DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) — стандарт аутентификации электронной почты, определяющий политику обработки писем, не прошедших проверки SPF и DKIM. Защищает домен от использования в фишинге и подделке адреса отправителя.

Как работает

DMARC добавляет TXT-запись в DNS домена с тремя ключевыми параметрами: политикой обработки (p), адресом для отчётов (rua/ruf) и процентом охвата (pct). Когда почтовый сервер получает письмо от @example.com, он проверяет:

1. Прошло ли письмо SPF-проверку (IP отправителя есть в списке)?
2. Корректна ли DKIM-подпись домена?
3. Совпадает ли домен в подписи с доменом в заголовке From?

Если обе проверки провалены — DMARC применяет политику из DNS-записи.

Политики DMARC

• p=none — мониторинг без действий. Письма доставляются, отчёты отправляются. Используется при первоначальной настройке для сбора статистики.
• p=quarantine — подозрительные письма отправляются в папку «Спам».
• p=reject — письма, не прошедшие DMARC, отклоняются. Максимальная защита домена от подделки.

Настройка DNS-записи

# Базовая запись DMARC
_dmarc.example.com. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-rua@example.com; pct=100"

# Полная запись с всеми параметрами
_dmarc.example.com. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensic@example.com; fo=1; pct=100; adkim=s; aspf=s"

# Проверка настройки
dig TXT _dmarc.example.com
# Онлайн-инструменты: mxtoolbox.com/dmarc, dmarcian.com

История

DMARC разработан в 2012 году группой крупных компаний: Google, Microsoft, Yahoo, Facebook, PayPal, Bank of America. Опубликован как RFC 7489 в 2015 году. С 2024 года Google и Yahoo требуют DMARC с p=quarantine или p=reject для всех доменов, отправляющих более 5000 писем в день — без этого массовые рассылки отклоняются. Это стало стимулом для массового внедрения стандарта.

Отчёты DMARC

Агрегированные отчёты (rua) приходят ежедневно в XML-формате от каждого получающего провайдера: сколько писем прошло/провалило SPF и DKIM, с каких IP отправлялись письма. Это позволяет выявить несанкционированную отправку от имени домена до перевода политики в p=reject.

Сервисы анализа DMARC-отчётов: Postmark DMARC (бесплатно), dmarcian, Valimail — визуализируют XML в понятные дашборды. Интеграция с Grafana через экспортер DMARC-данных для мониторинга репутации почтового домена.

Путь к p=reject

Рекомендуемый процесс:

1. Установить p=none, собрать отчёты 2-4 недели.
2. Проверить, все ли легитимные источники отправки настроены в SPF и DKIM.
3. Перейти на p=quarantine; pct=10 — применять к 10% писем.
4. Постепенно увеличивать pct до 100%.
5. Перейти на p=reject.

На что обращать внимание

DMARC не работает без правильно настроенных SPF и DKIM на почтовом сервере. Письма через сторонние сервисы (CRM, ESP, Mail.ru для бизнеса) должны включаться в SPF-запись и иметь собственные DKIM-ключи. Слишком раннее применение p=reject при неполной настройке заблокирует легитимные письма от партнёрских сервисов.

Проверку настройки DMARC выполняйте онлайн-инструментами: mxtoolbox.com/dmarc, dmarcian.com/dmarc-inspector. Для отправки тестового письма: swaks --to test@example.com --from info@yourdomain.ru --server mail.yourdomain.ru. Результаты проверки в заголовках входящего письма: Authentication-Results: dmarc=pass означает успешную аутентификацию. Интегрируйте DMARC-мониторинг с мониторингом сервера: резкое падение delivered-rate в Grafana сигнализирует о проблемах с репутацией домена.