Коротко. Не включайте p=reject сразу. Начните с p=none и собирайте RUA-отчёты 2–4 недели, чтобы увидеть все источники рассылки. Затем переведите политику на p=quarantine с малым pct (10–25%) и постепенно повышайте до 100%. Только когда все легитимные потоки проходят SPF/DKIM-выравнивание, переключайтесь на p=reject. Резкий переход почти всегда роняет часть писем.
Почему нельзя сразу p=reject
DMARC опирается на выравнивание (alignment): домен в From: должен совпадать с доменом, проверенным SPF или DKIM. Многие сервисы (CRM, биллинг, рассылки) шлют от вашего имени, но не выровнены. Включив reject вслепую, вы отклоните их письма у получателя.
Правило безопасной миграции: сначала наблюдай, потом карантинь малой долей, и только затем отклоняй. Каждая ступень — это данные, а не догадка.
Этап 1. Режим наблюдения p=none
Опубликуйте запись в DNS и подключите адрес для агрегированных отчётов (RUA):
_dmarc.example.com. IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=1; adkim=r; aspf=r"В течение 2–4 недель почтовые провайдеры будут присылать XML-отчёты с источниками, проходящими и не проходящими проверку.
Этап 2. Карантин с долей pct
Когда основные потоки выровнены, включайте карантин не на 100%, а на четверть трафика:
_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com; fo=1; adkim=s; aspf=s"Наблюдайте за RUA ещё неделю, затем повышайте pct до 50, 75 и 100.
Этап 3. Полное отклонение p=reject
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com; fo=1; adkim=s; aspf=s"На этом этапе все поддельные письма от вашего домена отклоняются на стороне получателя.
График миграции
| Этап | Запись политики | Длительность | Что проверяем |
|---|---|---|---|
| 1. Наблюдение | p=none; pct=100 | 2–4 недели | Все источники в RUA |
| 2. Карантин 25% | p=quarantine; pct=25 | 1 неделя | Нет легитимных fail |
| 3. Карантин 100% | p=quarantine; pct=100 | 1–2 недели | Стабильность доставки |
| 4. Reject | p=reject; pct=100 | постоянно | Поддельные письма отклонены |
Как читать RUA-отчёты
- source_ip — кто отправлял письмо от вашего домена;
- spf / dkim result — pass или fail по каждому механизму;
- disposition — что провайдер сделал с письмом (none/quarantine/reject);
- ищите fail при выравнивании — это и есть будущие потери.
Частые ошибки
- Включение
adkim=s; aspf=s(strict) до проверки поддоменов. - Забытый сервис рассылки, который всплывает только после reject.
- Отсутствие мониторинг сайтов записи DMARC — её могут случайно перезаписать.
Где enterno помогает
Инструмент /email-check разбирает SPF, DKIM и DMARC вашего домена и показывает текущую политику и выравнивание. На плане Pro+ можно загружать DMARC RUA-отчёты для анализа источников. Запись _dmarc можно поставить на /monitors, чтобы получать алерт в Telegram, если TXT-запись изменилась или пропала. Сами письма enterno не отправляет — рассылку ведёт ваш ESP, мы только диагностируем и мониторим.
FAQ
Сколько ждать на этапе p=none?
От 2 до 4 недель — достаточно, чтобы в RUA попали редкие источники (квартальные счета, сезонные рассылки).
Можно ли пропустить карантин и сразу reject?
Технически да, но рискованно: карантин — это страховка, при которой подозрительное письмо уходит в спам, а не теряется.
Что такое pct?
Доля писем (в процентах), к которым применяется политика. Остальные обрабатываются по более мягкому правилу.
Strict или relaxed выравнивание?
Начинайте с relaxed (adkim=r; aspf=r), переходите на strict, только убедившись, что поддомены выровнены.
Дальше: проверьте DMARC домена, изучите DNS-записи и почитайте про SPF/DKIM/DMARC, enforcement DMARC 2026 и настройку MX.