DMARC в 2026: ужесточение Gmail/Yahoo
Коротко. С февраля 2024 года Gmail и Yahoo требуют от массовых отправителей (более 5000 писем в день) одновременной настройки SPF, DKIM и DMARC. Без этого письма попадают в спам или отклоняются. DMARC связывает SPF и DKIM с доменом из поля From и задаёт политику обработки непрошедших проверку писем: p=none (мониторинг сайтов), p=quarantine (в спам) или p=reject (отклонять). В 2026 рекомендуемая цель — постепенный переход к p=reject.
Что требуют Gmail и Yahoo
Новые требования крупных почтовых провайдеров для bulk-отправителей включают три обязательных элемента:
- SPF — указывает, какие серверы вправе отправлять почту от вашего домена.
- DKIM — криптографическая подпись писем, подтверждающая их целостность и источник.
- DMARC — политика, связывающая SPF/DKIM с доменом From и задающая действие при провале.
Дополнительно требуется лёгкая отписка в один клик (List-Unsubscribe) и удержание спам-рейта ниже порога.
DMARC без SPF и DKIM бессмыслен. Сначала настройте оба механизма аутентификации, добейтесь их «выравнивания» (alignment) с доменом From, и только потом ужесточайте политику DMARC.
Как работает выравнивание (alignment)
DMARC проходит, если SPF или DKIM не только прошли проверку, но и выровнены по домену: домен в проверке совпадает с доменом в видимом поле From. Именно alignment отличает DMARC от простой проверки SPF — он защищает от спуфинга вашего домена.
Политики DMARC: путь ужесточения
| Политика | Действие | Когда применять |
|---|---|---|
| p=none | Ничего не делать, только собирать отчёты | Старт: аудит источников почты |
| p=quarantine | Помещать в спам | После того как легитимная почта стабильно проходит |
| p=reject | Отклонять письмо | Финальная цель: полная защита домена |
Пример DNS-записи DMARC
Запись публикуется в TXT по адресу _dmarc.вашдомен. Начните с мониторинга и сбора отчётов:
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com; fo=1; adkim=s; aspf=s"Когда отчёты подтвердят, что легитимная почта проходит, переходите к жёсткой политике:
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; pct=100; adkim=s; aspf=s"Как проверить записи через dig
Проверить опубликованную DMARC-запись можно командой:
dig +short TXT _dmarc.example.com
# Также проверьте SPF:
dig +short TXT example.com | grep spf1Пошаговый план внедрения
- Настройте SPF: перечислите все легитимные серверы отправки.
- Включите DKIM-подпись на почтовом сервере и опубликуйте публичный ключ.
- Опубликуйте DMARC с
p=noneи адресом для отчётов (rua). - Анализируйте отчёты, выявляйте все источники своей почты.
- Переведите политику на
p=quarantine, затем наp=reject. - Настройте мониторинг, чтобы заметить поломку аутентификации заранее.
Частые ошибки
Сразу включить p=reject без мониторинга — и легитимные рассылки (CRM, биллинг, маркетинг) начнут отклоняться. Забыть про сторонние сервисы отправки, которые не выровнены по вашему домену. Не следить за истечением и корректностью DNS Lookup — одна опечатка ломает всю аутентификацию.
FAQ
Кого касаются требования Gmail и Yahoo?
В первую очередь массовых отправителей — от 5000 писем в день. Но настроить SPF-запись, DKIM и DMARC полезно любому домену для защиты от спуфинга.
С какой политики DMARC начинать?
С p=none для мониторинга. Соберите отчёты, убедитесь, что легитимная почта проходит, и только потом ужесточайте до quarantine и reject.
DMARC работает без SPF и DKIM?
Нет. DMARC опирается на результаты SPF и DKIM с учётом выравнивания по домену. Сначала настройте оба, затем DMARC.
Что такое alignment в DMARC?
Это совпадение домена, прошедшего SPF или DKIM, с доменом в видимом поле From. Без выравнивания DMARC не считается пройденным.
Проверьте записи SPF, DKIM и DMARC своего домена на инструментах диагностики enterno.io — анализатор email-заголовков трассирует путь письма и проверяет аутентификацию. Полезны также сканер безопасности и SSL-чекер для общей гигиены домена.