Skip to content
EN

Что такое DMARC

Коротко:

DMARC (Domain-based Message Authentication, Reporting and Conformance) — политика, указывающая почтовым серверам, что делать с письмами, которые не прошли SPF или DKIM. Публикуется как TXT-запись _dmarc.example.com. Работает поверх SPF+DKIM: хотя бы один должен выровняться с доменом From. Без DMARC домен остаётся уязвим для spoofing.

Ниже: подробности, пример, смежные термины, FAQ.

Проверить свой сайт →

Подробности

  • Синтаксис: v=DMARC1; p=none|quarantine|reject; rua=mailto:...; pct=100
  • Три уровня строгости: p=none (мониторинг) → p=quarantine (в спам) → p=reject (отказ)
  • rua= агрегированные отчёты, ruf= forensic отчёты по конкретным fail-письмам
  • adkim=s/r, aspf=s/r — strict vs relaxed alignment. По умолчанию relaxed
  • Gmail и Yahoo с февраля 2024 требуют DMARC для массовых отправителей (>5000 в день)

Пример

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com

Смежные термины

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) — это протокол, который помогает защитить домены от подделки и фишинга, обеспечивая аутентификацию электронной почты. Он работает совместно с двумя другими стандартами: SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail). В 2026 году DMARC становится необходимым инструментом для обеспечения безопасности электронной почты и защиты корпоративных коммуникаций.

Как работает DMARC?

DMARC позволяет владельцам доменов определить, как обрабатывать сообщения, которые не проходят аутентификацию. Он использует записи DNS для настройки правил обработки и отчетности. Основные шаги работы DMARC:

  1. Настройка DNS: Владелец домена добавляет запись DMARC в DNS. Пример записи:
v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com; ruf=mailto:forensic@yourdomain.com;
  1. Аутентификация: Когда почтовый сервер получает сообщение, он проверяет SPF и DKIM для подтверждения, что сообщение действительно отправлено от указанного домена.
  2. Обработка сообщений: Если сообщение не проходит аутентификацию, DMARC указывает, что с ним делать: отклонить (reject), пометить как спам (quarantine) или ничего не делать (none).
  3. Отчеты: DMARC предоставляет отчеты о том, как обрабатываются сообщения, что позволяет владельцам доменов получать информацию о возможных попытках подделки.

Таким образом, DMARC взаимодействует с SPF и DKIM, обеспечивая многоуровневую защиту электронной почты.

Практическое применение DMARC в 2026 году

В 2026 году внедрение DMARC становится критически важным для компаний, особенно с учетом роста киберугроз. Рассмотрим пример настройки DMARC для домена example.com:

  1. Создание записи DMARC: Вам нужно добавить запись в DNS:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com; pct=100;
  1. Параметры записи: В этой записи:
  • v=DMARC1: указывает версию DMARC.
  • p=quarantine: указывает, что сообщения, не прошедшие проверку, должны помещаться в спам.
  • rua: адрес для получения агрегированных отчетов.
  • ruf: адрес для получения детализированных отчетов.
  • pct=100: указывает, что правило применяется ко всем сообщениям.

После настройки вы сможете получать регулярные отчеты о состоянии аутентификации ваших сообщений. Это позволит вам быстро реагировать на проблемы и улучшать безопасность вашего домена.

Таким образом, DMARC является важным инструментом для защиты корпоративной почты и помогает поддерживать репутацию домена. Внедрение DMARC в 2026 году не только уменьшает риск подделки, но и повышает доверие к вашим электронным сообщениям.

Публичный ключDKIM-ключ в DNS TXT-записи
Длина ключаRSA-1024, 2048 или Ed25519
Быстрый тестДомен + селектор = результат
ВалидацияСинтаксис и параметры DKIM TXT-записи

Почему нам доверяют

DKIM
проверка подписи
SPF
SPF + DMARC аудит
DNS
проверка TXT-записи
Free
без ограничений

Как это работает

1

Введите домен и селектор

2

Получаем DKIM TXT-запись

3

Проверяем открытый ключ

Что такое DKIM?

DKIM (DomainKeys Identified Mail) — механизм подписи письма цифровым ключом, который хранится в DNS. Это позволяет получателю убедиться, что письмо действительно отправлено с указанного домена.

Проверка по селектору

Укажите домен и DKIM-селектор — получите публичный ключ и его параметры.

Анализ ключа

Длина ключа RSA/Ed25519, алгоритм хеширования, флаги и срок действия.

Рекомендации

Если ключ < 2048 бит — выдаём предупреждение и инструкцию по обновлению.

Мгновенный результат

Прямой DNS-запрос за секунды — без ожидания TTL.

Кому это нужно

Email-маркетологи

проверка перед рассылкой

Системные администраторы

настройка почтового сервера

Безопасники

аудит защиты от фишинга

Разработчики

дебаг доставляемости почты

Частые ошибки

Использовать 1024-битный ключ1024 бит считается слабым. Gmail и Outlook требуют минимум 2048 бит.
Не ротировать ключиОдин и тот же ключ годами — риск компрометации. Ротируйте ключи раз в 6–12 месяцев.
Неправильный селекторКаждый ESP использует свой селектор. Убедитесь, что в DNS стоит правильный ключ для каждого.
Не проверять после смены ESPПри смене сервиса рассылки всегда проверяйте DKIM нового провайдера.

Лучшие практики

Используйте 2048-битные ключиЭто текущий рекомендуемый минимум. Ed25519 — более современная альтернатива.
Настройте DMARC вместе с DKIMБез DMARC даже корректная DKIM-подпись не защищает от Display-From подмены.
Проверяйте после миграцииПри смене DNS-провайдера DKIM-записи часто теряются. Проверяйте сразу после.
Документируйте все селекторыХраните список всех DKIM-селекторов — пригодится при ротации и аудите.

Получите больше с бесплатным аккаунтом

История DKIM-проверок и DNS-мониторинг изменений записей домена.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Нужен ли DMARC если есть SPF и DKIM?

Да. SPF/DKIM только аутентифицируют. DMARC говорит получателю что делать если они fail — без DMARC получатель сам решает (часто принимает).

С чего начать?

Всегда с p=none и rua=mailto:. Монитор 2 недели, затем quarantine pct=25, потом 100, потом reject.

Есть ли стоимость?

DMARC бесплатен. Агрегаторы отчётов типа dmarcian предоставляют free tier для маленьких доменов.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.