Настройте DMARC

DMARC сообщает принимающим почтовым серверам, какие действия следует предпринимать в отношении сообщений, отправленных с вашего домена, которые не прошли аутентификацию SPF или DKIM. Возможные варианты действий: отклонение, помещение в карантин или доставка сообщения. Вы также можете получать отчёты, которые помогут выявить возможные проблемы с аутентификацией и вредоносную активность в сообщениях, отправленных с вашего домена. Настройте DMARC, добавив TXT-запись DNS DMARC ( запись DMARC ) в свой домен.

Запись DMARC — это строка текста, которую вы добавляете к своему домену, следуя инструкциям провайдера. Вот пример записи DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Когда принимающие серверы получают электронные сообщения с вашего домена, которые не прошли проверку SPF или DKIM, они проверяют вашу запись DMARC, чтобы определить, какое действие следует предпринять в отношении сообщений: отклонить, поместить в карантин или доставить в обычном режиме.

На этой странице

Прежде чем начать

  • Для использования DMARC необходимо включить SPF и/или DKIM для вашего домена. Если вы ещё не настроили SPF и/или DKIM, см. статью «Как предотвратить спуфинг, фишинг и спам» .
    • Если вы не настроите SPF и/или DKIM перед включением DMARC, сообщения, отправляемые с вашего домена, вероятно, будут иметь проблемы с доставкой.
    • Подождите 48 часов после настройки SPF и/или DKIM, прежде чем настраивать DMARC.
  • Чтобы проверить, настроен ли DMARC для вашего домена, воспользуйтесь одним из множества бесплатных инструментов, доступных в интернете. Если DMARC уже настроен, проверьте отчёты DMARC, чтобы убедиться, что DMARC эффективно аутентифицирует сообщения и доставляет их должным образом.
  • Для настройки DMARC в консоли администратора Google вам не нужно ничего делать. Вместо этого определите свою запись DMARC, следуя инструкциям на этой странице. Затем войдите в систему хостинга вашего домена и добавьте запись DMARC, следуя инструкциям по настройке DMARC для хоста домена.

Шаг 1: Настройте группу или почтовый ящик для отчетов

Количество отчётов DMARC, которые вы получаете по электронной почте, может варьироваться и зависит от объёма отправляемых сообщений вашим доменом и от того, на сколько доменов вы их отправляете. Вы можете получать множество отчётов каждый день. Крупные организации могут получать до сотен или даже тысяч отчётов ежедневно. Google рекомендует создать группу или отдельный почтовый ящик для получения и управления отчётами DMARC .

Важно: Как правило, адрес электронной почты для отчётов находится в том же домене, что и домен, на котором размещена ваша запись DMARC. Если адрес электронной почты находится в другом домене, необходимо добавить запись DNS в этом домене. См. раздел «Отправка отчётов на адрес электронной почты в другом домене» на странице отчётов DMARC.

Шаг 2: Убедитесь, что сторонний адрес электронной почты аутентифицирован

Если вы используете сторонний сервис для отправки почты для своей организации, вы должны убедиться, что сообщения, отправляемые сторонними сервисами, аутентифицированы и проходят проверки SPF и DKIM:

  • Обратитесь к стороннему поставщику услуг, чтобы убедиться в правильности настройки SPF и DKIM.
  • Убедитесь, что домен отправителя конверта провайдера совпадает с вашим доменом. Добавьте IP-адреса почтовых серверов провайдера в запись SPF для вашего домена.
  • Направьте исходящую почту от провайдера через Google, используя настройку службы ретрансляции SMTP .

Шаг 3: Определите свою запись DMARC

Ваша политика DMARC определяется строкой текстовых значений, называемой записью DMARC. Эта запись определяет:

  • Насколько строго DMARC должен проверять сообщения
  • Рекомендуемые действия для принимающего сервера при получении сообщений, не прошедших проверку подлинности

Пример записи DMARC (замените example.com на свой домен):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Теги v и p должны быть указаны первыми. Остальные теги можно указывать в любом порядке.

При начале использования DMARC мы рекомендуем установить для параметра политики ( p ) значение none . По мере изучения того, как сообщения из вашего домена аутентифицируются принимающими серверами, обновляйте свою политику. Со временем измените политику получателя на «карантин» (или «отклонить »). См. рекомендуемое развёртывание DMARC .

Определения и значения тегов записи DMARC

Ярлык Описание и значения
в

(Обязательно) Версия DMARC. Должна быть DMARC1 .

п (Обязательно) Дает указание принимающему почтовому серверу, что делать с сообщениями, которые не прошли аутентификацию.
  • none — не предпринимать никаких действий с сообщением и доставить его получателю. Регистрировать сообщения в ежедневном отчёте. Отчёт отправляется на адрес электронной почты, указанный с помощью параметра rua в записи.
  • quarantine— сообщения помечаются как спам и отправляются в папку «Спам» получателя. Получатели могут просматривать спам-сообщения, чтобы определить, являются ли они подлинными.
  • reject— отклонить сообщение. При выборе этого варианта принимающий сервер обычно отправляет сообщение об отказе отправляющему серверу.

Примечание BIMI: если ваш домен использует BIMI , параметр DMARC p должен быть установлен на карантин или отклонение . BIMI не поддерживает политики DMARC, если параметр p установлен на none .

pct

Тег pct не является обязательным, но Google рекомендует включить его в запись DMARC при развертывании DMARC, чтобы вы могли управлять процентом электронной почты, к которому применяется ваша политика DMARC.

Указывает процент неаутентифицированных сообщений, подпадающих под действие политики DMARC. При постепенном развертывании DMARC можно начать с небольшого процента сообщений. По мере того, как всё больше сообщений из вашего домена будут проходить аутентификацию на принимающих серверах, обновляйте запись, увеличивая процент, пока не достигнете 100%.

Должно быть целым числом от 1 до 100. Если вы не используете эту опцию в записи, ваша политика DMARC применяется к 100% сообщений, отправляемых с вашего домена.

Примечание BIMI: если ваш домен использует BIMI , ваша политика DMARC должна иметь значение pct 100. BIMI не поддерживает политики DMARC со значением pct менее 100.

rua

Тег rua необязателен, но Google рекомендует всегда включать его в запись DMARC.

Отчёты DMARC следует отправлять на адрес электронной почты. Адрес электронной почты должен включать в себя mailto:.
Например: mailto:dmarc-reports@example.com (замените example.com на свой домен).

  • Чтобы отправлять отчёты DMARC на несколько адресов электронной почты, разделяйте адреса запятой и добавляйте префикс mailto: перед каждым адресом. Например: mailto:dmarc-reports@example.com , mailto:dmarc-admin@example.com (замените example.com на свой домен).
  • Этот вариант может привести к большому количеству сообщений с отчётами. Мы не рекомендуем использовать собственный адрес электронной почты. Вместо этого рассмотрите возможность использования выделенного почтового ящика, группы или стороннего сервиса, специализирующегося на отчётах DMARC.
  • Чтобы отправлять отчёты DMARC на адрес электронной почты, находящийся в домене, отличном от домена, на котором размещена ваша запись DMARC, добавьте запись TXT в DNS этого домена. Подробнее см. в разделе «Отправка отчётов на адрес электронной почты в другом домене» на странице отчётов DMARC .
ruf

(Не поддерживается) Gmail не поддерживает тег ruf , который используется для отправки отчётов об ошибках. Отчёты об ошибках также называются экспертными отчётами.

сп (Необязательно) Задаёт политику для сообщений с поддоменов вашего основного домена. Используйте этот параметр, если хотите использовать другую политику DMARC для своих поддоменов.
  • none Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine пометить сообщения как спам и отправить их в папку «Спам» получателя. Получатели могут просматривать спам-сообщения, чтобы определить, являются ли они подлинными.
  • reject отклонить сообщение. При выборе этого варианта принимающий сервер должен отправить сообщение об отказе отправляющему серверу.

Если эта опция в записи не используется, поддомены наследуют политику DMARC, установленную для родительского домена.

adkim (Необязательно) Задаёт политику выравнивания для DKIM, которая определяет, насколько строго информация в сообщении должна соответствовать подписям DKIM. Подробнее о том, как работает выравнивание (далее на этой странице).
  • s Строгое выравнивание. Доменное имя отправителя должно точно совпадать с соответствующим d= domainname в заголовках почты DKIM.
  • r Relaxed alignment (default). Allows partial matches. Any valid subdomain of d= domain in the DKIM mail headers is accepted.
aspf (Необязательно) Задаёт политику выравнивания для SPF, которая определяет, насколько строго информация в сообщении должна соответствовать подписям SPF. Подробнее о том, как работает выравнивание , читайте далее на этой странице.
  • s Строгое выравнивание. Заголовок From: сообщения должен точно соответствовать доменному имени в команде SMTP MAIL FROM.
  • r Нестрогое выравнивание (по умолчанию). Допускаются частичные совпадения. Принимаются любые допустимые поддомены доменного имени.

Выравнивание DMARC

DMARC принимает или отклоняет сообщение в зависимости от того, насколько точно домен в заголовке From: совпадает с доменом отправителя, указанным в SPF или DKIM. Это называется выравниванием .

Вы можете выбрать один из двух режимов выравнивания: строгий или нестрогий. Режим выравнивания для SPF и DKIM задаётся в записи DMARC с помощью тегов записи aspf и adkim .

Метод аутентификации Строгое выравнивание Расслабленное выравнивание
SPF Точное совпадение между доменом в адресе отправителя конверта (также называемом Return-Path или адресом возврата) и доменом в адресе заголовка From:. Домен в заголовке From: должен совпадать или быть поддоменом домена в адресе Envelope-Sender (также называемом Return-Path или bounce).
ДКИМ Точное совпадение между соответствующим доменом DKIM и доменом в заголовке From: адрес. Домен в заголовке From: адрес должен совпадать или быть поддоменом домена, указанного в теге d= подписи DKIM.

В некоторых случаях Google рекомендует рассмотреть возможность перехода на строгое выравнивание для повышения защиты от подмены:

  • Почта для вашего домена отправляется с поддомена, находящегося вне вашего контроля.
  • У вас есть поддомены, которыми управляет другая организация.
Важно: Нестрогое выравнивание обычно обеспечивает достаточную защиту от спуфинга. Строгое выравнивание может привести к отклонению сообщений с связанных поддоменов или отправке их в спам.

Чтобы пройти DMARC, сообщение должно пройти хотя бы одну из следующих проверок:

  • Аутентификация SPF и выравнивание SPF
  • Аутентификация DKIM и согласование DKIM

Сообщение не проходит проверку DMARC, если оно не проходит оба теста:

  • SPF (или выравнивание SPF)
  • DKIM (или выравнивание DKIM)

Шаг 4: Добавьте запись DMARC в свой домен

Важно: на этом этапе воспользуйтесь справочной документацией по DMARC вашего хостинг-провайдера. Действия по добавлению записи DMARC различаются в зависимости от хостинг-провайдера.

Добавьте или обновите свою запись

Важно: перед настройкой DMARC обязательно настройте DKIM и SPF. DKIM и SPF должны аутентифицировать сообщения не менее 48 часов, прежде чем будет включен DMARC.

  1. Подготовьте текстовый файл или строку для записи DMARC .
  2. Войдите в систему вашего регистратора домена (обычно у того же поставщика, у которого вы приобрели доменное имя). Если вы не уверены, какой регистратор ваш домен, см. статью «Определите регистратора вашего домена» .
  3. Перейдите на страницу обновления TXT-записей DNS для вашего домена. Чтобы найти эту страницу, обратитесь к документации по вашему домену.

  4. Добавьте или обновите запись TXT, используя эту информацию (см. документацию по вашему домену):

    Имя поля Значение для ввода
    Тип Тип записи — TXT .
    Хост (имя, имя хоста, псевдоним) Это значение должно быть _dmarc.example.com (замените example.com на ваше доменное имя).
    Ценить Строка, составляющая запись TXT. Например: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s . Подробнее см. в разделе «Определение записи DMARC» (ранее на этой странице).

    Примечание : Некоторые хостинг-провайдеры добавляют доменное имя автоматически. После добавления или обновления записи TXT проверьте доменное имя в записи DMARC , чтобы убедиться в его правильном формате.

  5. Сохраните изменения.
  6. Если вы настраиваете DMARC для нескольких доменов, выполните эти шаги для каждого домена. Каждый домен может иметь свою политику и свои параметры отчётности, как определено в записи.
  7. Чтобы проверить, настроен ли DMARC для вашего домена, воспользуйтесь одним из многочисленных бесплатных инструментов, доступных в Интернете.


Google, Google Workspace и связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.