в области безопасности на 2025 год — 6 января 2026 г.
• Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
• SPF Permerror: что это значит и как исправить - 24 декабря 2025 г.