Настройте DMARC

DMARC сообщает принимающим почтовым серверам, какие действия следует предпринять в отношении сообщений, отправленных с вашего домена, которые не проходят аутентификацию SPF или DKIM. Варианты действий: отклонить, поместить в карантин или доставить сообщение. Вы также можете получать отчеты, которые помогут вам выявить возможные проблемы с аутентификацией и вредоносную активность в сообщениях, отправленных с вашего домена. Настройте DMARC, добавив запись DNS TXT DMARC ( запись DMARC ) к вашему домену.

Запись DMARC — это строка текста, которую вы добавляете к своему домену, следуя инструкциям вашего доменного провайдера. Вот пример записи DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Когда принимающие серверы получают электронные письма с вашего домена, которые не проходят проверку SPF или DKIM, они проверяют вашу запись DMARC, чтобы определить, какие действия предпринять в отношении этих сообщений: отклонить, поместить в карантин или доставить в обычном режиме.

На этой странице

Прежде чем начать

  • Для использования DMARC необходимо включить SPF и/или DKIM для вашего домена. Если вы еще не настроили SPF и/или DKIM, перейдите в раздел «Помощь в предотвращении подделки, фишинга и спама» .
    • Если вы не настроите SPF и/или DKIM перед включением DMARC, сообщения, отправленные с вашего домена, вероятно, будут иметь проблемы с доставкой.
    • После настройки SPF и/или DKIM необходимо подождать 48 часов, прежде чем настраивать DMARC.
  • Чтобы проверить, настроен ли DMARC для вашего домена, воспользуйтесь одним из множества бесплатных инструментов, доступных в интернете. Если DMARC уже настроен, вам следует просмотреть отчеты DMARC, чтобы убедиться, что DMARC эффективно аутентифицирует сообщения и они доставляются должным образом.
  • Для настройки DMARC в консоли администратора Google ничего делать не нужно. Вместо этого определите свою запись DMARC, следуя инструкциям на этой странице. Затем войдите в свою учетную запись хостинга домена и добавьте запись DMARC, следуя инструкциям по настройке DMARC для хостинга домена.

Шаг 1: Создайте группу или почтовый ящик для отчетов.

Количество отчетов DMARC, которые вы получаете по электронной почте, может варьироваться и зависит от объема рассылаемых вашим доменом писем и количества доменов, на которые вы отправляете письма. Вы можете получать множество отчетов каждый день. Крупные организации могут получать до сотен или даже тысяч отчетов ежедневно. Google рекомендует создать группу или выделенный почтовый ящик для получения и управления отчетами DMARC .

Важно: Как правило, адрес электронной почты для отчетов находится в том же домене, что и домен, в котором размещена ваша запись DMARC. Если адрес электронной почты находится в другом домене, необходимо добавить запись DNS в этом другом домене. См. раздел «Отправка отчетов на адрес электронной почты в другом домене» на странице отчетов DMARC.

Шаг 2: Убедитесь, что электронная почта стороннего отправителя прошла аутентификацию.

Если вы используете сторонний сервис для отправки почты вашей организации, вы должны убедиться, что сообщения, отправленные сторонними сервисами, проходят аутентификацию и проверку SPF и DKIM:

  • Обратитесь к своему стороннему поставщику, чтобы убедиться в правильности настроек SPF и DKIM.
  • Убедитесь, что домен отправителя в заголовке письма совпадает с вашим доменом. Добавьте IP-адрес серверов отправки почты провайдера в запись SPF для вашего домена.
  • Переадресация исходящей почты от провайдера через Google с использованием настроек службы ретрансляции SMTP .

Шаг 3: Определите свою запись DMARC.

Ваша политика DMARC определяется в строке текстовых значений, называемой записью DMARC. Эта запись определяет:

  • Насколько строго DMARC должен проверять сообщения
  • Рекомендуемые действия для принимающего сервера при получении сообщений, не прошедших проверку аутентификации.

Пример записи DMARC (замените example.com на свой домен):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Теги v и p должны быть указаны первыми. Остальные теги могут быть указаны в любом порядке.

При начале использования DMARC рекомендуется установить параметр политики ( p ) в значение none . По мере изучения того, как сообщения из вашего домена аутентифицируются принимающими серверами, обновляйте свою политику. Со временем измените политику получателя на карантин (или отклонение ). См. раздел «Рекомендации по внедрению DMARC» .

Определения и значения тегов записей DMARC

Ярлык Описание и значения
в

(Обязательно) Версия DMARC. Должна быть DMARC1 .

п (Обязательно) Указывает принимающему почтовому серверу, что делать с сообщениями, не прошедшими аутентификацию.
  • none — Не предпринимать никаких действий с сообщением и доставить его адресату. Регистрировать сообщения в ежедневном отчете. Отчет отправляется на адрес электронной почты, указанный с помощью параметра rua в записи.
  • quarantine— Пометьте сообщения как спам и отправьте их в папку «Спам» получателя. Получатели могут просмотреть спам-сообщения, чтобы определить подлинные сообщения.
  • reject— Отклонить сообщение. При использовании этой опции принимающий сервер обычно отправляет сообщение об ошибке (bounce) отправляющему серверу.

Примечание BIMI: Если ваш домен использует BIMI , параметр DMARC p должен быть установлен в значение quarantine или reject . BIMI не поддерживает политики DMARC с параметром p , установленным в значение none .

pct

Тег pct является необязательным, но Google рекомендует включать его в запись DMARC при внедрении DMARC, чтобы вы могли управлять процентом электронных писем, к которым применяется ваша политика DMARC.

Указывает процент неаутентифицированных сообщений, на которые распространяется политика DMARC. При постепенном внедрении DMARC вы можете начать с небольшого процента сообщений. По мере того, как все больше сообщений из вашего домена проходят аутентификацию на принимающих серверах, обновляйте запись, указывая более высокий процент, пока не достигнете 100 процентов.

Должно быть целым числом от 1 до 100. Если вы не используете этот параметр в записи, ваша политика DMARC применяется ко 100% сообщений, отправляемых с вашего домена.

Примечание BIMI: Если ваш домен использует BIMI , значение pct вашей политики DMARC должно быть равно 100. BIMI не поддерживает политики DMARC со значением pct меньше 100.

rua

Тег rua необязателен, но Google рекомендует всегда включать его в запись DMARC.

Отправляйте отчеты DMARC на адрес электронной почты. Адрес электронной почты должен содержать строку mailto: .
Например: mailto:dmarc-reports@example.com (замените example.com на свой домен).

  • Чтобы отправлять отчеты DMARC на несколько адресов электронной почты, разделяйте каждый адрес запятой и добавляйте префикс mailto: перед каждым адресом. Например: mailto:dmarc-reports@example.com , mailto:dmarc-admin@example.com (замените example.com на свой домен).
  • Этот вариант потенциально может привести к большому количеству писем с отчетами. Мы не рекомендуем использовать свой собственный адрес электронной почты. Вместо этого рассмотрите возможность использования выделенного почтового ящика, группы или стороннего сервиса, специализирующегося на отчетах DMARC.
  • Чтобы отправлять отчеты DMARC на адрес электронной почты, находящийся в другом домене, отличном от домена, в котором размещена ваша запись DMARC, добавьте запись TXT в DNS этого почтового домена. Подробности см. в разделе «Отправка отчетов на адрес электронной почты в другом домене » на странице отчетов DMARC .
ruf

(Не поддерживается) Gmail не поддерживает тег ruf , используемый для отправки отчетов о сбоях. Отчеты о сбоях также называются аналитическими отчетами.

сп (Необязательно) Задает политику для сообщений из поддоменов вашего основного домена. Используйте этот параметр, если вы хотите использовать другую политику DMARC для ваших поддоменов.
  • none Не предпринимать никаких действий с сообщением и доставить его адресату. Регистрировать сообщения в ежедневном отчете. Отчет отправляется на адрес электронной почты, указанный с помощью параметра rua в политике.
  • quarantine Пометьте сообщения как спам и отправьте их в папку «Спам» получателя. Получатели могут просматривать спам-сообщения, чтобы определить подлинные сообщения.
  • reject Отклонить сообщение. При использовании этой опции принимающий сервер должен отправить сообщение об ошибке (bounce) отправляющему серверу.

Если вы не используете этот параметр в записи, поддомены наследуют политику DMARC, установленную для родительского домена.

adkim (Необязательно) Задает политику выравнивания для DKIM, которая определяет, насколько строго информация в сообщении должна соответствовать подписям DKIM. Подробнее о том, как работает выравнивание, можно узнать далее на этой странице.
  • s Строгое выравнивание. Доменное имя отправителя должно точно совпадать с соответствующим именем домена d= в заголовках DKIM.
  • r Свободное выравнивание (по умолчанию). Допускает частичное совпадение. Принимается любой допустимый поддомен d= domain в заголовках DKIM-сообщений.
aspf (Необязательно) Задает политику выравнивания для SPF, которая определяет, насколько строго информация сообщения должна соответствовать подписям SPF. Подробнее о том, как работает выравнивание, можно узнать позже на этой странице.
  • s Строгое выравнивание. Заголовок сообщения From: должен точно соответствовать доменному имени в команде SMTP MAIL FROM.
  • r Свободное выравнивание (по умолчанию). Допускает частичное совпадение. Принимается любой допустимый поддомен доменного имени.

выравнивание DMARC

DMARC принимает или отклоняет сообщение в зависимости от того, насколько точно домен в заголовке From: соответствует домену отправителя, указанному в SPF или DKIM. Это называется выравниванием .

Вы можете выбрать один из двух режимов выравнивания: строгий или ослабленный. Режим выравнивания для SPF и DKIM задается в записи DMARC с помощью тегов aspf и adkim .

Метод аутентификации Строгое выравнивание Расслабленное выравнивание
SPF Точное совпадение домена в адресе отправителя (также называемом адресом возврата или адресом отказа) с доменом в адресе отправителя (From:) в заголовке. Домен в адресе From: в заголовке должен совпадать с доменом в адресе Envelope-Sender (также называемом Return-Path или bounce) или являться его поддоменом.
ДКИМ Точное совпадение соответствующего домена DKIM с доменом в адресе From: в заголовке. Домен в адресе From: заголовка должен совпадать с доменом, указанным в теге d= сигнатуры DKIM, или являться его поддоменом.

В некоторых случаях Google рекомендует рассмотреть возможность переключения на строгое выравнивание для повышения защиты от подделки:

  • Почта для вашего домена отправляется с поддомена, который находится вне вашего контроля.
  • У вас есть поддомены, которые управляются другой организацией.
Важно: обычно достаточно ослабленного выравнивания для защиты от подделки. Строгое выравнивание может привести к тому, что сообщения с связанных поддоменов будут отклонены или отправлены в спам.

Для прохождения проверки DMARC сообщение должно пройти хотя бы одну из следующих проверок:

  • Аутентификация SPF и выравнивание SPF
  • Аутентификация DKIM и согласование DKIM

Сообщение считается не прошедшим проверку DMARC, если оно не проходит обе проверки:

  • SPF (или выравнивание SPF)
  • DKIM (или выравнивание DKIM)

Шаг 4: Добавьте запись DMARC к своему домену.

Важно: для выполнения этого шага воспользуйтесь документацией по DMARC вашего хостинг-провайдера. Шаги по добавлению записи DMARC различаются в зависимости от хостинг-провайдера.

Добавить или обновить свою запись

Важно: Перед настройкой DMARC обязательно настройте DKIM и SPF. DKIM и SPF должны аутентифицировать сообщения не менее 48 часов, прежде чем включать DMARC.

  1. Подготовьте текстовый файл или строку для вашей записи DMARC .
  2. Войдите в свою учетную запись хостинг-провайдера, как правило, того, у которого вы приобрели доменное имя. Если вы не уверены, кто является вашим хостинг-провайдером, см. раздел «Определение регистратора домена» .
  3. Перейдите на страницу обновления DNS TXT-записей для вашего домена. Для получения помощи в поиске этой страницы обратитесь к документации для вашего домена.

  4. Добавьте или обновите TXT-запись, указав следующую информацию (см. документацию для вашего домена):

    Название поля Значение для ввода
    Тип Тип записи — TXT .
    Хост (Имя, Имя хоста, Псевдоним) Это значение должно быть _dmarc.example.com (замените example.com на имя вашего домена).
    Ценить Строка, составляющая TXT-запись. Например: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s . Более подробную информацию см. в разделе «Определение вашей DMARC-записи» (ранее на этой странице).

    Примечание : Некоторые хостинг-провайдеры автоматически добавляют доменное имя. После добавления или обновления записи TXT проверьте доменное имя в записи DMARC , чтобы убедиться в правильности его форматирования.

  5. Сохраните изменения.
  6. Если вы настраиваете DMARC для нескольких доменов, выполните эти шаги для каждого домена. Для каждого домена может быть своя политика и свои параметры отчетов, как это определено в записи.
  7. Чтобы убедиться, что для вашего домена настроен DMARC, воспользуйтесь одним из множества бесплатных инструментов, доступных в интернете.


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.