Оптимизация политики DMARC

Это обязательная вещь

DMARC больше не является просто "приятным приобретением". Это обязательное услови е для защиты репутации вашего бренда и обеспечения того, чтобы ваши почтовые кампании действительно попадали в почтовый ящик. Независимо от того, работаете ли вы в сфере маркетинга, продаж или ИТ, понимание DMARC означает, что вы контролируете, кто может отправлять сообщения от вашего имени.

Как остановить подмену электронной почты, не потеряв легитимную почту

Если вы специалист по маркетингу, управляющий электронной почтой своего бренда, то, скорее всего, вы слышали о DMARC - особенно если кто-то предупреждал вас о подделке электронной почты, жалобах на спам или необходимости BIMI и лучшей доставляемости. Но для многих DMARC все еще остается загадкой. В настройках домена он отображается в виде странного вида TXT-записи. Если вы видели что-то подобное...

v=DMARC1; p=none;rua=mailto:dmarc-reports@yourdomain.com

... и не совсем понимали, что это такое, то эта статья для вас.

Мы разложим все по полочкам - простыми словами - и покажем вам, как оптимизировать политику DMARC для обеспечения безопасности, репутации бренда и эффективности электронной почты.

DMARC основывается на двух старых методах аутентификации электронной почты:

SPF (Sender Policy Framework): Определяет, каким серверам разрешено отправлять почту от имени вашего домена.
DKIM (DomainKeys Identified Mail): Добавляет цифровую подпись к заголовкам электронной почты, чтобы убедиться, что сообщение не было изменено.

DMARC добавляет последний уровень: применение политики и отчетность.

Почему вам нужен DMARC?

Предотвращение подделки: Он не позволяет злоумышленникам отправлять поддельные письма, используя ваш домен (например, фишинг или мошенничество).
Защита вашего бренда: Если кто-то использует ваш домен для мошенничества, это может повредить репутации вашего бренда.
Доставляемость электронной почты: Провайдеры электронной почты предпочитают проверенные письма - DMARC поможет вашим законным письмам попадать в почтовый ящик.
Включить BIMI: Хотите, чтобы ваш логотип отображался рядом с вашими письмами в Gmail или Yahoo? У вас должна быть сильная политика DMARC (с возможностью ее применения).

Анатомия записи DMARC

Запись DMARC - это одна строка текста, добавленная в настройки DNS вашего домена (обычно в панели хостинг-провайдера или регистратора доменов). Давайте рассмотрим этот пример:

v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com

Теперь давайте расшифруем все варианты, которые вы можете использовать:

Тег	Что делает	Пример
v	Версия (всегда DMARC1)	v=DMARC1
p	Политика: что делать с неудачными письмами	p=none, p=quarantine, p=reject
rua	Электронное письмо с агрегированным отчетом (ежедневные данные)	rua=mailto:reports@yourdomain.com
ruf	Электронное письмо с отчетом о судебной экспертизе (данные по каждому сбою) (необязательно)	ruf=mailto:alerts@yourdomain.com
pct	Процент писем, к которым следует применить политику	pct=50 применяет политику к 50%
sp	Политика для субдоменов	sp=reject (политика для субдоменов)
adkim	Выравнивание DKIM: строгое(s) или расслабленное(r)	adkim=s
aspf	Выравнивание SPF: строгое или расслабленное	aspf=r
fo	Варианты криминалистической отчетности	fo=1, fo=0 и т.д.

3 режима политики DMARC

1. p=none

Просто мониторинг. Письма не блокируются.
Используйте его для начала сбора данных.
Лучше всего подходит для первых 1-3 недель.

2. p=карантин

Подозрительные письма попадают в папку "Спам".
Хорошая золотая середина. Вы начинаете фильтрацию, сохраняя при этом низкий риск.

3. p=отклонить

Полноценная фильтрация. Провайдеры электронной почты блокируют несанкционированные письма.
Лучшая защита, необходимая для BIMI и полного доверия.
Используйте после проверки соответствия отправителей (через отчеты).

Как использовать отчеты (RUA/RUF)

RUA: Ежедневные сводные отчеты (XML-файлы), отправляемые провайдерами почтовых ящиков. Показывает, кто отправляет почту от вашего имени, прошла ли она SPF/DKIM или нет, и откуда она пришла.
RUF: дополнительные отчеты о судебной экспертизе отдельных сбоев (часто не поддерживаются из-за соображений конфиденциальности).

Стратегия оптимизации DMARC (шаг за шагом)

1. Начните с мониторинга

Установите p=none, добавьте rua=mailto:yourreports@yourdomain.com.
Подождите 1-2 недели, соберите отчеты.

2. Проанализируйте, кто рассылает

Используйте отчеты, чтобы определить всех легитимных отправителей (Mailchimp, Google Workspace, CRM-инструменты и т. д.).
Убедитесь, что у каждого отправителя настроены правильные SPF и DKIM.

3. Устраните проблемы с выравниванием

Убедитесь, что записи DKIM и SPF соответствуют вашему домену(d= и Return-Path).
Установите adkim=s и aspf=s для строгого выравнивания, как только убедитесь в этом.

4. Переходите к применению постепенно

Начните с p=quarantine; pct=25, затем увеличьте до 50 %, затем до 100 %.
Наконец, установите p=reject, когда будете уверены.

5. Поддерживать и контролировать

Поддерживайте отчеты в активном состоянии. Даже при p=reject злоумышленники могут попробовать новые трюки.
Обновляйте записи SPF и DKIM при добавлении новых платформ.

Нужна помощь? Запланируйте встречу с нами, и мы поможем вам все настроить.

Пример сильной DMARC-записи

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:alerts@yourdomain.com; sp=reject; adkim=s; aspf=s; fo=1

Это говорит провайдерам входящих сообщений:

1. Блокировать все неаутентифицированные письма(p=reject).

2. Ежедневно отправлять вам отчеты(rua)

3. Строго следите за выравниванием(adkim=s, aspf=s)

4. Обеспечьте соблюдение правил и для поддоменов(sp=reject)

Оптимизация политики DMARC: Защита вашего бренда и повышение эффективности доставки электронной почты