Skip to content
Тарифы EN Войти
EN

Что такое DMARC

Автор: · Обновлено
Коротко:

DMARC (Domain-based Message Authentication, Reporting and Conformance) — политика, указывающая почтовым серверам, что делать с письмами, которые не прошли SPF или DKIM. Публикуется как TXT-запись _dmarc.example.com. Работает поверх SPF+DKIM: хотя бы один должен выровняться с доменом From. Без DMARC домен остаётся уязвим для spoofing.

Ниже: подробности, пример, смежные термины, FAQ.

Попробовать бесплатно →

Подробности

  • Синтаксис: v=DMARC1; p=none|quarantine|reject; rua=mailto:...; pct=100
  • Три уровня строгости: p=none (мониторинг) → p=quarantine (в спам) → p=reject (отказ)
  • rua= агрегированные отчёты, ruf= forensic отчёты по конкретным fail-письмам
  • adkim=s/r, aspf=s/r — strict vs relaxed alignment. По умолчанию relaxed
  • Gmail и Yahoo с февраля 2024 требуют DMARC для массовых отправителей (>5000 в день)

Пример

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com

Смежные термины

Смежные материалы

Публичный ключDKIM-ключ в DNS TXT-записи
Длина ключаRSA-1024, 2048 или Ed25519
Быстрый тестДомен + селектор = результат
ВалидацияСинтаксис и параметры DKIM TXT-записи

Почему нам доверяют

DKIM
проверка подписи
SPF
SPF + DMARC аудит
DNS
проверка TXT-записи
Free
без ограничений

Как это работает

1

Введите домен и селектор

2

Получаем DKIM TXT-запись

3

Проверяем открытый ключ

Что такое DKIM?

DKIM (DomainKeys Identified Mail) — механизм подписи письма цифровым ключом, который хранится в DNS. Это позволяет получателю убедиться, что письмо действительно отправлено с указанного домена.

Проверка по селектору

Укажите домен и DKIM-селектор — получите публичный ключ и его параметры.

Анализ ключа

Длина ключа RSA/Ed25519, алгоритм хеширования, флаги и срок действия.

Рекомендации

Если ключ < 2048 бит — выдаём предупреждение и инструкцию по обновлению.

Мгновенный результат

Прямой DNS-запрос за секунды — без ожидания TTL.

Кому это нужно

Email-маркетологи

проверка перед рассылкой

Системные администраторы

настройка почтового сервера

Безопасники

аудит защиты от фишинга

Разработчики

дебаг доставляемости почты

Частые ошибки

Использовать 1024-битный ключ1024 бит считается слабым. Gmail и Outlook требуют минимум 2048 бит.
Не ротировать ключиОдин и тот же ключ годами — риск компрометации. Ротируйте ключи раз в 6–12 месяцев.
Неправильный селекторКаждый ESP использует свой селектор. Убедитесь, что в DNS стоит правильный ключ для каждого.
Не проверять после смены ESPПри смене сервиса рассылки всегда проверяйте DKIM нового провайдера.

Лучшие практики

Используйте 2048-битные ключиЭто текущий рекомендуемый минимум. Ed25519 — более современная альтернатива.
Настройте DMARC вместе с DKIMБез DMARC даже корректная DKIM-подпись не защищает от Display-From подмены.
Проверяйте после миграцииПри смене DNS-провайдера DKIM-записи часто теряются. Проверяйте сразу после.
Документируйте все селекторыХраните список всех DKIM-селекторов — пригодится при ротации и аудите.

Получите больше с бесплатным аккаунтом

История DKIM-проверок и DNS-мониторинг изменений записей домена.

Зарегистрироваться (FREE)

Связанные инструменты

Email-доменDNS LookupСпам-листыSSL проверка

Больше по теме

Гайды

Глоссарий

Часто задаваемые вопросы

Нужен ли DMARC если есть SPF и DKIM?

Да. SPF/DKIM только аутентифицируют. DMARC говорит получателю что делать если они fail — без DMARC получатель сам решает (часто принимает).

С чего начать?

Всегда с p=none и rua=mailto:. Монитор 2 недели, затем quarantine pct=25, потом 100, потом reject.

Есть ли стоимость?

DMARC бесплатен. Агрегаторы отчётов типа dmarcian предоставляют free tier для маленьких доменов.

Начните мониторинг бесплатно

Зарегистрируйтесь и получите доступ к API, мониторингу и уведомлениям

Создать аккаунт Документация API