Что такое DMARC запись?
DMARC (Domain-based Message Authentication, Reporting and Conformance) — это протокол email-аутентификации, который публикуется как DNS TXT запись на _dmarc.yourdomain.com. DMARC строится поверх SPF и DKIM, указывая принимающим почтовым серверам, что делать при неудачной аутентификации — мониторить (p=none), отправлять в карантин (p=quarantine) или отклонять (p=reject).
DMARC также включает механизм отчетности: агрегированные отчеты (rua) дают статистику по результатам аутентификации, а судебные отчеты (ruf) содержат детали о конкретных письмах, не прошедших проверку. Это позволяет владельцам доменов контролировать, кто отправляет письма от их имени.
Без DMARC злоумышленники могут свободно подделывать адрес отправителя вашего домена. Настройка DMARC с политикой reject — самая эффективная защита от email-спуфинга и фишинга.
Как проверить DMARC запись домена
Введите любой домен в наш инструмент проверки DMARC выше и нажмите «Check DMARC». Инструмент мгновенно получит DMARC запись из _dmarc.domain.com, разберет все теги, оценит силу политики, проверит режимы выравнивания, верифицирует URI отчетности и выдаст оценку здоровья по 11 проверкам.
Можно также использовать командную строку: nslookup -type=txt _dmarc.example.com в Windows или dig _dmarc.example.com TXT +short в Mac/Linux. Однако ручной анализ не даст полной картины — наш инструмент проверяет валидность всех тегов, включая URI, режимы выравнивания и политику поддоменов.
Для комплексной проверки email-безопасности используйте также проверку SPF, проверку DKIM и SMTP тест.
Теги DMARC записи — полный справочник
DMARC запись состоит из тегов ключ=значение: v=DMARC1 (обязательная версия), p= (политика: none, quarantine, reject), sp= (политика поддоменов), adkim= и aspf= (режимы выравнивания: r — relaxed, s — strict), rua= (URI для агрегированных отчетов), ruf= (URI для судебных отчетов).
Дополнительные теги: pct= (процент писем, к которым применяется политика, по умолчанию 100), ri= (интервал отчетности в секундах, по умолчанию 86400), fo= (условия генерации судебных отчетов: 0, 1, d, s). Правильная настройка всех тегов обеспечивает максимальную защиту и полный контроль над email-аутентификацией.
Наш инструмент проверяет каждый тег на корректность, включая формат mailto: в URI отчетности, допустимые значения политик и совместимость настроек. Используйте генератор DMARC для создания новой записи с нуля.
Политики DMARC и 11 проверок валидации
Три политики DMARC определяют, как обрабатывать не прошедшие проверку письма: p=none — только мониторинг и отчетность без влияния на доставку, p=quarantine — отправка не прошедших проверку писем в спам, p=reject — полное отклонение неаутентифицированных писем. Начинайте с none и постепенно переходите к reject.
Наши 11 проверок DMARC включают: наличие записи, корректность синтаксиса v=DMARC1, валидность политики (p=), корректность политики поддоменов (sp=), формат URI отчетности (rua, ruf), допустимость режимов выравнивания (adkim, aspf), значение pct (0-100), формат интервала отчетности (ri), допустимость опций fo, отсутствие дублирующих записей.
Оценка здоровья A означает полностью корректную запись с политикой reject. Оценка F указывает на критические ошибки, требующие немедленного исправления. Используйте генератор DMARC для создания оптимальной записи.
p=none — мониторинг без влияния на доставку писем
p=quarantine — неаутентифицированные письма отправляются в спам
p=reject — полное отклонение писем, не прошедших проверку
Начинайте с none, затем quarantine, затем reject
Всегда настраивайте rua для получения агрегированных отчетов
Relaxed alignment подходит для большинства конфигураций
DMARC vs SPF vs DKIM — тройка email-аутентификации
SPF проверяет, авторизован ли IP-адрес отправляющего сервера для домена. DKIM добавляет криптографическую подпись, подтверждающую, что письмо не было изменено. DMARC объединяет их, проверяя выравнивание домена и устанавливая политику обработки неаутентифицированных писем.
Каждый протокол решает свою задачу: SPF отвечает на вопрос «откуда отправлено письмо?», DKIM — «было ли письмо изменено?», DMARC — «что делать, если проверки не пройдены?». Вместе они создают многоуровневую защиту от email-спуфинга.
DMARC требует, чтобы хотя бы один из протоколов (SPF или DKIM) прошел проверку с выравниванием домена. Однако настройка обоих повышает надежность: если SPF не проходит (например, при пересылке писем), DKIM может пройти и обеспечить выравнивание.
Дорожная карта внедрения DMARC
Внедрение DMARC следует проводить поэтапно. Этап 1: настройте SPF и DKIM для всех легитимных отправителей. Этап 2: добавьте DMARC с p=none и rua для сбора отчетов. Этап 3: анализируйте отчеты 2-4 недели, убедитесь, что все легитимные отправители проходят проверку.
Этап 4: переведите политику на p=quarantine с pct=25, постепенно увеличивая до 100%. Этап 5: после подтверждения стабильности перейдите на p=reject. Этот постепенный подход минимизирует риск потери легитимных писем.
Для мониторинга результатов используйте анализатор email заголовков для проверки аутентификации в реальных письмах, а также рассмотрите настройку BIMI для отображения логотипа бренда в email-клиентах после достижения p=reject.
Связанные инструменты для email и DNS
DNS Robot предлагает полный набор инструментов email-аутентификации: проверка SPF для валидации SPF записей, проверка DKIM для проверки ключей DKIM, генератор DMARC для создания новых записей, проверка BIMI для валидации брендинга в email.
Для диагностики почтовой системы используйте SMTP тест для проверки подключения к серверу, MX Lookup для проверки почтовых записей и анализатор email заголовков для отслеживания маршрута доставки писем.