Skip to content
← Все статьи

Переход DMARC к p=reject без потери писем

Коротко. Не включайте p=reject сразу. Начните с p=none и собирайте RUA-отчёты 2–4 недели, чтобы увидеть все источники рассылки. Затем переведите политику на p=quarantine с малым pct (10–25%) и постепенно повышайте до 100%. Только когда все легитимные потоки проходят SPF/DKIM-выравнивание, переключайтесь на p=reject. Резкий переход почти всегда роняет часть писем.

Почему нельзя сразу p=reject

DMARC опирается на выравнивание (alignment): домен в From: должен совпадать с доменом, проверенным SPF или DKIM. Многие сервисы (CRM, биллинг, рассылки) шлют от вашего имени, но не выровнены. Включив reject вслепую, вы отклоните их письма у получателя.

Правило безопасной миграции: сначала наблюдай, потом карантинь малой долей, и только затем отклоняй. Каждая ступень — это данные, а не догадка.

Этап 1. Режим наблюдения p=none

Опубликуйте запись в DNS и подключите адрес для агрегированных отчётов (RUA):

_dmarc.example.com. IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=1; adkim=r; aspf=r"

В течение 2–4 недель почтовые провайдеры будут присылать XML-отчёты с источниками, проходящими и не проходящими проверку.

Этап 2. Карантин с долей pct

Когда основные потоки выровнены, включайте карантин не на 100%, а на четверть трафика:

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com; fo=1; adkim=s; aspf=s"

Наблюдайте за RUA ещё неделю, затем повышайте pct до 50, 75 и 100.

Этап 3. Полное отклонение p=reject

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com; fo=1; adkim=s; aspf=s"

На этом этапе все поддельные письма от вашего домена отклоняются на стороне получателя.

График миграции

ЭтапЗапись политикиДлительностьЧто проверяем
1. Наблюдениеp=none; pct=1002–4 неделиВсе источники в RUA
2. Карантин 25%p=quarantine; pct=251 неделяНет легитимных fail
3. Карантин 100%p=quarantine; pct=1001–2 неделиСтабильность доставки
4. Rejectp=reject; pct=100постоянноПоддельные письма отклонены

Как читать RUA-отчёты

  • source_ip — кто отправлял письмо от вашего домена;
  • spf / dkim result — pass или fail по каждому механизму;
  • disposition — что провайдер сделал с письмом (none/quarantine/reject);
  • ищите fail при выравнивании — это и есть будущие потери.

Частые ошибки

  1. Включение adkim=s; aspf=s (strict) до проверки поддоменов.
  2. Забытый сервис рассылки, который всплывает только после reject.
  3. Отсутствие мониторинг сайтов записи DMARC — её могут случайно перезаписать.

Где enterno помогает

Инструмент /email-check разбирает SPF, DKIM и DMARC вашего домена и показывает текущую политику и выравнивание. На плане Pro+ можно загружать DMARC RUA-отчёты для анализа источников. Запись _dmarc можно поставить на /monitors, чтобы получать алерт в Telegram, если TXT-запись изменилась или пропала. Сами письма enterno не отправляет — рассылку ведёт ваш ESP, мы только диагностируем и мониторим.

FAQ

Сколько ждать на этапе p=none?

От 2 до 4 недель — достаточно, чтобы в RUA попали редкие источники (квартальные счета, сезонные рассылки).

Можно ли пропустить карантин и сразу reject?

Технически да, но рискованно: карантин — это страховка, при которой подозрительное письмо уходит в спам, а не теряется.

Что такое pct?

Доля писем (в процентах), к которым применяется политика. Остальные обрабатываются по более мягкому правилу.

Strict или relaxed выравнивание?

Начинайте с relaxed (adkim=r; aspf=r), переходите на strict, только убедившись, что поддомены выровнены.

Дальше: проверьте DMARC домена, изучите DNS-записи и почитайте про SPF/DKIM/DMARC, enforcement DMARC 2026 и настройку MX.

Проверьте ваш сайт прямо сейчас

Проверить безопасность сайта →
Другие статьи: Безопасность
Безопасность
Руководство по двухфакторной аутентификации: TOTP, SMS и аппаратные ключи
16.03.2026 · 153 просм.
Безопасность
Cloudflare Error 1020 Access Denied: как исправить
23.06.2026 · 75 просм.
Безопасность
Письма уходят в спам: причины и как исправить
23.06.2026 · 46 просм.
Безопасность
Чек-лист безопасности веб-сервера: Nginx и Apache
16.03.2026 · 214 просм.