DMARC (domain-based message authentication reporting and conformance), идентификация сообщений, создание отчётов и определение соответствия по доменному имени – объединяет технологии SPF и DKIM в единый набор правил защиты пользователей от спама и фишинговых писем.
DMARC позволяет администратору домена прописать в записи TXT определенные правила, которым должна соответствовать вся почта, исходящая с исходного адреса [From:], связанного с его доменом. Таким образом, например, можно определить, должно ли письмо быть подписано технологией DKIM, или отправлено согласно правилам SPF с конкретного IP-адреса, или же выполнять оба условия одновременно. Кроме того, можно в общих чертах описать, что делать с теми сообщениями, которые не соответствуют правилам DMARC.
В Zone по умолчанию создается правило DMARC позволяющее получателю получать письма, даже если одна из вышеперечисленных проверок не пройдена.
Однако правила можно устрожить. Например возможно сделать DKIM подпись обязательной, используя тег adkim=s в DNS-записи DMARC. Если это правило комбинировать с тегом политики p=reject, то сервер принимающей стороны обязан отвергать все письма нарушающие данное правило.
Однако то, как серверы электронной почты обрабатывают сообщения с политикой DMARC, зависит от каждого администратора сервера. Например, несмотря на настроенную политику, не всегда все серверы могут отклонять почту с политикой p=reject. Большинство крупных поставщиков услуг, таких как Gmail, Office365, а также Zone, все-таки делают это.
Запись сервера имен
Если вдаваться в подробности, политику DMARC настраивается при помощи специальной записи TXT с именем поддомена _dmarc, например, _dmarc.example.com. Содержимое этой записи TXT состоит из тегов nimi=значение , разделенных друг от друга точкой с запятой.
Например:
"v=DMARC1;p=reject;rua=mailto:dmarcreports@example.com;"
В панели управления Мой Zone можно активировать политику DMARC в меню Почта -> DKIM / SPF / DMARC. Подробные инструкции по активации записей можно найти здесь.
По умолчанию добавляется v=DMARC1; p=none TXT запись, но при желании политику можно устрожить сразу оттуда.
Политика
Тег ‘Policy’ или политика определяет строгость правила DMARC. В DNS-записи это описывается тегом p=. Возможными значениями тега являются:
none– серверу-получателю не дается никаких особых указаний;quarantine– карантин, сервер получателя должен поместить письмо в папку спама или добавить флаг, указывающий на то, что письмо подозрительно;reject– сервер получателя должен отклонить письмо нарушившее правило
NB! Тег политики p= должен быть описан в TXT-записи сразу после версии v=!
Рекомендуется постепенно переходить к более строгой реализации политики DMARC: none->quarantine->reject.
Строгость записей DKIM и SPF
Теги adkim= и aspf= могут использоваться для описания того, являются ли правила DKIM и SPF смягченными или строгими. По умолчанию для них используется значение ‘relaxed‘ или ослабленное. Однако если значение установлено как ‘strict‘ (=s) или строгое, тег adkim=s требует от принимающего сервера, чтобы все сообщения были подписаны DKIM, а тег aspf=s требует, чтобы сообщения отправлялись с IP-адресов, описанных в SPF записи . В случае ослабленной политики (по умолчанию) хотя бы один из этих тегов должен быть правильным.
Мы рекомендуем вам хорошенько подумать, прежде чем ужесточать настройки, чтобы убедиться, что все электронные письма, отправляемые с вашего домена, соответствуют этим условиям!
Отчеты
Одной из примечательных особенностей правил DMARC является возможность запрашивать отчеты с почтовых серверов, на которые были отправлены письма от имени вашего домена.
PS! Отчетность предназначена для опытных пользователей, и перед ее активацией мы рекомендуем ознакомиться с более подробной документацией по DMARC! Например здесь.
fo=тег может быть установлен, чтобы указать, для чего отправляются отчеты.rf=тег задает формат отчета об ошибках.ri=тег для указания частоты отправки отчета (по умолчанию 24 часа).rua=тег указывающий адрес электронной почты, на который должен быть отправлен отчет; этот адрес должен быть в форматеmailto:dmarcreports@example.com. NB! Этот адрес электронной почты должен находиться в том же домене, в противном случае для адреса электронной почты отчета в DNS зону домена должна быть добавлена отдельная TXT-запись. Однако это тема для опытных пользователей.
Дополнительная информация
- Имейте в виду, что политика DMARC влияет на заголовок From: (header from). Однако проверка SPF распространяется на отправителя конверта (envelope from). Если эти домены разные и сообщение не имеет подписи DKIM (header from домена), проверка DMARC не пройдена! Это влияет на почтовые рассылки и пересылки копий писем, поскольку SRS меняет конверт.
- В документации DMARC говорится о теге
pct=, который должен указывать процент сообщений, к которым должна применяться политика DMARC. В реальности мы не сталкивались с ситуацией, когда этот процент имел бы какой-либо эффект, и добавлять его нет необходимости. - Существуют также специализированные поставщики услуг (например, https://dmarcian.com/) для сбора и анализа отчетов DMARC, но обратите внимание, что многие из их отчетов носят очень технический характер и их сложно интерпретировать.
- DMARC применяется только к сообщениям с одним From: адресом. (Согласно RFC, технически адресов From может быть несколько, но на самом деле он мало используется).