Руководство по настройке DMARC: как настроить DMARC в 2025 году (не нарушая работу электронной почты)
Время чтения: 8 мин
Только 53,8% компаний по всему миру настроили DMARC на своих доменах, что делает остальные уязвимыми для угроз, распространяемых через электронную почту.
Аутентификация электронной почты — это ваша первая линия обороны. DMARC, SPF и DKIM — это протоколы аутентификации электронной почты, которые помогают предотвратить спуфинг и фишинговые атаки. SPF гарантирует, что только авторизованные IP-адреса могут отправлять сообщения от вашего имени, DKIM добавляет цифровую подпись для проверки целостности сообщения, а DMARC основывается на обоих, чтобы указать принимающим серверам, как обрабатывать письма, не прошедшие эти проверки. Без DMARC даже домены с SPF и DKIM все еще могут быть подделаны.
Избавьтесь от хлопот, настройте DMARC за несколько минут с помощью PowerDMARC и защитите свой домен уже сегодня!
Ключевые выводы
- Настройка DMARC, основанная на SPF/DKIM, защищает от подмены почты, фишинга и репутации домена.
- Запись DMARC в DNS определяет политики обработки (`none`, `quarantine`, `reject`) для неавторизованных писем.
- Правильный формат записи DMARC (например, обязательные теги `v=DMARC1`, `p=policy`) имеет решающее значение для эффективной работы и предотвращения проблем с доставкой.
- Включение отчетов DMARC (`rua`, `ruf`) позволяет получить ценные сведения о потоках электронной почты и результатах аутентификации для мониторинга.
- Регулярная проверка с помощью инструментов гарантирует правильность конфигурации, а `p=reject` обеспечивает максимальную защиту.
Предварительные условия для настройки DMARC
Прежде чем мы перейдем к процессу настройки DMARC, убедитесь, что у вас есть все необходимое:
- Доступ к консоли управления DNS : это необходимо для создания и публикации записей DNS.
- Список авторизованных отправителей электронной почты : укажите все службы и серверы, которые отправляют электронные письма от вашего имени, чтобы избежать непреднамеренной блокировки.
- Существующие записи SPF и/или DKIM в вашем DNS: по крайней мере одна из этих записей должна быть уже настроена в вашем DNS, так как DMARC использует их для аутентификации электронной почты. SPF (Sender Policy Framework) сообщает серверу-получателю, с какого домена следует ожидать получения электронной почты, в то время как DKIM (DomainKeys Identified Mail) — это метод цифровой подписи ваших электронных писем для проверки подлинности отправителя.
Предупреждение : если вы пропустите SPF/DKIM, DMARC не будет работать. Убедитесь, что вы правильно настроили один из них или, желательно, оба, прежде чем переходить к следующим шагам.
Пошаговая настройка DMARC
Чтобы начать настройку DMARC DNS, выполните следующие шаги по настройке:
Шаг 1: Создание DMARC-записи
Начните с создания записи DNS TXT, которая определяет вашу политику и устанавливает ее применение. Эта запись добавляется в файл зоны DNS вашего домена.
Чтобы создать бесплатную запись, используйте наш генератор DMARC , как показано на снимке экрана выше. После того, как вы откроете экран инструмента, вам нужно будет заполнить некоторые обязательные критерии.
Упростите настройку DMARC с помощью PowerDMARC!
Шаг 2: Выбор подходящей DMARC-политики для вашей электронной почты
Тег политики p= - это обязательный тег, который должен быть настроен в вашей конфигурации DMARC. Если его пропустить, запись будет недействительной.
Шаг 3: Включить отчетность и нажать кнопку "Генерировать"
Для мониторинга вашего почтового потока и результатов аутентификации настройте агрегированные отчеты DMARC (rua), указав адрес электронной почты, на который вы хотите получать отчеты. Наконец, нажмите кнопку «Сгенерировать».
Шаг 4: Публикация и проверка настройки записи
После завершения создания записи TXT используйте кнопку «Копировать», чтобы напрямую скопировать синтаксис, а затем перейдите в консоль управления DNS.
- Создайте новую запись TXT.
- В поле Хост/Имя введите `_dmarc` (или `_dmarc.yourdomain.com`, в зависимости от вашего провайдера DNS).
- В поле «Значение/Данные» вставьте сгенерированный вами синтаксис записи DMARC.
- Сохраните запись, чтобы опубликовать ее на своем DNS и завершить настройку DMARC.
Прочитайте наше подробное руководство о том, как опубликовать запись DMARC на вашем DNS, чтобы узнать больше. Распространение изменений DNS может занять до 48 часов, в зависимости от вашего провайдера.
Проверка настройки DMARC
После настройки DMARC необходимо проверить конфигурации, чтобы убедиться, что вы не столкнетесь с очень распространенной ошибкой «Запись DMARC не найдена» .
Для проверки настроек вы можете бесплатно воспользоваться инструментом проверки DMARC от PowerDMARC. Чтобы использовать его:
- Введите свое доменное имя в поле назначения (например, если URL вашего веб-сайта https://company.com, ваше доменное имя будет company.com ).
- Нажмите на кнопку "Поиск"
- Просмотр результатов на экране
Мы рекомендуем этот метод проверки в качестве альтернативы ручной проверке для более быстрого, точного и беспроблемного процесса.
Советы по расширенной настройке DAMRC
После завершения базовой настройки вот несколько дополнительных советов по улучшению вашей реализации:
Объяснение политик DMARC (какую выбрать?)
Чтобы предотвратить подделку ваших писем, вам необходимо настроить политику DMARC . Вы можете выбрать одну из трех основных политик:
- None (p=none): Никаких действий не предпринимается в отношении писем, не прошедших аутентификацию DMARC. Это идеально подходит для мониторинга трафика электронной почты во время первоначальной настройки.
- Карантин (p=quarantine): Неудачно доставленные письма помечаются как подозрительные и отправляются в папки со спамом/нежелательной почтой.
- Отклонить (p=отклонить): Неудачно отправленные письма блокируются и не доставляются вообще.
Примечание : выберите политику «нет» для мониторинга ваших электронных писем, прежде чем применять полную политику (p=карантин или p=отклонение).
Режимы выравнивания (строгий и расслабленный)
- Расслабленное выравнивание
Слабое выравнивание SPF: проходит, если домен в обратном пути (домен, прошедший аутентификацию SPF) имеет тот же организационный домен, что и домен в адресе отправителя.
Пример:
аспф=р;
Обратный путь: [email protected]
Проходит нестрогое согласование SPF, поскольку оба имеют общий домен организации example.com.
Смягченное выравнивание DKIM: проходит, если домен d= в подписи DKIM имеет тот же домен организации, что и домен в адресе отправителя.
Пример:
адким=р;
DKIM-подпись: d=alerts.example.com
Проходит нестрогое согласование DKIM (тот же организационный домен: example.com ).
- Строгое соответствие
Слабое соответствие SPF: проходит, если домен в обратном пути (домен, прошедший аутентификацию SPF) точно совпадает с доменом в адресе отправителя (а не просто совпадает с организацией).
Пример:
aspf=s;
Обратный путь: [email protected]
Проходит строгое выравнивание SPF, поскольку оба имеют общий домен example.com. Если бы Return-Path был bounce.mail.example.com, строгое выравнивание не удалось бы.
Смягченное выравнивание DKIM: проходит, если домен d= в подписи DKIM точно совпадает с доменом в адресе отправителя.
Пример:
адким=с;
DKIM-подпись: d=alerts.example.com
Проходит строгое выравнивание DKIM (тот же домен: example.com ). Если d=domain был bounce.mail.example.com, строгое выравнивание не пройдёт.
Пример настройки DMARC
Вот пример простой настройки DMARC:
v=DMARC1; р=отклонить; rua=mailto:[email protected];
Примечание : в начале пути к аутентификации электронной почты вы можете оставить политику DMARC (p) на уровне none вместо reject, чтобы контролировать поток электронной почты и решать проблемы, прежде чем переходить к строгой политике.
Синтаксис записи DMARC и необязательные теги
Синтаксис вашей настройки DMARC определяет, как будут аутентифицироваться ваши электронные письма и какие действия будут предприниматься после проверки. Давайте рассмотрим некоторые основные механизмы:
- v (обязательно): Указывает версию DMARC. Должен быть DMARC1 и стоять первым в записи.
- p (обязательно): определяет политику для сбоев DMARC (нет, карантин или отклонение).
- rua (необязательно): указывает адрес(а) электронной почты для получения сводных отчетов в формате mailto:.
- ruf (необязательно): указывает адрес(а) электронной почты для получения отчетов об ошибках судебной экспертизы в формате mailto:.
- adkim (необязательно): Устанавливает режим выравнивания DKIM на r (смягченный) или s (строгий). Режим по умолчанию — смягченный, если не определен.
- aspf (необязательно): Устанавливает режим выравнивания SPF на r (смягченный) или s (строгий). Режим по умолчанию — смягченный, если не определен.
- pct (необязательно): определяет процент неотправленных писем, подпадающих под действие политики DMARC (по умолчанию 100).
- fo (необязательно): Управляет отправкой отчетов по криминалистике. Возможные варианты: 0, 1, d и s.
Вы можете узнать больше в нашем подробном блоге о тегах DMARC . Убедитесь, что теги разделены точкой с запятой и нет лишних пробелов, чтобы сохранить правильное форматирование.
Настройка DMARC: что делать дальше?
После успешной настройки DMARC важно постоянно отслеживать отчеты, постепенно переходить к принудительному применению мер и попутно устранять ошибки.
Как читать отчеты DMARC?
Выше приведен небольшой фрагмент из отчета DMARC RUA. Чтобы проанализировать его вручную:
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
Используйте анализатор отчетов DMARC
Чтобы просматривать и анализировать отчеты DMARC легко, не утруждая себя чтением сложных XML-файлов, зарегистрируйтесь в PowerDMARC. Наш анализатор отчетов DMARC поможет вам визуализировать отчеты в удобном для чтения человеком формате для детальной видимости.
Безопасный переход к p=reject
При настройке DMARC важно безопасно перейти на политику ap=reject, чтобы предотвратить проблемы с доставкой. Для этого:
- Начните с p=none и включите отчеты DMARC для мониторинга трафика электронной почты.
- Через несколько недель перейдите к p=quarantine, применив его к 50% объема вашей электронной почты (используя тег pct=50).
- Постепенно применяйте его ко всем 100% объема вашей почты, настроив pct=100 (или оставьте значение по умолчанию).
- Только после того, как вы будете уверены в своих настройках, переходите к p=reject для 50% объема вашей почты (pct=50).
- Удовлетворив своей конфигурацией, примените p=reject для 100% объема вашей почты (pct=100).
Совет от профессионала : используйте наше решение Hosted DMARC для безопасного перехода к внедрению политик с поддержкой экспертов.
Устранение распространенных проблем в конфигурациях DMARC
| Проблемы | Причины | Исправления |
|---|---|---|
| Электронные письма, не прошедшие DMARC | - Несоответствие SPF/DKIM - Пересылка электронной почты - Попытки подделки - Синтаксические ошибки | - Используйте управляемые решения DMARC - Настройте SPF и DKIM с помощью настроек DMARC. - Проверьте свои записи DNS с помощью инструментов проверки записей DNS - Контролируйте свои отчеты |
| Отчеты не получены | - Неверный адрес электронной почты RUA - Поставщик электронной почты получателя не поддерживает отчеты RUF | - Убедитесь, что ваш почтовый ящик RUA действителен и активен. |
| SPF-погрешность | - Превышение лимита в 10 DNS-поисков - Превышение лимита длины символов записи SPF - Синтаксис SPF и другие ошибки конфигурации | - Использованные решения Hosted SPF - Используйте службы оптимизации SPF, такие как выравнивание или, что предпочтительнее, макросы. |
Как PowerDMARC упрощает настройку DMARC
| Характеристика | PowerDMARC | Настройка своими руками |
|---|---|---|
| Автоматизированные отчеты | ✅ Да | ❌ Ручной разбор |
| Мониторинг MTA-STS | ✅ Включено | ❌ Дополнительная настройка |
| Размещенные SPF, DKIM и DMARC | ✅ Полностью размещенный | ❌ Самостоятельное управление |
| Помощь с настройкой DNS | ✅ Встроенный мастер | ❌ Ручная настройка |
| Просмотрщик сводных отчетов | ✅ Визуальная панель управления | ❌ Необработанные XML-отчеты |
| Обработка отчетов судебной экспертизы | ✅ Шифрование PGP | ❌ Нужен специальный парсер |
| Оповещения | ✅ Оповещения в реальном времени | ❌ Нет собственных оповещений |
| Поддержка БИМИ | ✅ Доступно | ❌ Сложная ручная настройка |
| Группировка доменов | ✅ Простая группировка | ❌ Не поддерживается |
| Управление доступом пользователей | ✅ Ролевой контроль | ❌ Ручная координация |
Пример из практики: как Фонд борьбы с жировой дистрофией печени упростил настройку Enterprise DMARC с помощью PowerDMARC
«Набор инструментов, предлагаемый PowerDMARC, удобен для пользователя и позволяет интуитивно выполнять задачи по настройке таких функций, как DMARC и DKIM». – Уэйн Эскридж, генеральный директор Fatty Liver Foundation
Чтобы прочитать полную историю о том, как эта некоммерческая организация из США упростила создание и управление DMARC , ознакомьтесь с нашим практическим примером .
Часто задаваемые вопросы по настройке DMARC
- Можно ли настроить DMARC без DKIM или SPF?
Нет. DMARC полагается на результаты проверки подлинности SPF или DKIM (или обоих). Вам необходимо настроить по крайней мере один из этих протоколов (SPF или DKIM) для вашего домена перед внедрением DMARC.
- Как часто следует проверять отчеты DMARC?
Частота мониторинга зависит от нескольких факторов:
- Если вы являетесь крупным предприятием, поставщиком управляемых услуг (MSSP), управляющим безопасностью электронной почты своих клиентов, находитесь на начальных этапах развертывания или недавно ввели политику DMARC, мы рекомендуем вам регулярно проверять свои отчеты.
- Как только ситуация стабилизируется, вы можете приступить к еженедельному просмотру отчетов, уделяя особое внимание добавлению новых источников отправки.
Эксперт по кибербезопасности, генеральный директор PowerDMARC
Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.
Последние сообщения Maitham Al Lawati (см. все)
- Как создать и опубликовать запись DMARC - 3 марта 2025 г.
- Как исправить "Запись SPF не найдена" в 2025 году - 21 января 2025 г.
- Как читать отчет DMARC - 19 января 2025 г.
