Можно ли создать две записи SPF для одного домена?

Нет. Согласно стандарту RFC 7208, для каждого домена должна быть указана ровно одна запись SPF типа TXT. Если для домена существует две записи, начинающиеся с v=spf1, принимающие серверы возвращают ошибку PermError и считают проверку SPF неудачной для каждого сообщения. Если вам необходимо авторизовать дополнительные источники, отредактируйте существующую запись, чтобы добавить их, а не создавайте новую.

В чём разница между -all и ~all?

-all — это жесткий отказ, который предписывает принимающим серверам отклонять письма с неавторизованных IP-адресов. ~all — это мягкий отказ, который помечает неавторизованные письма, но не обязывает их отклонять. На практике, когда DMARC применяется с параметрами p=quarantine или p=reject, разница минимальна, поскольку политика DMARC имеет приоритет над квалификатором SPF. Если у вас настроен DMARC в режиме принудительного применения, подойдет любой из вариантов. Если у вас пока нет DMARC, параметр -all обеспечивает более надежную защиту.

Сколько IP-адресов можно добавить в запись SPF?

Жесткого ограничения на количество механизмов ip4: или ip6: нет. Они не учитываются при подсчете лимита в 10 запросов DNS. Однако общий объем записи SPF должен укладываться в ограничения по размеру записи DNS TXT (255 символов на строку, при этом несколько строк могут быть объединены в одну длиной до примерно 4 096 символов). Для больших списков IP-адресов используйте нотацию CIDR (например, ip4:192.0.2.0/24), чтобы эффективно охватить диапазоны.

Сколько времени требуется, чтобы защита SPF начала действовать?

Это зависит от значения TTL (Time to Live) вашей записи DNS. Если значение TTL равно 3600 (1 час), большинство серверов преобразования имен обновят данные в течение 1 часа. Чтобы ускорить процесс: перед внесением изменений уменьшите значение TTL до 300 (5 минут), дождитесь истечения срока действия старого значения TTL, а затем внесите изменения. Это значительно сокращает время распространения изменений.

Как узнать, с каких IP-адресов в данный момент отправляются письма с моего домена?

Наиболее надежным методом является отчетность DMARC. Когда вы публикуете запись DMARC с тегом rua, принимающие серверы ежедневно отправляют сводные отчеты, в которых перечислены все IP-адреса, с которых предпринимались попытки отправки писем с вашего домена, а также результаты проверки SPF и DKIM (прошел/не прошел). Без DMARC вам приходится только гадать. PowerDMARC преобразует эти отчеты в понятные и удобные для восприятия панели мониторинга, благодаря чему вы можете точно видеть, кто отправляет письма с вашего домена.

Включаются ли механизмы IPv4 и IPv6 в ограничение на 10 запросов DNS?

Нет. В лимит учитываются только те механизмы, которые требуют DNS-запроса: include, a, mx, redirect и exists. Механизмы ip4, ip6 и all обрабатываются локально и не требуют DNS-запросов.

Достаточно ли Windows Defender для обеспечения безопасности малого бизнеса?

Ключевые выводы

Вывод: Microsoft Defender — отличный инструмент для защиты конечных устройств, но неэффективный средство защиты бренда. Он защищает устройства, но оставляет идентификационные данные вашего домена уязвимыми для подделки.
Пробел между входящими и исходящими сообщениями: Defender предназначен для блокирования угроз, поступающих в ваш почтовый ящик. Он практически не способен предотвратить отправку хакерами писем, которые выглядят так, будто они пришли с вашего домена.
Проблема с платформой: хотя Defender «встроен» в Windows, для его эффективного управления в macOS и iOS требуются значительные знания и опыт, что зачастую приводит к появлению уязвимостей в гибридных средах.
Решение «Better Together»: сочетание Defender (для защиты устройств) и PowerDMARC (для защиты идентификационных данных) обеспечивает отказоустойчивость корпоративного уровня без необходимости создания многочисленной ИТ-команды.

Согласно отчету IBM «Стоимость утечки данных в 2025 году », средняя стоимость утечки данных оценивается в 4,44 млн долларов. Если вы отвечаете за безопасность своей организации в 2026 году, вы, вероятно, ощущаете необходимость консолидации. Поскольку Microsoft Defender теперь входит в состав многих планов Microsoft 365 (M365), консолидация под одним поставщиком выглядит заманчиво. Она обещает упрощенную инфраструктуру, снижение затрат и удобство управления «одним поставщиком».

Краткий ответ: Microsoft Defender — это основа мирового уровня для обеспечения безопасности конечных устройств, но это не полноценная стратегия безопасности. Он защищает ваши устройства, но оставляет без защиты идентичность вашего домена, репутацию вашего бренда и бесперебойную работу электронной почты.

Что на самом деле защищает Microsoft Defender?

Чтобы определить, «достаточно» ли Defender, сначала нужно разобраться, чем он на самом деле занимается. Программа вышла за рамки своего первоначального назначения — простого антивируса — и превратилась в сложную платформу, основанную на анализе поведения, — однако сфера её действия имеет чёткие границы.

1. Антивирус Windows Defender (базовый вариант)

Это по-прежнему основной сигнатурный движок, встроенный в каждое устройство под управлением Windows 10 и 11. Он отлично справляется с обнаружением известного вредоносного ПО, но в эпоху полиморфных угроз, создаваемых с помощью искусственного интеллекта, сигнатурное обнаружение является лишь «входным билетом» в мир безопасности.

2. Microsoft Defender для бизнеса (мощное решение для малых и средних предприятий)

Разработанный специально для компаний с числом пользователей до 300 человек, этот пакет является жемчужиной уровня M365 Business Premium. В нем реализована технология Endpoint Detection and Response (EDR). В отличие от традиционных антивирусных программ, EDR использует искусственный интеллект для выявления «подозрительного поведения». Если ноутбук внезапно начинает шифровать файлы или связываться с неизвестным сервером C2 (Command and Control), Defender может автоматически изолировать это устройство, зачастую еще до того, как ваша ИТ-команда получит соответствующее уведомление.

3. Defender для Office 365 (страж входящих сообщений)

Этот уровень ориентирован на входящий поток данных. В 2026 году он будет использовать крупные языковые модели (LLM) для проверки «безопасных ссылок» и «безопасных вложений». Он способен определять «тональность» фишингового письма, выявляя мошеннические запросы на банковский перевод даже в том случае, если письмо не содержит вредоносных ссылок.

Бесплатные и платные версии: краткий обзор

Встроенный антивирус Windows Defender поставляется вместе с Windows без дополнительной платы — он обеспечивает только антивирусную защиту и базовое обнаружение угроз. Microsoft Defender for Business — это платная подписка (доступная отдельно или в составе M365 Business Premium), которая включает функции EDR, управления уязвимостями и автоматизированного расследования. Ни один из этих уровней не настраивает и не управляет протоколами SPF, DKIM или DMARC — это полностью отдельный уровень DNS.

Характеристика	Defender (бесплатно)	Defender для бизнеса	DMARC / PowerDMARC
Вредоносное ПО / антивирус	Охвачено	Охвачено	Неприменимо
Система обнаружения и реагирования на угрозы на конечных устройствах (EDR)	Не входит в комплект	Охвачено	Неприменимо
Фильтр входящего фишинга	Не входит в комплект	Требуется дополнение	Охвачено
Подделка домена — исходящий трафик	Не входит в покрытие	Не входит в покрытие	Охвачено
Контроль соблюдения DMARC и отчетность	Не входит в покрытие	Не входит в покрытие	Охвачено
Управление SPF / DKIM	Не входит в покрытие	Не входит в покрытие	Охвачено
Защита приостановленных доменов	Не входит в покрытие	Не входит в покрытие	Охвачено
Узнаваемость бренда BIMI	Не входит в покрытие	Не входит в покрытие	Охвачено

Microsoft Defender и Defender for Business — в чём разница?

Частое источником путаницы является наименование продуктов. Вот их сравнение:

Характеристика	Windows Defender (бесплатно)	Defender для бизнеса (платная версия)
Входит в состав Windows	Да	Нет — платная подписка
Антивирус и вредоносное ПО	На основе подписи	ИИ и поведенческий анализ
Обнаружение и реагирование на угрозы на конечных устройствах	Нет	Да
Управление уязвимостями	Нет	Да
Защита от фишинга в электронной почте (Безопасные ссылки)	Нет	Дополнение Defender для Office 365
Поддержка DMARC	Нет	Нет
Защита от подделки доменных имен	Нет	Нет

Основной вывод: Defender for Business значительно расширяет возможности защиты конечных устройств, однако ни один из уровней не обеспечивает аутентификацию на уровне домена. Этот пробел сохраняется независимо от того, какой уровень Defender вы используете.

В чём Microsoft Defender не дотягивает для малых предприятий?

Если Defender настолько эффективен, почему малые предприятия по-прежнему становятся жертвами кибератак? Ответ кроется в различии между защитой конечных устройств (защита самого компьютера) и защитой идентичности/бренда (защита вашего имени).

1. Проблема «трения» между платформами

В 2026 году лишь немногие малые предприятия будут на 100 % использовать Windows. Скорее всего, у вас дизайнеры работают на macOS, сотрудники отдела продаж — на iPhone, а удаленные сотрудники — на Android.

Хотя Defender поддерживает эти платформы, он не является нативным приложением. Чтобы обеспечить защиту корпоративного уровня на Mac, необходимо управлять им с помощью инструмента MDM (управление мобильными устройствами), такого как Intune. Это требует уровня технической компетенции, которого зачастую не хватает многим малым предприятиям. При неверной настройке эти устройства, не работающие под управлением Windows, становятся огромной «слепой зоной», где сбор телеметрических данных происходит нерегулярно, а контроль за соблюдением политик — недостаточно строгий.

2. Подделка на уровне домена: «слепое пятно» исходящего трафика

Это самый серьезный стратегический пробел. Defender — это «страж» входящего трафика. Он не дает хакерам отправлять вам электронные письма. Но он не может помешать хакерам отправлять электронные письма вашим клиентам, выдавая себя за вас.

Злоумышленники используют подделку домена для отправки поддельных счетов вашим клиентам. Поскольку электронное письмо выглядит на 100 % достоверно и использует ваш реальный домен, оно обходит базовые фильтры. Defender не может предотвратить это, поскольку решение не работает на устройстве или в почтовом ящике; оно работает в системе DNS (система доменных имен).

3. Отсутствие мер по обеспечению соблюдения DMARC или отчетности

Defender не настраивает и не управляет записями SPF, DKIM или DMARC — их необходимо настраивать отдельно в системе DNS. В системе отсутствует встроенный механизм анализа отчетов DMARC или рабочий процесс обеспечения соблюдения политик, в результате чего малые предприятия не имеют возможности отслеживать, кто отправляет электронные письма от имени их домена.

Стоит отметить: ранее Microsoft 365 не всегда строго соблюдал политики DMARC с параметром p=reject в отношении входящей почты, в связи с чем администраторам приходилось настраивать правила транспорта вручную, чтобы обеспечить отклонение таких писем. Однако в последнее время ситуация изменилась.

4. Страховое покрытие не распространяется на припаркованные или неактивные домены

Домены, которые не используются для рассылки электронной почты, подвержены такой же опасности подделки. Если у вас есть домены yourbrand.net или yourbrand.org, но вы не используете их для рассылки, злоумышленники могут выдать себя за эти домены. Defender не имеет доступа к этой информации.

Согласно отчету IBM «Стоимость утечки данных», социальная инженерия и человеческий фактор по-прежнему остаются основными причинами утечек данных. В 2026 году «чистый фишинг» станет нормой: электронные письма без вложений и ссылок, содержащие лишь убедительную просьбу о «срочном» платеже.

Поскольку EDR не может обнаружить вредоносное ПО, Defender часто не реагирует. Для защиты от этого требуется многоуровневый подход, включающий применение протокола DMARC, который проверяет подлинность отправителя на уровне протокола.

6. Проблема недостаточной отказоустойчивости электронной почты

Малые предприятия зачастую полностью полагаются на продукты Microsoft. Однако в случае глобального сбоя в работе M365 одновременно нарушается как связь, так и контроль над безопасностью. Для обеспечения отказоустойчивости необходима независимая «страховочная сетка», которая позволит поддерживать работу почты даже при выходе из строя основной платформы.

Что следует добавить малым предприятиям в Microsoft Defender?

Чтобы перейти от «базового» уровня кибербезопасности малого бизнеса к «корпоративному», необходимо обеспечить защиту идентификационных данных вашего домена. Именно этим уровнем Defender не занимается.

SPF (Sender Policy Framework): список IP-адресов, имеющих право отправлять почту от вашего имени.
DKIM (DomainKeys Identified Mail): цифровая подпись, гарантирующая, что электронное письмо не было подделано во время передачи.
DMARC (Domain-based Message Authentication, Reporting, and Conformance): политика, определяющая, как принимающим серверам следует действовать в случае, если электронное письмо не проходит проверку SPF или DKIM.
МФА (многофакторная аутентификация): Включение МФА для всех учетных записей — это одна из наиболее эффективных и наименее затратных мер, которые может принять любая малая компания.

С 2026 года использование протоколов SPF, DKIM и DMARC станет обязательным. Крупные провайдеры, такие как Google и Yahoo, теперь требуют их применения. Без них страдает доставляемость вашей почты, а ваши маркетинговые письма рискуют оказаться прямо в спаме.

Для малых предприятий, которые хотят настроить и управлять аутентификацией электронной почты без глубоких технических знаний, PowerDMARC предлагает автоматизированное решение по предотвращению подделки адресов электронной почты, которое преобразует сложные данные DMARC в понятные отчеты — тем самым заполняя именно тот пробел, который оставляет Defender.

Как PowerDMARC восполняет пробелы, оставленные Microsoft Defender?

Основное отличие заключается в направленности: Microsoft Defender защищает компьютер, а PowerDMARC — бренд. Многие малые предприятия сталкиваются с трудностями при использовании DMARC для Office 365, поскольку встроенные инструменты Microsoft предназначены для доставки почты, а не для подробной аналитики.

1. Автоматизация SPF на хостинге

Пользователи M365 часто сталкиваются с «ограничением в 10 запросов». Записи SPF ограничены 10 запросами DNS; если вы используете M365, HubSpot и Salesforce, вы превысите этот лимит. Услуга Hosted SPF от PowerDMARC (на базе технологии Macros) автоматизирует этот процесс, оптимизируя ваши записи, благодаря чему вы никогда не провалите проверку аутентификации, независимо от того, сколько облачных инструментов вы добавите.

2. Аналитика угроз на базе искусственного интеллекта и удобные для восприятия информационные панели

В то время как Defender использует ИИ для обнаружения вирусов, PowerDMARC применяет ИИ для определения намерений отправителя. Платформа использует основанное на ИИ картографирование угроз, чтобы определять географическое положение и репутацию серверов, попавших в черный список, которые пытаются использовать ваш домен. Вместо непонятных отчетов в формате XML вы получаете наглядную карту, позволяющую одним щелчком мыши разрешать или блокировать отправителей.

3. BIMI (индикаторы бренда для идентификации сообщений)

В 2026 году безопасность — это еще и сигналы доверия. Технология BIMI (Brand Indicators for Message Identification) позволяет отображать проверенный логотип в папке «Входящие» получателя. Microsoft Defender не поддерживает эту функцию. Хостинговый сервис BIMI от PowerDMARC управляет вашим сертификатом VMC (Verified Mark Certificate), повышая узнаваемость бренда в поддерживаемых почтовых клиентах и подтверждая подлинность.

4. Автоматизированная экспертиза DMARC с удалением персональных данных

Малые предприятия в отраслях, подпадающих под регулирование (HIPAA, GDPR), должны найти баланс между обеспечением прозрачности мер безопасности и соблюдением конфиденциальности. Инструменты PowerDMARC для составления отчетов по результатам расследований автоматически маскируют персональные данные (PII), при этом сохраняя доказательства атаки, что позволяет вам получать необходимую информацию без риска нарушения нормативных требований.

5. Защита мультиоблачных сред и припаркованных доменов

PowerDMARC не зависит от конкретной платформы. Его функция «Защита припаркованных доменов» гарантирует, что хакеры не смогут использовать ваши неактивные домены (например, варианты с расширениями .net или .org) для рассылки фишинговых писем — это распространенный прием, который полностью ускользает от внимания систем безопасности на уровне устройств.

6. Автоматизация MTA-STS и TLS-RPT

Шифрование при передаче данных — это последний элемент. PowerDMARC автоматизирует протокол MTA-STS (Mail Transfer Agent Strict Transport Security), гарантируя, что ваши электронные письма всегда отправляются по зашифрованным каналам. Благодаря автоматизации отчетности с помощью TLS-RPT (TLS Reporting) малые и средние предприятия получают возможность контролировать процесс шифрования, которая ранее была доступна только крупным компаниям.

Матрица сравнения: единое представление

Категория функций	Windows Defender (бесплатно)	Defender для бизнеса (платная версия)	PowerDMARC (решение для устранения пробелов)
Вредоносное ПО/Антивирус	На основе подписи	ИИ и поведенческий анализ	Неприменимо
Восстановление после атаки программ-вымогателей	Ограниченный	Автоматическое устранение неполадок	Неприменимо
Подмена электронной почты	Только входящие	Входящий трафик (продвинутый уровень)	Полный контроль исходящего трафика, а также обеспечение безопасности на уровне входящего трафика с помощью хостируемого MTA-STS
Анализ DMARC	Нет	Нет	Полная панель инструментов и отчетность
Доставляемость	Нет	Нет	Активный мониторинг и оптимизация SPF
Узнаваемость бренда	Нет	Нет	Управление BIMI

Достаточно ли Windows Defender? Вывод

Что касается защиты конечных устройств: да. Если вы используете M365 Business Premium, Defender for Business — это решение с наилучшей рентабельностью инвестиций на рынке в сфере аппаратной безопасности.
С точки зрения корпоративного стиля и безопасности домена: нет. Это оставляет вашу «входную дверь» широко открытой для подделки.

Стратегия на 2026 год: используйте Microsoft Defender for Business для защиты вашего оборудования. Дополните его специализированным корпоративным решением для обеспечения безопасности электронной почты, таким как PowerDMARC, чтобы защитить вашу идентичность. Благодаря многоуровневой защите вы получаете экономическую эффективность консолидации без катастрофического риска возникновения единичной точки отказа.

Часто задаваемые вопросы

Достаточно ли Windows Defender для малого бизнеса?

Что касается защиты конечных устройств и антивирусной защиты, Windows Defender, особенно платная версия Defender for Business, обеспечивает надежную базовую защиту для небольших команд. Однако она не охватывает аутентификацию электронной почты на уровне домена, а это означает, что ваш домен по-прежнему может подвергаться подделке с целью атак на ваших клиентов, даже если ваши собственные устройства защищены.

Что такое Microsoft Defender для бизнеса?

Платное решение для защиты конечных устройств, предназначенное для малых и средних предприятий (до 300 пользователей). Оно дополняет встроенный антивирус Windows Defender функциями обнаружения и реагирования на угрозы на конечных устройствах, управления уязвимостями и автоматизированного расследования инцидентов.

Защищает ли Microsoft Defender от подделки адресов электронной почты?

Он включает в себя функции защиты от фишинга и проверки безопасности ссылок, которые защищают почтовые ящики ваших пользователей, однако не препятствуют злоумышленникам отправлять письма, подделывающие ваш домен, внешним адресатам. Для предотвращения подделки домена необходимо настроить записи SPF, DKIM и DMARC в вашей системе DNS.

Нужен ли DMARC малым предприятиям, если они используют Microsoft Defender?

Да — эти решения дополняют друг друга, но не являются взаимозаменяемыми. Defender защищает пользователей от получения вредоносных писем; DMARC защищает ваш домен от использования для рассылки вредоносных писем другим пользователям. Без DMARC ваш домен может быть подделан в фишинговых кампаниях, направленных против ваших клиентов или партнеров.

Microsoft Defender — это бесплатная программа?

Базовый антивирус Windows Defender входит в состав Windows без дополнительной платы. Microsoft Defender for Business — это платная подписка, доступная как отдельный продукт или в составе пакета Microsoft 365 Business Premium.

О сайте
Последние сообщения

Юнес Тарада

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.

Последние сообщения Юнеса Тарады (см. все)

Достаточно ли Windows Defender для обеспечения безопасности малого бизнеса? - 14 мая 2026 г.
Объяснение DMARCbis — что меняется и как подготовиться - 16 апреля 2026 г.
Неверный формат серийного номера SOA: причины и способы устранения - 13 апреля 2026 г.