Бесплатная проверка DMARC-записи

Что такое DMARC и зачем он нужен

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это слой поверх SPF и DKIM, который указывает принимающим серверам, что делать с письмами, не прошедшими проверку. Без DMARC у получателя нет инструкций, и каждый сервер действует на своё усмотрение.

DMARC решает три задачи: (1) задаёт политику для писем, не прошедших аутентификацию, (2) обеспечивает alignment между доменами SPF/DKIM и заголовком From, (3) собирает отчёты о реальных результатах проверок, чтобы вы видели, кто отправляет от имени вашего домена.

Анатомия DMARC-записи

Типичная DMARC-запись: `v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@yourdomain.com; ruf=mailto:dmarc@yourdomain.com; aspf=s; adkim=s`. Разберём теги.

v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; pct=100; aspf=r; adkim=r;

• v=DMARC1 — `v=DMARC1` — обязательная версия. Должна быть первой.
• p= — `p=` — политика для основного домена: `none` (только мониторинг), `quarantine` (в спам), `reject` (отбросить).
• rua= — `rua=` — адрес для агрегированных XML-отчётов (раз в сутки от каждого получателя). Главный источник данных о состоянии DMARC.
• ruf= — `ruf=` — адрес для forensic-отчётов по каждому проваленному письму. Полезно для расследования инцидентов, но многие серверы не отправляют ruf из-за приватности.
• pct= — `pct=` — процент писем, к которым применяется политика. Используется при постепенном переходе: `pct=10` означает применить политику к 10% писем.
• aspf= / adkim= — `aspf=` и `adkim=` — режим alignment: `s` (strict — точное совпадение домена) или `r` (relaxed — совпадение организационного домена). По умолчанию `r`.

Частые ошибки DMARC

Зависание на p=none

Большинство доменов остаются на `p=none` навсегда, потому что никто не читает rua-отчёты. `p=none` не защищает — это просто мониторинг. Финальная цель — `p=reject`.

Отсутствие rua=

Без `rua=` вы не получаете отчётов и не видите, кто и как отправляет от имени вашего домена. Перейти к `p=reject` без данных rua — слепая игра, которая ломает легитимные рассылки.

Несоответствие alignment

Письмо проходит SPF и DKIM, но домены не совпадают с заголовком From — DMARC всё равно проваливается. Самая частая проблема у транзакционных писем через сторонних провайдеров. Решение — настроить custom return-path и custom DKIM signing domain.

Слишком быстрый переход к reject

Прыжок с `p=none` сразу на `p=reject` без 2–4 недель мониторинга = потеря писем от легитимных отправителей. Используйте поэтапный подход через `p=quarantine` и `pct=`.

Настройка DMARC за 5 шагов

1. Шаг 1. Убедитесь, что SPF и DKIM настроены — DMARC бессмыслен без SPF и DKIM — он опирается на их результаты. Сначала настройте оба, проверьте через бесплатные SPF-чекер и DKIM-чекер. Только потом добавляйте DMARC.
2. Шаг 2. Опубликуйте DMARC с политикой p=none — Создайте TXT-запись по адресу `_dmarc.yourdomain.com` со значением: `v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com`. Это режим мониторинга — никаких блокировок, только сбор данных.
3. Шаг 3. Анализируйте rua-отчёты 2–4 недели — XML-отчёты сложно читать вручную — используйте инструменты вроде dmarcian, EasyDMARC, Postmark DMARC. Найдите все легитимные источники, добавьте их в SPF и настройте им DKIM-подпись.
4. Шаг 4. Перейдите на p=quarantine с pct= — Когда rua-отчёты показывают, что 95%+ писем проходят аутентификацию, переходите на `p=quarantine; pct=10`. Постепенно увеличивайте pct до 100% в течение 2–4 недель.
5. Шаг 5. Перейдите на p=reject — Финальный этап: `v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com`. Теперь любое письмо, не прошедшее SPF или DKIM с alignment, будет отброшено. Продолжайте мониторить rua-отчёты на случай новых легитимных источников.

Поэтапный rollout DMARC

Безопасный rollout DMARC занимает 6–12 недель и проходит через 4 фазы.

• Фаза 1: Мониторинг (недели 1–2) — `p=none; rua=`. Только сбор данных. Проанализируйте все источники отправки, выявите неавторизованные сервисы и неправильные настройки.
• Фаза 2: Quarantine 10–25% (недели 3–4) — `p=quarantine; pct=10`. Только 10% подозрительных писем уходят в спам. Если rua-отчёты чистые, увеличьте до `pct=25`.
• Фаза 3: Quarantine 100% (недели 5–8) — `p=quarantine; pct=100`. Все письма с проваленной DMARC уходят в спам. Это уже значимая защита, но не полная.
• Фаза 4: Reject 100% (с недели 9+) — `p=reject; pct=100`. Полная защита — спуфинг вашего домена становится невозможным. Это финальная цель и единственная политика, которая останавливает фишинг.

DMARC в 2026: новые требования

С февраля 2026 Gmail и Yahoo требуют DMARC минимум с политикой `p=none` для всех массовых отправителей (5 000+ писем в день). Apple Mail и Microsoft 365 движутся в том же направлении. Без DMARC массовая рассылка попадает в спам или отбрасывается, независимо от качества контента.