DMARC — TXT-запись в зоне DNS домена, определяющая политику обработки исходящих писем. Она необходима для защиты репутации доменного имени: адрес отправителя часто подделывается и используется для спама и фишинга. Например, клиенты вашего интернет-магазина получат письма с предложением купить товары по акции, а ссылки на них будут фальшивыми: при переходе откроется мошеннический сайт.
Почтовые сервисы защищают пользователей от таких писем, проверяя записи SPF и DKIM доменов-отправителей. В DMARC указывается, как действовать серверу, когда сообщение не проходит проверку.
Если ваши письма попадают в спам или не доходят до получателя, укажите в зоне DNS домена (раздел «Домены» → «Настройки DNS» → Ваш сайт → «Настройка DNS» в Панели управления) три записи: SPF, DKIM и DMARC.
Настройка SPF
SPF (Sender Policy Framework) — TXT-запись с перечнем серверов, которым разрешено отправлять почту с обратным адресом в домене.
SPF состоит из трех частей:
- Версия,
- Префикс и механизм,
- Модификатор.
Версия протокола — spf1.
Префиксы:
- + — принимать сообщение. Этот параметр установлен по умолчанию;
- - — отклонить сообщение;
- ~ — отправить в спам;
- ? — требуется дополнительная проверка.
Основные механизмы:
- all — любой сервер;
- ip4 — IP-адрес или подсеть адресов;
- a — определенный домен;
- mx — все серверы, указанные в MX-записях домена;
- include — получить данные с другого адреса.
Модификатор:
- redirect — проверить SPF-запись указанного домена вместо используемого
Пример
domain.com. TXT "v=spf1 a mx ip4:141.8.194.175 ~all" Принимать сообщения:
- c основного домена (a);
- домена из MX-записи (mx);
- IP-адреса 141.8.194.175 (ip4:141.8.194.175).
C других серверов (all) — перемещать в папку спам.
Если домен делегирован на наши NS-серверы, SPF настроена по умолчанию.
Настройка DKIM
DKIM (DomainKeys Identified Mail) — технология подтверждения почтового домена, с помощью добавления зашифрованной подписи в заголовки исходящих писем. Ключ для расшифровки указывается в TXT-записи доменного имени.
Запись имеет вид: dkim_selector._domainkey.domain.com. TXT "k=rsa\; t=s\; p=..." где:
- dkim_selector._domainkey — имя записи типа DKIM;
- k, t, p — параметры ключа.
Включите DKIM-подпись в Панели управления, блок «Электронная почта» раздела «Управление сайтами».
Если почта обслуживается внешним сервисом:
- запросите значение записи у провайдера;
- перейдите в раздел «Домены» → «Настройки DNS» → Ваш сайт → «Настройка DNS» Панели управления;
- добавьте запись DKIM, указав то имя записи и значение, которое вы получили от провайдера.
Настройка DMARC
После настройки SPF и DKIM укажите политику их обработки: добавьте запись DMARC.
Она выглядит так:_dmarc.domain.com. TXT «v=; p=; ...»
Параметры:
| Тег | Описание | Значение |
|---|---|---|
| v | Версия протокола | DMARC1 |
| p | Правила для домена | none — бездействовать; quarantine — поместить в спам; reject — отклонить. |
| aspf | Режим проверки соответствия SPF-записей | r (relaxed) — разрешить частичные совпадения; s (strict) — разрешить только полные совпадения. |
| pct | Сообщения, подлежащие фильтрации (в %) | Процент сообщений, для которых применяется политика. По умолчанию 100%. |
| sp | Правила для поддоменов | none — бездействовать; quarantine — поместить в спам; reject — отклонить. |
Обязательно укажите атрибуты, выделенные цветом.
Примеры
"v=DMARC1; p=quarantine; sp=quarantine; aspf=r;" Все сообщения с ящика в домене или поддомене, не прошедшие проверку записи SPF, помещать в спам.
"v=DMARC1; p=reject; sp=quarantine; pct=50;" Отклонять 50% сообщений, не прошедших проверку.