DMARC (Domain-based Message Authentication, Reporting and Conformance) — механизм политики email-аутентификации, описанный в RFC 7489 (2015). DMARC опирается на два ранее существующих стандарта: SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail). Если входящее письмо не проходит ни SPF, ни DKIM — DMARC определяет, что с ним делать.
Как работает
DMARC-запись публикуется в DNS в виде TXT-записи поддомена _dmarc.example.com. Пример:
v=DMARC1; p=reject; rua=mailto:dmarc@example.com; pct=100Параметры:
p=none— не предпринимать действий, только мониторинг.p=quarantine— подозрительные письма отправить в спам.p=reject— отклонить письма, не прошедшие проверку.rua— адрес для получения агрегированных отчётов.pct— процент писем, к которым применяется политика (0–100).
Принципиально: DMARC проверяет alignment — совпадение домена в заголовке From с доменом, проверенным SPF или DKIM. Можно иметь валидный SPF, но DMARC провалить, если домены не совпадают.
История
DMARC разработан в 2012 году консорциумом крупнейших email-провайдеров и технологических компаний: Google, Microsoft, Yahoo!, Facebook, PayPal, Bank of America. Публично опубликован на dmarc.org в январе 2012 года. RFC 7489 вышел в марте 2015 года. К 2023 году DMARC обязателен для массовых рассылок в Gmail и Yahoo: без политики p=quarantine/reject письма попадают в спам.
Связь с хостингом
Настройка DMARC обязательна для любого домена, с которого ведутся рассылки. Без DMARC с политикой хотя бы p=quarantine крупные провайдеры (Gmail, Outlook) с 2024 года отправляют письма в спам или отклоняют. Настройка цепочки SPF → DKIM → DMARC — базовый набор для корпоративной почты. При переезде на новый хостинг или почтовый сервис нужно обновить все три записи в DNS.
Как работает DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) строится поверх SPF и DKIM. DMARC-запись публикуется в DNS как TXT-запись для _dmarc.example.com. Политики: p=none (только мониторинг), p=quarantine (подозрительные письма в спам), p=reject (отклонять незаконные письма). DMARC также настраивает отчётность: rua= адрес для агрегированных отчётов, ruf= для forensic (детальных) отчётов. Правило выравнивания (alignment): домен From-заголовка должен совпадать с доменом SPF или DKIM. Без DMARC спамеры могут рассылать письма от имени вашего домена (email spoofing). Rspamd проверяет DMARC на принимающей стороне.
DMARC и почтовый хостинг
Внедрение DMARC с политикой p=reject кардинально снижает доставляемость поддельных писем от вашего домена. Для корпоративной почты это обязательная мера. Gmail и Yahoo с 2024 года требуют DMARC (минимум p=none) для рассылок объёмом от 5000 писем в день. Процесс внедрения: сначала p=none с аналитикой отчётов (1--2 недели), затем p=quarantine, затем p=reject. Ошибка в SPF или DKIM при p=reject приведёт к полной блокировке легитимной почты. SPF, DKIM и DMARC -- три кита аутентификации email.
История
DMARC разработан в 2012 году коалицией компаний (Google, Microsoft, Yahoo, PayPal, Facebook) и опубликован как RFC 7489 в 2015 году. Принят как ответ на массовый email-фишинг. По данным DMARC.org, к 2023 году DMARC настроен для более чем 5 миллионов доменов. На корпоративных почтовых серверах проверка DMARC выполняется Rspamd или SpamAssassin.
DMARC-запись публикуется в DNS как TXT-запись вида v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com. В связке с MX-записью полноценно защищает почтовый домен. Отчёты DMARC обрабатывают сервисы Postmark, Dmarcian, Roundcube-совместимые почтовые решения.