Nova Uptime
Гайдыdmarc-testdmarc-checkerdmarc-record

Настройка DMARC-политики: защита от подделки писем

Бесплатный DMARC-тест и пошаговая настройка. Установите p=none, p=quarantine, p=reject. Выровняйте SPF/DKIM. Обязательно для Gmail и Yahoo с фев. 2026.

SN
Sumit Nova Uptime
23 февраля 2026 г. · 7 min read
Share:

Что такое DMARC и почему он нужен сейчас#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) — это слой enforcement для аутентификации email.

SPF и DKIM существуют, чтобы предотвращать спуфинг, но в них есть пробелы. DMARC закрывает их через:

  1. Требование, чтобы SPF и DKIM были выровнены (align) — оба прошли И домен отправителя совпадал
  2. Принудительное применение политики — отбрасывание подделок
  3. Отчёты — ежедневные сводки по попыткам аутентификации

В феврале 2026: Gmail и Yahoo требуют DMARC с p=quarantine или p=reject. Письма без правильно настроенного DMARC уходят в спам или отклоняются.

Как DMARC предотвращает спуфинг#

Без DMARC:

From: you@yourcompany.com
Mail-From: attacker.com
SPF-From: attacker.com

Письмо проходит SPF (авторизовано на attacker.com), но выглядит как от yourcompany.com. Спуфинг сработал. ❌

С DMARC:

DMARC policy: p=reject
From: you@yourcompany.com
Mail-From: attacker.com
Result: REJECT (домены не выровнены)

Письмо отклонено, потому что видимый домен «From» не совпадает с аутентифицированным. ✅

Формат DMARC-записи#

DMARC-запись живёт по адресу: _dmarc.yourdomain.com

Базовый формат:

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com

Что значит каждая часть:

  • v=DMARC1: версия (всегда такая)
  • p=none: политика (none/quarantine/reject)
  • rua=mailto:...: куда слать отчёты

Объяснение DMARC-политик#

ПолитикаЧто происходитПисьмоКогда использовать
p=noneТолько мониторингДоставляетсяЭтап обучения (неделя 1–2)
p=quarantineПодозрительные — в спамДоставляется в спамТестирование (неделя 2–4)
p=rejectПодделки блокируютсяПолностью отклоняетсяПрод (неделя 4+)

p=none (только мониторинг)#

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com; ruf=mailto:forensics@yourdomain.com

Что происходит:

  • Подделки всё ещё доставляются
  • Вы получаете ежедневные отчёты, что было бы отклонено
  • Используйте 1–2 недели, пока проверяете, что легитимные письма не страдают

Содержимое отчётов:

  • Сколько писем прошло/не прошло SPF
  • Сколько прошло/не прошло DKIM
  • Source IP писем со сбоями
  • Какие сервисы легитимны, а какие подозрительны

p=quarantine (политика карантина)#

v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com

Что происходит:

  • Подделки уходят в спам-папку, а не в инбокс
  • Пользователи всё ещё могут их найти (с усилием)
  • Вы получаете отчёты

Используйте 1–2 недели, проверяя, что легитимная почта проходит.

p=reject (жёсткая политика)#

v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com

Что происходит:

  • Подделки полностью отклоняются
  • Получатели их не видят
  • Атакующий не получает сигнала, что спуфинг провалился

Используйте в проде, когда уже проверили на p=quarantine.

Пошаговая настройка DMARC#

Шаг 1: Убедитесь, что SPF и DKIM работают#

DMARC требует, чтобы SPF и DKIM были настроены первыми.

Проверьте оба через: Nova Uptime Email Health Checker

Если что-то не проходит — сначала настройте, потом добавляйте DMARC.

Шаг 2: Создайте email для отчётов#

DMARC шлёт ежедневные отчёты (для крупных доменов — могут быть сотни писем в день).

Создайте отдельный email:

dmarc-reports@yourdomain.com

Или используйте основной admin-адрес, если хотите получать отчёты туда.

Шаг 3: Опубликуйте DMARC-запись#

Зайдите к DNS-провайдеру (Cloudflare, Route 53, GoDaddy и т. д.)

Добавьте TXT-запись:

  • Имя: _dmarc (точно)
  • Значение: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
  • TTL: 3600

Сохраните и подождите 5–15 минут на распространение DNS.

Шаг 4: Протестируйте политику DMARC#

Вариант 1: отправить тестовое письмо

  1. Отправьте письмо со своего домена
  2. Проверьте заголовки на DMARC: PASS или DMARC: FAIL
  3. Поищите письма на dmarc-reports@yourdomain.com (могут прийти через 24 часа)

Вариант 2: использовать инструмент проверки

Шаг 5: Мониторьте отчёты 1–2 недели#

DMARC-отчёты приходят ежедневно (или агрегировано еженедельно — зависит от политики).

На что смотреть:

  • Все ваши легитимные письма проходят?
  • Есть ли неожиданные сбои?
  • Есть ли попытки спуфинга против вашего домена?

Если всё проходит: переходите на p=quarantine

Шаг 6: Переключитесь на p=quarantine (неделя 3)#

После подтверждения, что легитимная почта не сбоит:

Обновите DNS TXT-запись:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com

Снова мониторьте 1–2 недели.

Шаг 7: Переключитесь на p=reject (неделя 5+)#

Когда довольны результатами карантина:

Обновите DNS TXT-запись:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:forensics@yourdomain.com

Теперь вы под полной защитой.

Политика DMARC для субдоменов#

По умолчанию DMARC применяется только к yourdomain.com. Если вы шлёте с субдоменов вроде mail.yourdomain.com, нужна subdomain-политика:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; sp=none
  • sp=none: субдомены только мониторятся, не отклоняются
  • Или поставьте sp=quarantine / sp=reject в зависимости от задач

Частые ошибки в DMARC#

Ошибка 1: SPF/DKIM не выровнены#

Пример:

  • From: you@yourdomain.com
  • SPF проходит для: mail.yourdomain.com (другой субдомен)
  • Результат: DMARC не проходит (не выровнено)

Исправление: используйте relaxed-выравнивание в DMARC:

aspf=r; adkim=r

Это разрешает субдоменам проходить. (Не рекомендуется с точки зрения безопасности, но иногда необходимо.)

Ошибка 2: Никогда не получаете отчёты#

Email-адрес в rua= не существует или письма уходят в спам.

Исправление:

  • Убедитесь, что email-адрес существует
  • Проверьте папку спама на отчёты от dmarc@yourdomain.com
  • Внесите отправителя отчётов в whitelist

Ошибка 3: Прыжок сразу в p=reject#

Прыжок с p=none сразу в p=reject ломает легитимную почту.

Исправление: идите по прогрессии: p=none → p=quarantine → p=reject в течение 4–6 недель.

Ошибка 4: Не следите за изменениями#

Добавили новый email-сервис (Zapier, CRM и т. д.), который шлёт почту, но забыли обновить SPF/DKIM. DMARC её отклоняет.

Исправление: мониторьте DMARC-отчёты ежемесячно. Добавляйте новые сервисы по мере их появления в инфраструктуре.

Мониторинг DMARC#

Еженедельно:

  • Просматривайте отчёты на неожиданные сбои
  • Добавляйте новые отправляющие сервисы в SPF/DKIM по мере необходимости

Ежемесячно:

  • Анализируйте тренды отчётов
  • Выявляйте попытки спуфинга против домена
  • Проверяйте, что политика всё ещё актуальна

DMARC-отчёты: как читать#

DMARC-отчёты включают:

  • Domain: какой домен в отчёте
  • Source IP: откуда пришли письма
  • Счётчики Pass/Fail: доли успехов/сбоев SPF/DKIM
  • Policy evaluated: что было бы при p=reject

Используйте это, чтобы убедиться, что:

  1. Легитимные сервисы проходят
  2. Никакие неожиданные IP не шлют письма
  3. Попытки спуфинга обнаруживаются

Полный стек аутентификации

SPF: «авторизован ли сервер?» DKIM: «подлинно ли сообщение?» DMARC: «оба прошли И домен совпадает?»

Все три вместе = правильная аутентификация email.

Проверяйте все три автоматически: Nova Uptime Email Health Checker. Бесплатно.

Краткое резюме

  1. Сначала убедитесь, что SPF и DKIM работают
  2. Опубликуйте DMARC с p=none (неделя 1–2)
  3. Перейдите на p=quarantine (неделя 3–4)
  4. Перейдите на p=reject (неделя 5+)
  5. Постоянно мониторьте отчёты
  6. Обновляйте при добавлении новых email-сервисов

DMARC обязателен в 2026. Конкуренты уже настроили. Не отставайте.

Часто задаваемые вопросы

Как протестировать мою DMARC-запись?#

Используйте бесплатный DMARC checker для валидации записи. Он проверяет синтаксис, политику, адреса отчётов и выявляет частые ошибки конфигурации. Также можно протестировать, отправив письмо и проверив DMARC-заголовок в полученном.

В чём разница между p=quarantine и p=reject?#

При p=quarantine письма, не прошедшие DMARC, доставляются в папку спама. При p=reject они блокируются полностью и никогда не доставляются. Начните с quarantine, чтобы ловить проблемы, перед переходом на reject для максимальной защиты от спуфинга.

Нужен ли DMARC, если SPF и DKIM уже есть?#

Да. SPF и DKIM аутентифицируют почту, но не говорят принимающим серверам, что делать при сбое аутентификации. DMARC даёт enforcement-политику и включает отчёты, чтобы вы могли мониторить результаты аутентификации по всей своей почте.

Может ли DMARC сломать мою почту?#

Только если неправильно настроен. Политика p=reject, применённая до того, как все легитимные отправители аутентифицированы, заблокирует вашу же почту. Всегда начинайте с p=none, просматривайте отчёты 2–4 недели, исправляйте пробелы аутентификации, потом постепенно усиливайте enforcement.

Похожие материалы

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

Похожие статьи

Доставляемость email10 февр. 2026 г.

Гайд по политике DMARC: от none до reject за 4 шага

Пошаговая настройка DMARC от p=none до p=reject. Бесплатный DMARC-чекер. Остановите спуфинг писем меньше чем за час. Совместимо с Gmail и Yahoo.

11 min readЧитать
Доставляемость email18 мар. 2026 г.

SPF, DKIM и DMARC: полное руководство по аутентификации email

Гайд по трём столпам аутентификации email. Как SPF, DKIM и DMARC работают вместе, чтобы защитить ваш домен и попадание в Inbox.

6 min readЧитать
Гайды22 февр. 2026 г.

Как настроить SPF-записи: гайд по аутентификации email

Найдите и проверьте свою SPF-запись. Пошаговая настройка: синтаксис SPF, лимиты DNS-запросов, частые ошибки и бесплатные инструменты тестирования.

6 min readЧитать