Как настроить DMARC для домена
DMARC (Domain-based Message Authentication, Reporting & Conformance) — политика для получателей почты: что делать с письмами, которые не прошли SPF/DKIM. Публикуется как TXT-запись _dmarc.example.com. Минимум: v=DMARC1; p=none; rua=mailto:dmarc@example.com. Рабочая схема: p=none → мониторинг 2 недели → quarantine → reject.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Пошаговая настройка
- Убедитесь что SPF и DKIM уже настроены и работают
- Создайте аккаунт для отчётов:
dmarc@example.com(или используйте сервис типа dmarcian.com) - Стартовая TXT-запись: имя
_dmarc, значениеv=DMARC1; p=none; rua=mailto:dmarc@example.com - Мониторьте отчёты 2 недели — убедитесь, что легитимная почта проходит
- Перейдите на
p=quarantine; pct=25(25% неавторизованной почты в спам) - Через неделю:
p=quarantine; pct=100, через ещё неделю:p=reject; pct=100 - Проверьте через DKIM/DMARC чекер Enterno.io
Рабочие примеры
| Сценарий | Конфиг / запись |
|---|---|
| Стартовая (мониторинг) | v=DMARC1; p=none; rua=mailto:dmarc@example.com; fo=1 |
| Quarantine 25% | v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com |
| Финальная (reject) | v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com; adkim=s; aspf=s |
| Subdomain policy | v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@example.com |
| Parked domain (не шлёт почту) | v=DMARC1; p=reject; sp=reject; aspf=s; adkim=s |
Типичные ошибки
- p=reject без мониторинга — легитимная почта пропадает. Всегда начинайте с p=none
adkim=s(strict) требует exact match d= в DKIM. Relaxed (r) — разрешает subdomain- Нет rua= — нет отчётов, не знаете что ломается
- Forwarders (списки рассылки) часто ломают SPF и DKIM — вы увидите fail в отчётах, это нормально
- DMARC работает только если SPF и/или DKIM настроены. Без них — бесполезен
Почему нам доверяют
Как это работает
Введите домен и селектор
Получаем DKIM TXT-запись
Проверяем открытый ключ
Что такое DKIM?
DKIM (DomainKeys Identified Mail) — механизм подписи письма цифровым ключом, который хранится в DNS. Это позволяет получателю убедиться, что письмо действительно отправлено с указанного домена.
Проверка по селектору
Укажите домен и DKIM-селектор — получите публичный ключ и его параметры.
Анализ ключа
Длина ключа RSA/Ed25519, алгоритм хеширования, флаги и срок действия.
Рекомендации
Если ключ < 2048 бит — выдаём предупреждение и инструкцию по обновлению.
Мгновенный результат
Прямой DNS-запрос за секунды — без ожидания TTL.
Кому это нужно
Email-маркетологи
проверка перед рассылкой
Системные администраторы
настройка почтового сервера
Безопасники
аудит защиты от фишинга
Разработчики
дебаг доставляемости почты
Частые ошибки
Лучшие практики
Получите больше с бесплатным аккаунтом
История DKIM-проверок и DNS-мониторинг изменений записей домена.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
Что такое rua и ruf?
<code>rua</code> — aggregate reports (ежедневные статистики от Gmail/Yandex). <code>ruf</code> — forensic reports (отдельные сломанные письма, опционально). rua достаточно для 99% случаев.
Нужен ли DMARC маленькому сайту?
Да. Даже parked домен (без почты) должен иметь DMARC, иначе атакующий может spoof'ить от вашего имени в фишинге.
Как прочитать aggregate report?
Это XML. Сервисы типа dmarcian.com, dmarcanalyzer.com, postmaster.google.com парсят и визуализируют — бесплатный tier обычно есть.
Сколько ждать до перехода на reject?
Минимум 2 недели мониторинга p=none. Оптимально: 4 недели p=none → 2 недели p=quarantine pct=25 → 2 недели pct=100 → p=reject. Итого ~2 месяца.