Что будет, если кто-то попробует провести фишинговую атаку от имени вашего домена? Можно ли остановить такие письма и защитить клиентов, сотрудников и репутацию бренда? Для этого используют DMARC — дополнительный протокол безопасности, который помогает почтовым серверам понять, что делать с подозрительными письмами.
В статье разберем, что такое DMARC-запись, как она связана с SPF и DKIM, зачем нужна email-маркетингу и как настроить ее для домена.
Что такое DMARC
Представьте, что злоумышленник подделал домен вашей компании и отправил клиентам фишинговые письма. Люди поверили, что письмо пришло от вас, перешли по ссылке, потеряли деньги или передали личные данные. После такого скандала бренд может надолго потерять доверие.
DMARC помогает защититься от таких ситуаций. Расшифровывается как Domain-based Message Authentication, Reporting and Conformance. Это протокол, который говорит принимающему почтовому серверу, что делать с письмами, если они не прошли проверку подлинности.
Проще говоря, DMARC помогает определить, действительно ли письмо отправлено от имени вашего домена, и задает правило: пропустить письмо, отправить его в спам или полностью отклонить.
Как выглядит DMARC-запись
DMARC-запись — это обычный текст в DNS. Она выглядит примерно так:
v=DMARC1; p=quarantine; pct=45; rua=mailto:reports@mysite.com
DMARC публикуется как DNS TXT-запись в системе доменных имен вашего сайта. Ее могут прочитать и люди, и почтовые серверы. По сути, это набор переменных: каждая отвечает за отдельную часть политики DMARC.
В примере выше указано, что часть писем, которые не прошли проверку, нужно отправлять в спам, а отчеты о таких случаях — на адрес reports@mysite.com.
Как работает DMARC
DMARC — это инструкция для писем, которые не прошли аутентификацию. Чтобы понять его работу, сначала нужно разобраться с email-аутентификацией.
Email-аутентификация — автоматическая проверка, которая подтверждает, что письмо действительно пришло от заявленного отправителя. Чаще всего для этого используют SPF и DKIM.
Sender Policy Framework (SPF)
SPF — это протокол аутентификации, основанный на IP-адресах. IP-адрес помогает определить устройство или сервер, с которого отправлено письмо. SPF проверяет, разрешено ли этому серверу отправлять письма от имени вашего домена.
Например, если вы отправляете рассылки через SaaS-платформу вроде Selzy с адреса marketing@mysite.com, вы разрешаете серверам платформы отправлять письма от домена mysite.com. Если SPF видит разрешенные IP-адреса, такие письма считаются отправленными доверенным источником.
DomainKeys Identified Mail (DKIM)
Подделать доменное имя в письме не так сложно. SPF тоже не закрывает все риски: злоумышленники могут использовать фальшивый Return-Path и легитимный адрес в поле From. Поэтому нужен DKIM.
DKIM, или DomainKeys Identified Mail, — это цифровая подпись домена. Когда вы отправляете письмо с домена @mysite.com, почтовый провайдер получает строку символов с данными об отправителе, дате и времени. Затем он расшифровывает эту строку с помощью ключа, связанного с вашим доменом. Если данные совпадают, письмо считается подлинным.
DMARC дополняет SPF и DKIM. Он не заменяет их, а добавляет еще один уровень защиты. DMARC:
- сообщает почтовому провайдеру, что делать, если SPF, DKIM или оба протокола показали проблему: ничего не делать, отправить письмо в спам, пометить как подозрительное или отклонить доставку;
- отправляет владельцу домена отчеты о том, откуда пришли такие письма и как провайдер с ними поступил.
Важное преимущество DMARC — выравнивание доменов. Это значит, что домен в SPF и домен, который подтверждается через DKIM, должны совпадать с заявленным доменом отправителя. SPF и DKIM по отдельности не дают такой проверки, поэтому без DMARC сложнее понять, было ли письмо подделано.
Зачем использовать DMARC в email-маркетинге
DMARC полезен даже компаниям, которые не занимаются email-маркетингом. Но для рассылок он особенно важен: он влияет на доверие, безопасность и видимость писем.
Улучшение репутации бренда
Получатели часто верят, что имя в поле From — это реальный отправитель. Если мошенники используют ваш домен и название компании для фишинга, одного громкого инцидента может хватить, чтобы клиенты перестали доверять бренду.
После такой истории даже сильная email-стратегия не спасет метрики: люди будут бояться нажимать кнопки и переходить по ссылкам. DMARC снижает риск атак от имени вашего бренда и защищает подписчиков от подделки отправителя.
Повышение видимости писем
Есть разные мнения о том, как DMARC влияет на доставляемость. Плохо настроенная политика может отправлять настоящие письма в спам. Но без DMARC ложные срабатывания и подозрения со стороны провайдеров тоже встречаются чаще.
Когда у домена настроены SPF, DKIM и DMARC, почтовым провайдерам проще доверять отправителю. Это повышает шансы, что маркетинговые письма попадут во входящие, а не в папку со спамом.
Усиление безопасности
Фишинг и подделка отправителя остаются серьезной угрозой. DMARC помогает защищать не только клиентов, но и сотрудников. Подозрительные письма от имени компании не должны доходить до inbox, если они не прошли проверку.
Даже если бизнес не делает массовые рассылки, DMARC повышает внутреннюю и внешнюю безопасность, а также укрепляет доверие к домену.
Пошаговая настройка DMARC
Теперь разберем, как настроить DMARC-запись для писем компании.
Подготовьтесь к настройке
DMARC не будет работать без SPF и DKIM, поэтому сначала нужно настроить оба протокола.
Настройка SPF обычно включает четыре шага:
- собрать все IP-адреса, с которых вы отправляете письма;
- составить белый список доменов и сервисов;
- создать SPF-запись и добавить нужные IP-адреса;
- опубликовать DNS TXT-запись с этой информацией.
Для DKIM понадобится дополнительная настройка на почтовом сервере или у провайдера. Нужно сгенерировать ключи, опубликовать публичный ключ в DNS, сохранить приватный ключ и настроить сервер или сервис отправки.
Если SPF и DKIM уже настроены, можно переходить к DMARC. Важно: оба протокола должны работать минимум 48 часов до публикации DMARC-записи.
Определите политику
DMARC-запись состоит из переменных. Часть обязательна, часть можно добавлять по необходимости.
| Переменная | Обязательна | Что означает | Возможные значения |
| v | Да | Версия DMARC | DMARC1 |
| p | Да | Что делать с письмами, которые не прошли проверку | none, quarantine, reject |
| rua | Нет, но полезна | Адрес для агрегированных отчетов | mailto:reports@mysite.com |
| pct | Нет | Процент писем, к которым применяется политика | от 1 до 100 |
| sp | Нет | Отдельная политика для поддоменов | none, quarantine, reject |
| adkim | Нет | Строгость проверки DKIM | s или r |
| aspf | Нет | Строгость проверки SPF | s или r |
Пример:
v=DMARC1; p=quarantine; pct=45; rua=mailto:reports@mysite.com
Это значит, что 45% писем, которые не прошли проверку, будут отправлены в спам, а отчеты придут на reports@mysite.com. Параметр pct удобен при постепенном внедрении DMARC: можно начать с небольшой доли и постепенно поднять ее до 100%.
Другой пример:
v=DMARC1; p=reject; rua=mailto:reports@mysite.com
Такая политика полностью отклоняет письма, которые не прошли проверку. Это строгий вариант, но он может давать ложные срабатывания. Например, если вы забыли добавить в SPF сторонний сервис платежей или рассылок, легитимные письма могут не дойти до получателей.
Для начала часто выбирают quarantine: подозрительные письма попадают в спам, а вы получаете отчеты и можете исправлять настройки.
Опубликуйте DMARC-запись
DMARC публикуется как DNS TXT-запись. Для этого зайдите в панель хостинга или управления DNS и создайте новую запись.
Обычно нужно заполнить четыре поля:
- Hostname — `_dmarc`, подчеркивание обязательно;
- Resource type — TXT;
- Value — ваша DMARC-запись;
- TTL — время кеширования, например 1 час.
Интерфейсы у хостингов отличаются, поэтому при сомнениях лучше свериться с документацией или поддержкой провайдера.
Используйте и читайте отчеты
Если вы добавили тег rua, на указанный адрес будут приходить агрегированные DMARC-отчеты в XML-формате. Обычно они отправляются раз в день.
Есть два типа отчетов:
- Aggregate reports — метаданные по группам писем: результаты аутентификации, домены, IP-адреса и применение политики DMARC.
- Failure reports — данные по отдельным письмам, которые не прошли SPF или DKIM.
Отчеты помогают понять, кто отправляет письма от имени вашего домена, какие письма не проходят проверку и где нужно исправить настройки.
Устраняйте проблемы
Из-за DMARC легитимные письма тоже иногда могут попадать в спам или отклоняться. Что проверить:
- SPF и DKIM. Убедитесь, что они настроены и работают. Частая ошибка — не добавить сторонний сервис рассылок или транзакционных писем.
- Полные заголовки письма. В них есть результаты DKIM, SPF и DMARC. Если все проверки проходят, проблема может быть не в DMARC, а в содержании или настройке массовой рассылки.
- Политику DMARC. Если стоит p=reject и есть ложные срабатывания, временно перейдите на менее строгий вариант, например p=none или quarantine.
- DMARC-отчеты. Они покажут, какие письма не доставляются и почему.
Итоги
DMARC — дополнительный уровень защиты для домена. Он помогает защитить клиентов и сотрудников от фишинга и подделки отправителя. Технически это DNS TXT-запись, которая говорит почтовому провайдеру, что делать с письмами, не прошедшими аутентификацию.
Почему DMARC стоит внедрить:
- он защищает репутацию бренда;
- повышает доверие почтовых провайдеров к вашим письмам;
- усиливает безопасность клиентов, сотрудников и домена.
Короткий порядок внедрения:
- проверьте и настройте SPF и DKIM;
- выберите политику DMARC и дополнительные параметры;
- опубликуйте DNS TXT-запись;
- читайте отчеты и следите, кто отправляет письма от имени домена;
- исправляйте проблемы с доставкой, если легитимные письма не проходят проверку.
DMARC не заменяет качественный email-маркетинг, но делает его безопаснее и надежнее.
Новое и интересное в нашем блоге. 