Коротко. DMARC-отчёты RUA — это ежедневные XML-агрегаты, которые почтовые провайдеры присылают на адрес из тега rua=. Каждый отчёт показывает, с каких IP отправлялась почта от вашего домена, прошли ли SPF и DKIM, выровнены ли они и какое решение (disposition) применил получатель. По этим данным вы находите легитимные источники, ловите подделку и безопасно переходите к p=reject.
Как включить отчёты
Добавьте в DMARC-запись тег rua с адресом для агрегатов:
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:forensic@example.com; fo=1"
# Проверка, что запись опубликована:
dig +short txt _dmarc.example.comСтруктура XML-отчёта
- report_metadata — кто прислал отчёт (org_name) и за какой период.
- policy_published — какую вашу политику (p, adkim, aspf) увидел получатель.
- record → row → source_ip — IP отправлявшего сервера и число писем.
- row → policy_evaluated — итоговое решение: none, quarantine, reject.
- auth_results — детально SPF и DKIM: домен и результат pass/fail.
Что значит «выравнивание» (alignment)
Главный нюанс DMARC — alignment. SPF или DKIM могут пройти, но если проверенный домен не совпадает с доменом из видимого From, DMARC всё равно провалится. В отчёте смотрите, совпадает ли header_from с доменом, по которому прошёл SPF или DKIM.
| Поле отчёта | Что показывает | На что смотреть |
|---|---|---|
| source_ip | IP отправителя | Знаком ли вам этот сервер |
| count | Сколько писем | Объём от источника |
| spf result | pass / fail | Прошёл ли SPF |
| dkim result | pass / fail | Прошёл ли DKIM |
| disposition | none/quarantine/reject | Что сделал получатель |
Высокий объём писем с незнакомых IP, где SPF и DKIM проваливаются, — это либо забытый легитимный сервис, либо подделка. Разберитесь, прежде чем ужесточать политику.
Как читать отчёт на практике
- Соберите все source_ip и сгруппируйте по объёму.
- Сопоставьте знакомые IP со своими сервисами (CRM, рассыльщик, сервер).
- Для каждого источника проверьте pass/fail SPF и DKIM и выравнивание.
- Найдите неучтённые сервисы — добавьте их в SPF/DKIM.
- Когда все легитимные источники проходят — поднимайте политику до quarantine, затем reject.
XML тяжело читать глазами: один день крупного домена — это сотни строк. Используйте парсер агрегатов, чтобы сразу видеть проблемные источники.
Как enterno.io помогает
На тарифы Pro+ инструмент /email-check поддерживает загрузку DMARC-агрегатов (RUA): вы выгружаете полученные XML-отчёты, а enterno разбирает их и показывает источники, результаты SPF/DKIM и выравнивание в наглядном виде вместо сырого XML. Это ускоряет путь к p=reject и помогает не заблокировать собственную почту. enterno диагностирует и мониторит — DNS Lookup и саму политику правит владелец домена. Бесплатно — 10 мониторов, 48+ инструментов и DNS-проверка.
Частые вопросы
Чем RUA отличается от RUF?
RUA — агрегированные ежедневные отчёты со статистикой. RUF — форензик-отчёты по отдельным провалившим письмам (с фрагментами заголовков); их шлют не все провайдеры и осторожно из-за приватности.
Как часто приходят отчёты?
Обычно раз в сутки от каждого провайдера-получателя. Поэтому полную картину источников вы увидите за несколько дней наблюдения.
Можно ли сразу ставить p=reject?
Не рекомендуется. Сначала p=none и анализ отчётов, иначе рискуете заблокировать легитимные рассылки, которых ещё нет в SPF/DKIM.
Начните анализ: включите rua и загрузите отчёты в /email-check. См. также защиту от подделки и настройку DKIM.