DMARC — это технология защиты репутации вашей доменной почты от мошенников, которые подделывают адрес отправителя в Email-рассылках.
Без настройки DMARC вы рискуете тем, что ваши письма могут начать попадать в папку «Спам». Мы крайне рекомендуем настроить DMARC независимо от объема писем, который вы отправляете. Это поможет защитить вас, как отправителя рассылок, а также ваших подписчиков от неприятностей.
В статье расскажем, зачем настраивать DMARC, а также как это сделать на GetCourse.
Зачем настраивать DMARC-политику
Мошенники могут имитировать ваш адрес при отправке спама. Из-за этого у получателей создается впечатление, что они получили письмо от знакомого и надежного отправителя. Однако на самом деле в письме их могут ждать неприятные сюрпризы: поддельные ссылки, по которым крадутся личные данные, вложения с вирусами и т.д.
Важно
Ненастроенный DMARC грозит тем, что, получая поддельные письма, ваши подписчики будут на них жаловаться. Это приведет к ухудшению репутации вас, как отправителя, в глазах почтовых сервисов. В таком случае уже ваши — настоящие — письма будут отправляться принимающими почтовиками в папку «Спам».
Настроенный DMARC позволяет вовремя отследить поддельные письма и не дать им дойти до вашего подписчика.
Мошенники не обходят вниманием ни крупных отправителей рассылок, ни тех, кто отправляет небольшие объемы писем. Поэтому если у вас не настроен DMARC, вы в любом случае попадаете в группу риска.
Мы крайне рекомендуем настроить DMARC всем, особенно если вы отправляете крупный объем рассылок каждый день. DMARC позволит вам отследить мошеннический трафик, исключить доставку нежелательных писем до получателей и защитить репутацию вашего домена.
Обратите внимание
У почтовых сервисов нет единого критерия для понятия «крупный отправитель рассылок». Однако требования по настройке DMARC с 2024 года к таким отправителям уже начинают предъявлять.
- Например, для Google вы будете крупным отправителем, если рассылаете более 5000 писем в день на ящики Gmail, подробнее → в блоге Google.
- Сервис Yahoo такого точного числа не дает, просто используя термин «крупный отправитель», подробнее → в блоге Yahoo.
Как настроить DMARC
Предварительные настройки
DMARC настраивается в рамках настройки доменной почты. Но прежде чем переходить к DMARC, нужно убедиться, что в DNS-зону домена уже внесены другие обязательные записи: SPF и MX-записи, а также DKIM-подпись.
База знаний
MX — запись нужна для указания сервера, который принимает почту для вашего домена. В каком сервисе настроена доменная почта, от того сервиса и нужна MX. Если записи нет или она указана неверно, вам не будет поступать входящая почта.
SPF — сообщает список серверов, которым вы разрешили отправку почты от имени вашего домена. Позволяет уменьшить вероятность использования вашего домена для отправки спама злоумышленниками.
DKIM — добавляет в письма специальную подпись. Помогает принимающей стороне убедиться, что письмо действительно отправлено с вашего домена. Также снижает вероятность спама.
SPF-запись и DKIM-подпись — это и есть ваши защитники от злоумышленников. Однако они не гарантируют 100% результат. С развитием технологий у мошенников становится больше возможностей, и какой-то процент поддельных писем все же может появиться. Вот здесь и пригодится DMARC. Если письмо не прошло проверку почтового сервиса по SPF или DKIM, то оно будет обработано принимающей стороной согласно вашей политике DMARC.
База знаний
DMARC — технология, с помощью которой можно задать правила обработки писем, которые не прошли проверку на подлинность.
Инструкции по внесению SPF, MX и DKIM в зависимости от того, на каком сервисе создан ваш доменный ящик, вы сможете найти в статье:
→ «Как подготовить аккаунт к ведению рассылок»
Если вы уверены, что записи внесены корректно, можно переходить к настройке DMARC. Для этого нужно выбрать степень строгости политики DMARC и настроить ее соответствующим образом ↓
Этапы настройки DMARC
Важно
В данной статье дан общий принцип установки политики DMARC. Выбор, с какой степени жесткости политики начать, а также переходы от мягкой к жесткой политике, — вопрос индивидуальный и зависит от множества факторов. Например, используете ли вы для рассылок несколько почтовых сервисов, есть ли у ваших менеджеров отдельные ящики и т.д.
Подробнее данную тему вы можете изучить самостоятельно в открытых источниках, например, → в справке Google или → Mail, либо обратиться за помощью к профильным специалистам.
DMARC-политика имеет несколько степеней строгости. Чем более сложную систему рассылок вы используете — например, пользуетесь несколькими сервисами для отправки писем, — тем осторожнее нужно подходить к постепенному внедрению жесткой политики DMARC.
Условно можно выделить три разновидности политики DMARC:
- Мягкая политика — когда с письмами, не прошедшими проверку DMARC, ничего не происходит.
- Постепенное ужесточение политики — часть писем, не прошедших проверку, отправляется в папку «Спам».
- Жесткая политика — все письма, не прошедшие проверку, отклоняются.
- Мягкая политика
Если вы только начинаете разбираться в вопросе DMARC, то пока что можете внедрить мягкую политику и по отчетам понять, все ли в порядке с настройками вашей доменной почты и нет ли факторов, влияющих на вашу репутацию. Для этого:
- Создайте отдельный ящик, на который будут приходить письма-отчеты. Если ваша почта настроена на GetCourse, вы можете создать ящик в любом почтовом сервисе (например, на Mail.ru).
НЕ настраивайте переадресацию из этого ящика, т.к. на него ежедневно будет приходить большое количество тех.отчетов. - Внесите в DNS-зону домена запись со следующим значением:
v=DMARC1;p=none;rua=mailto:адрес_ящика.ru
Если ваш домен расположен на NS-серверах GetCourse, смотрите инструкцию по внесению DMARC в DNS-зону домена → [в разделе ниже].
В параметре rua=mailto: пропишите адрес созданного на первом шаге ящика, на который будут поступать статистические отчеты. Есть и другие виды отчетов, которые вы можете получать. Подробнее можно прочитать в открытых источниках, например, в статье → «Внедрение DMARC для защиты корпоративного домена от спуфинга».
Совет
Сами по себе отчеты не слишком удобны для чтения в том виде, в котором они к вам поступают. Вы можете использовать различные вспомогательные сервисы, которые сделают вид отчета более понятным и простым. Например, Dmarcian.
- Постепенное ужесточение политики
Этап особенно важен, если у вас настроена сложная система рассылок с использованием нескольких почтовых сервисов. Его вы начинаете со сбора и анализа статистических отчетов, чтобы проверить корректность настройки доменной почты и наличие спам-писем от имени вашего домена.
Для этого:
- Создайте отдельный ящик, на который будут приходить письма-отчеты, если еще не сделали это ранее. Если ваша почта настроена на GetCourse, вы можете создать ящик в любом почтовом сервисе (например, на Mail.ru).
НЕ настраивайте переадресацию из этого ящика, т.к. на него ежедневно будет приходить большое количество тех.отчетов. - Внесите в DNS-зону домена запись, например, со следующим значением:
v=DMARC1;p=quarantine;pct=5;rua=mailto:адрес_ящика.ru
Запись DMARC должна быть одна, поэтому если ранее вы использовали другую запись — удалите ее.
Если ваш домен расположен на NS-серверах GetCourse, смотрите инструкцию по внесению DMARC → [в разделе ниже].
Такая запись будет означать, что 5% писем (параметр pct=5), не прошедших проверку, будут попадать в папку «Спам». В параметре rua=mailto: пропишите адрес созданного на первом шаге ящика, на который будут поступать статистические отчеты.
На этом этапе важно:
- следить за статистикой в Постмастере;
- читать отчёты, приходящие на ваш ящик;
- внимательно анализировать ошибки в рассылках.
Это позволит убедиться, что во всех ваших рассылках и уведомлениях корректно указаны записи SPF и DKIM и проблем с доставляемостью из-за DMARC не возникает. Посмотреть, прошло ли конкретное сообщение проверку DMARC, вы можете в технических заголовках письма.
- Жесткая политика
После того как вы постепенно увеличите процент писем, отправляемых в карантин, с 5 до 100, переходите к самой жёсткой политике — reject.
Важно
Постепенное внедрение DMARC очень важно. Если у ваших писем есть проблемы с прохождением проверки SPF/DKIM, то при строгой политике reject отправка ваших писем может быть отклонена почтовыми сервисами:
Для внедрения жесткой политики внесите в DNS-зону домена запись со следующим значением:
v=DMARC1;p=reject;rua=mailto:адрес_ящика.ru
Запись DMARC должна быть одна, поэтому если ранее вы использовали другую запись — удалите ее.
Если ваш домен расположен на NS-серверах GetCourse, смотрите инструкцию по внесению → [в разделе ниже].
Внесение записи на GetCourse
Если ваш домен расположен на NS-серверах GetCourse, т.е. аккаунт школы открывается по адресу домена, то DNS-зона находится на GetCourse. В этом случае DMARC-запись нужно внести в настройках домена на GetCourse. В иных случаях запись вносится на стороне вашего хостера.
Внести запись могут:
- владелец аккаунта,
- ответственный администратор.
Для этого:
- Перейдите в раздел «Настройки аккаунта», вкладка «Домены».
- Выберите нужный домен.
- Разверните панель редактирования DNS-записей.
- Внесите запись со следующими параметрами:
Тип — TXT
Имя — _dmarc
Значение — согласно выбранной политике (в нашем примере v=DMARC1;p=none).
- Нажмите «Добавить» и сохраните изменения.
Когда у вас будет настроена жесткая политика DMARC, вам нужно будет возвращаться к отслеживанию статистических отчетов каждый раз, когда что-то меняется в вашей системе рассылок. Например, если вы:
- настраиваете рассылки от поддоменов вашего основного домена;
- добавляете персональные ящики для менеджеров;
- начинаете использовать новые сервисы рассылок и т.д.
По отчетам можно будет понять, все ли настроено корректно.
Вам могут быть также полезны следующие статьи:
авторизуйтесь