Что такое политика DMARC? Нет, карантин и отклонение

В начале 2024 года Google и Yahoo дали понять, что все массовые отправители должны иметь DMARC политики. Это требование превратило настройку политики DMARC из обычного технического шага в неотложный приоритет для организаций любого размера. После этого объявления команды начали пересматривать, обновлять и внедрять свои политики DMARC, чтобы соответствовать новым стандартам, предотвратить проблемы с доставкой и снизить риск неправомерного использования доменов, поскольку угрозы электронной почты продолжают расти.

Установка правильной политики помогает организациям защитить свой бренд, сотрудников и клиентов от попыток самозванства. И хотя политика DMARC сама по себе не может решить все проблемы безопасности электронной почты, она остается одним из самых эффективных средств защиты от фишинга и поддельных атак.

В этой статье мы рассмотрим политику DMARC, способы ее внедрения, проблемы и преимущества, а также то, почему для реализации политики DMARC вам следует выбрать наше решение, размещенное на хостинге.

Что такое политика DMARC?

Политика DMARC - это система проверки электронной почты, которая использует систему доменных имен (DNS) для указания принимающим почтовым серверам, как обращаться с письмами, заявленными как письма от вашего собственного домена, но не прошедшими проверку подлинности. Она обозначается тегом "p" в записи DMARC, который указывает, какие действия должны предпринять почтовые серверы, если письмо не прошло проверку DMARC.

Правильно реализованная политика позволяет вам решать, насколько строго поставщики электронной почты должны относиться к сообщениям, не прошедшим проверку подлинности. Проще говоря, вы выбираете уровень принуждения к подозрительным или несанкционированным сообщениям.

Вы можете настроить свою политику таким образом:

• Все равно пропустите (p=none)
• Отметить как подозрительное(p=карантин)
• Полностью блокировать (p=отклонить)

Тег p= в вашей DMARC-записи управляет этим поведением. Он указывает серверам-получателям, какой уровень принуждения применить, что делает его одной из самых важных частей настройки DMARC. Более строгая политика, например p=reject, обеспечивает самую надежную защиту, предотвращая доставку поддельных или неавторизованных писем.

3 варианта политики DMARC

Прежде чем выбрать полис, необходимо понять, что делает каждая опция и как она влияет на способ защиты вашего домена.

Три типа политики DMARC включают в себя:

1. Политика DMARC: Нет (p=none)

Политика DMARC none (p=none) - это расслабленный режим, который не вызывает никаких действий со стороны получателя. Эта политика может использоваться для мониторинга активности электронной почты и обычно применяется на начальном этапе внедрения DMARC для мониторинга и сбора данных.

Она не обеспечивает никакого уровня защиты от кибератак и позволяет доставлять все сообщения, независимо от результатов аутентификации. Эта опция указывается в записи DMARC с помощью тега "p=none".

Пример: v=DMARC1; p=none; rua= mailto:(адрес электронной почты);

Когда использовать p=none

• Используйте эту политику, если вы хотите контролировать почтовый трафик перед применением DMARC.
• Идеально подходит для доменов, которые все еще определяют все легитимные источники отправки.
• Получающие почтовые серверы не предпринимают никаких действий в отношении неудачных сообщений; письма все равно доставляются.
• Вы продолжаете получать сводные отчеты DMARC, которые помогут вам разобраться в проблемах аутентификации, прежде чем переходить к более строгим политикам.

2. Политика DMARC: Карантин (p=quarantine)

Эта опция указывается в DMARC-записи с помощью тега "p=quarantine". p=quarantine обеспечивает определенный уровень защиты, поскольку владелец домена может попросить получателя откатить письма в па пку спама или карантина, чтобы просмотреть их позже в случаесбоя DMARC.

Эта политика предписывает принимающему почтовому серверу относиться к сообщениям, не прошедшим проверку подлинности DMARC, с подозрением. Она часто применяется в качестве промежуточного шага между "none" и "reject".

Пример: v=DMARC1; p=quarantine; rua=mailto:(адрес электронной почты);

Когда использовать p=карантин

• Используйте эту политику, если вам нужна более надежная защита, но при этом необходимо просмотреть подозрительные письма, прежде чем полностью их блокировать.
• Неудачные сообщения отправляются в папку "Спам/нежелательная почта", что дает вам возможность проверить их, не потеряв при этом легитимную почту.
• Действует как промежуточный уровень исполнения, помогая плавно перейти к p=reject.
• Позволяет оценить влияние DMARC и решить, являются ли отмеченные письма легитимными или должны быть отброшены.
• Помогает уменьшить беспорядок в папке входящих сообщений, не допуская попадания сомнительных писем в основную папку входящих сообщений, но при этом сохраняя их видимость.

3. Политика DMARC: Отклонить (p=reject)

Эта опция указывается в записи DMARC с помощью "p=reject". Это самая строгая политика, предписывающая получателям отклонять неаутентифицированные сообщения.

Отказ от политики DMARC обеспечивает максимальное соблюдение, гарантируя, что сообщения, не прошедшие проверку DMARC, не будут доставлены вообще. Эта политика применяется, когда владельцы доменов уверены в своей настройке аутентификации электронной почты.

Пример: v=DMARC1; p=reject; rua= mailto:(адрес электронной почты);

Когда использовать p=reject

• Выбирайте эту политику, если вам нужен самый высокий уровень защиты от фишинга, спуфинга и любого несанкционированного использования вашего домена.
• Электронные сообщения, не прошедшие проверку подлинности, полностью блокируются, благодаря чему подозрительные сообщения никогда не попадают к получателям.
• Лучше всего подходит для доменов, которые уже полностью аутентифицированы во всех службах отправки и которым больше не нужно помещать в карантин пограничные случаи.

Вам следует:

• Тщательно протестируйте и убедитесь, что все легитимные отправители проходят проверку SPF и DKIM, прежде чем переходить к p=reject.
• Включите отчетность DMARC, чтобы отслеживать все оставшиеся сбои и убедиться, что все работает гладко.
• Для безопасного развертывания начните с p=none, перейдите к p=quarantine, а затем перейдите к p=reject, когда ваши отчеты покажут последовательное выравнивание.

Другие политики DMARC

DMARC предлагает дополнительные параметры политики для тонкой настройки реализации.

• Параметр процентного соотношения (pct=) позволяет постепенно развернуть политику, указав часть сообщений, подлежащих DMARC. Например: pct=50 применяет политику к 50 % сообщений.
  • Когда использовать:
    • Используйте pct=, когда вы переходите от p=none → p=quarantine → p=reject и хотите поэтапно проверить соблюдение правил, не затрагивая всю исходящую почту.
  • Руководство по срокам:
    • Начните с pct=20 во время раннего тестирования.
    • Увеличьте значение pct=50-70, если большинство легитимных отправителей проходят аутентификацию.
    • Перейдите к pct=100, как только вы убедитесь, что ваша настройка стабильна.
• Политика субдомена (sp=) это запись политики, которая устанавливает отдельные правила для поддоменов. Это полезно, когда поддомены требуют разного обращения. Например: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected].
  • Когда использовать:
    • Используйте sp=, когда ваши поддомены имеют разное поведение отправки или когда вы хотите более строгое или более мягкое применение по сравнению с вашим основным доменом.
  • Руководство по срокам:
    • Применяйте sp=none при оценке отправителей поддоменов.
    • Переключитесь на sp=quarantine после проверки их подлинности.
    • Перейдите на sp=reject, если вы больше не хотите, чтобы поддомены использовались для подмены.

Настройте политику DMARC правильным способом с помощью PowerDMARC!

Почему DMARC имеет значение

Электронные письма можно легко подделать, поэтому сложно отличить настоящее письмо от опасной подделки. Именно здесь на помощь приходит DMARC. DMARC - это своего рода контрольный пункт безопасности электронной почты, который проверяет личность отправителя, прежде чем пропустить сообщение, и играет важную роль в обеспечении соответствия нормативным требованиям таких систем, как GDPR, HIPAA и PCI-DSS.

По прогнозам, глобальный ущерб от киберпреступлений достигнет 10,5 триллиона долларов США в 2025 годучто подчеркивает масштаб угрозы. Между тем, в Отчет Verizon 2025 о расследованиях утечек данных показывает, что фишинг и атаки на основе учетных данных остаются доминирующими: около 15 % всех нарушений начинаются с фишинга.

Согласно RFC 7489 от IETF, DMARC обладает уникальной способностью позволять отправителям электронной почты устанавливать предпочтения для аутентификации. Включив эту функцию, вы также сможете получать отчеты об обработке электронной почты и потенциальных злоупотреблениях доменами. Это делает DMARC уникальным средством проверки доменов.

Согласно нашей последней статистике DMARC, значительное количество доменов все еще уязвимо для фишинговых атак из-за недостаточной реализации DMARC.

Чтобы начать процесс настройки DMARC, необходимо внести соответствующие изменения в DNS и включить TXT-записи DNS для протоколов. Однако ручное внедрение протокола DMARC может быть довольно сложным для нетехнических пользователей. Это даже может оказаться довольно дорогостоящим, если вы наймете внешнего внештатного CISO для управления этим процессом для вашего бизнеса. Вот почему использование такого решения, как анализатор DMARC от PowerDMARC, имеет смысл: оно автоматизирует настройку, упрощает конфигурацию и экономит время и деньги. Позвольте нам провести вас через настройку и помочь защитить ваш бренд уже сегодня.

Параметры отчетности DMARC

Варианты отчетов для DMARC включают:

• Агрегатные отчеты (rua=): Отправляются ежедневно и содержат общие сведения о результатах проверки подлинности электронной почты, в том числе о том, какие IP-адреса отправляют почту от вашего имени и сколько сообщений прошло или не прошло проверку.
• Отчеты судебно-медицинских экспертов (ruf=): Отправляются в режиме реального времени и содержат более подробную информацию о сбоях для отдельных сообщений, которые не прошли аутентификацию.

Эти параметры позволяют организациям собирать ценную информацию о результатах DMARC-аутентификации, давая представление о количестве писем, которые не прошли или прошли DMARC-аутентификацию. Отчет DMARC также помогает:

1. Выявление потенциальных проблем и моделей злоупотреблений
2. Обнаружение ошибок в настройках электронной почты
3. Получите информацию о поведении пользователей электронной почты и почтовых потоках
4. Просмотр результатов проверки подлинности для протоколов SPF и DKIM

Общие преимущества и проблемы

DMARC обеспечивает надежную защиту и ценную видимость, но его правильная реализация также связана с эксплуатационными и техническими аспектами. Понимание преимуществ и проблем поможет определить реалистичные ожидания от развертывания.

Преимущества

• Предотвращениеподмены доменов и защита от фишинга: Блокирует неавторизованных отправителей и снижает риск атак на выдачу себя за другого.
• Улучшение доставки электронной почты (10-15 %): Провайдеры электронных почтовых ящиков больше доверяют аутентифицированным доменам, что улучшает их размещение в почтовых ящиках.
• Наглядность благодаря отчетам об источниках отправки: Отчеты DMARC показывают, кто отправляет почту от вашего имени и как сообщения проходят проверку подлинности.
• Соответствие требованиям GDPR, HIPAA и Google/Yahoo 2024: Помогает соответствовать требованиям безопасности и аутентификации, установленным регулирующими органами и крупнейшими поставщиками почтовых ящиков.

Вызовы

• Сроки реализации (3-6 месяцев для безопасного развертывания): Переход от мониторинга к полному применению требует времени и тщательного анализа.
• Требование обнаружения всех легитимных источников электронной почты: Каждая система отправки должна быть идентифицирована и аутентифицирована перед применением строгих политик.
• Необходимы технические знания (DNS, SPF, DKIM): Для правильной настройки требуется знание аутентификации электронной почты и управления DNS.
• Ограничения аутентификации сторонних служб: Некоторые инструменты или платформы имеют ограниченную поддержку SPF/DKIM, что усложняет настройку.

Устранение ошибок политики DMARC

При использовании DMARC вы можете столкнуться с сообщением об ошибке. Ниже перечислены некоторые распространенные ошибки политики DMARC:

• Синтаксические ошибки: Чтобы убедиться, что ваш протокол работает правильно, при настройке записи следует обращать внимание на синтаксические ошибки.
• Ошибки конфигурации: Ошибки при настройке политики DMARC встречаются часто, и их можно избежать, используя инструмент проверки DMARC.
• Политика DMARC sp: Если вы настроите политику отклонения DMARC, но установите политику поддоменов на "нет", вы не сможете добиться соответствия. Это происходит из-за переопределения политики для исходящих писем.
• Ошибка "Политика DMARC не включена": Если ваш домен сообщает об этой ошибке, это указывает на отсутствие доменной политики DMARC в DNS или на то, что она установлена на "none". Отредактируйте свою запись, включив в нее p=reject/quarantine, и это устранит проблему.

Применение политики DMARC с помощью PowerDMARC

DMARC остается одним из самых эффективных способов защиты вашего домена от спуфинга, фишинга и несанкционированного использования электронной почты. Выбрав нужный режим политики (нет, карантин или отклонение), вы контролируете, как серверы-получатели обрабатывают подозрительные сообщения и насколько надежно защищен ваш домен. Дополнительные параметры, такие как pct= и sp=, помогают точно настроить развертывание, а такие опции отчетности, как rua и ruf, дают четкое представление о результатах аутентификации, источниках отправки, неправильной конфигурации и потенциальных злоупотреблениях.

Хотя настройка DMARC может быть сложной, особенно при работе с несколькими сторонними сервисами или управлении полным сроком внедрения, долгосрочные преимущества существенны: улучшенная доставляемость, соответствие требованиям и более надежная защита бренда.

DMARC-анализатор PowerDMARC упрощает этот процесс, автоматизируя конфигурацию, упрощая управление политиками и превращая необработанные XML-отчеты в полезные сведения. Если вам нужен более простой и безопасный путь к внедрению DMARC, наша платформа создана для того, чтобы поддерживать вас на каждом шагу.

Свяжитесь с нами сегодня, чтобы внедрить политику DMARC и легко отслеживать результаты!

Часто задаваемые вопросы (FAQ)

Какова политика DMARC по умолчанию?

Вы можете проверить соответствие DMARC, просмотрев отчеты DMARC и убедившись, что ваши письма проходят проверку на соответствие SPF и DKIM. Если вы используете платформу с панелью отчетов, например PowerDMARC, вы можете просмотреть статус аутентификации вашего домена и убедиться, что ваши сообщения соответствуют требованиям DMARC.

Какую политику DMARC лучше выбрать?

Лучшая политика для максимальной безопасности - p=reject, так как она блокирует все несанкционированные письма.

Однако лучшей стратегией является поэтапное внедрение:

1. Начните с p=none, чтобы отслеживать отчеты, не влияя на доставляемость.
2. Установите значение p=quarantine, чтобы отправлять неудачные письма в спам.
3. Заканчивайте работу с p=reject только тогда, когда будете готовы (т. е. когда будете уверены, что все ваши легитимные электронные письма правильно настроены).

Как исправить политику DMARC?

Вы можете вручную исправить свою политику, войдя в управление DNS. Войдя, вам нужно отредактировать запись DMARC TXT. Более простое решение - использовать наше хостинговое решение для внесения изменений в вашу политику одним щелчком мыши.

Какую политику DMARC вы будете использовать, чтобы не принимать электронное сообщение, если оно не прошло проверку DMARC?

Чтобы отклонить письмо, которое не прошло проверку DMARC, вы используете политику p=reject.

Эта политика прямо предписывает принимающим почтовым серверам полностью блокировать и отказывать в доставке любого сообщения, которое не прошло проверку подлинности DMARC. Такое письмо не появится ни в папке входящих сообщений получателя, ни даже в его папке спама. Если вы все же хотите отправить письмо в папку спама или нежелательной почты, вы можете использовать p=quarantine.

• О сайте
• Последние сообщения

Майтхам аль-Лоуати

Эксперт по кибербезопасности, генеральный директор PowerDMARC

Майтем - технологический предприниматель, эксперт по кибербезопасности, генеральный директор и основатель PowerDMARC с 15-летним опытом работы в отрасли. Майтем получил степень Global MBA в Манчестерском университете и различные профессиональные сертификаты, включая CISSP, CISM, CRISC и ISC2 CCSP.

Последние сообщения Maitham Al Lawati (см. все)

• Статистика фишинга и DMARC: тенденции в области безопасности электронной почты на 2026 год — 6 января 2026 г.
• Как исправить ошибку «SPF-запись не найдена» в 2026 году — 3 января 2026 года
• SPF Permerror: что это значит и как исправить - 24 декабря 2025 г.