Что такое dmarc и как он защищает подписчиков от мошенников и спама
Содержание:
- Исходные данные
- DKIM
- PTR (обратная dns запись)
- DMARC
- Как Microsoft 365 использует Authenticated Received Chain (ARC)
- Примеры настроек
- Защита почтового сервера без использования антивируса
- Как DMARC защищает от спуфинга
- Аутентификация электронных писем (проверка на соответствие)
- Обработка электронных писем, не прошедших аутентификацию (правила получателя)
- Отчеты, позволяющие отслеживать работу DMARC и при необходимости менять правила
- Подготовка к настройке DMARC (расширенная)
- Зачем она нужна?
- Рекомендуемые действия по устранению неполадок
- Прочие механизмы
- SPF
- Как Microsoft 365 обрабатывает исходящую почту, не прошедшую проверку DMARC
- DMARC
- Параметры отчетов DMARC
- How DMARC prevents spoofing
- Authenticates messages (DMARC alignment)
- Manages messages that fail authentication (receiver policy)
- Sends you reports so you can monitor and change your policy
- What you need to do
- What you need to do
Исходные данные
Имеется корпоративный домен вида domainname.tld и локальный почтовый сервер Hmailserver под Windows. С почтовых адресов домена ведется только деловая переписка, общее количество отправляемых писем не превышает 100 штук в сутки, массовые рассылки отсутствуют как класс.
В последнее время все больше и больше получателей стали жаловаться, что отправляемые нами письма у них попадают в СПАМ. При этом у пользователей MAIL.RU попадание в СПАМ было 100% вне зависимости от содержимого письма.
Официальное обращение в MAIL.RU
Я написал письмо в поддержку MAIL.RU. В ответе мне сообщили, что причиной блокировки писем является массовый спам, который отправляется от имени моего домена.
Ответ службы поддержки MAIL.RU
Из рекомендаций полученных от MAIL.RU мне стало ясно, чтобы письма отсылаемые нашим сервером не попадали в СПАМ у получателей мне необходимо настроить SPF, DKIM и DMARC.
Необходимые условия
Для того, чтобы настроить SPF, DKIM и DMARC нам понадобиться доступ к NS серверам управляющими записями для вашего домена и доступ к Windows серверу на котором работает Hmailserver.
DKIM
Главная задача DKIM — это упростить обнаружение электронных писем с поддельными адресами, когда заявленный адрес не соответствует адресу, с которого было отправлено письмо (один из видов мошеннических писем).
DKIM позволяет значительно облегчить идентификацию законной, правомочной электронной почты.
Технология DomainKeys позволяет передавать через DNS открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан.
Настройки SPF и DKIM подтверждают, что отправитель письма определен и не является мошенником.
Как настроить DKIM
Информация о DKIM есть в нашем справочном центре в статье «Настройка DNS-записей
Если вы используете почту Timeweb, то DKIM-подпись создается автоматически: все необходимые настройки автоматически прописываются в тот момент, когда вы создаете первый почтовый ящик на своем домене.
PTR (обратная dns запись)
У любого домена в dns есть A записи, которые связывают домен с IP сервера, на котором находится сам сайт. А PTR запись делает то же самое, но наоборот, связывает IP сервера с доменом.
PTR запись очень важна для почтовиков. Когда на почтовый сервер приходит письмо, он берет IP, откуда пришло письмо, затем смотрит значение этой записи. Если значение этой записи совпадает с именем сервера, откуда пришло письмо, то почтовик пропускает письмо. Если не совпадает, то в большинстве случаев кидает в спам или вообще не пропускает. Также высока вероятность бана IP сервера Gmail’ом, если записи нет или она некорректно настроена (даже при корректной настройке остальных параметров).
Где настроить PTR запись?
На нормальных обычных хостингах PTR уже настроен, ничего делать не нужно. Если же у Вас виртуальный или физический сервер, то, как правило, нужно самому прописывать эту запись в панели управления сервером. Название поля для PTR может быть разным — ptr, reverse dns, имя сервера и т.д. Также в имени сервера (в самой ОС) должен быть указан этот домен (Linux — , FreeBSD- ).
Как проверить PTR запись?
PTR можно проверить на соответствующих сервисах, например, тут. Также можно проверить консольными утилитами, например, :
dig -x 123.123.123.123 +short
Команда выше выведет значение PTR записи.
DMARC
How to configure it?
Using the domain example.com, a possible option can be the next, please note that all the default options will be included implicit, even if you don’t select them in the generator:
This configuration will generate the next DNS entry
- DMARC record for: example.com
- Record should be published at _dmarc.example.com
- v=DMARC1; p=quarantine; rua=dmarc@example.com; ruf=dmarc@example.com; sp=quarantine
And will looks like this in a DNS with web interface:
How to test it
One of the best Sites to test the DMARC is the next link — is coming with the google.com domain per default. This website will show you all the DMARC information about your domain.
Как Microsoft 365 использует Authenticated Received Chain (ARC)
Все размещенные почтовые ящики в Microsoft 365 теперь получают преимущества ARC с улучшенной надежностью доставки сообщений и защитой от спуфинга. ARC сохраняет результаты проверки подлинности писем от всех посредников (переходов), когда письмо направляется с исходного сервера в почтовый ящик получателя. До ARC изменения, вносимые посредниками в маршрут письма, например правила пересылки или автоматические подписи, могли приводить к сбоям DMARC к моменту поступления письма в почтовый ящик получателя. При использовании ARC криптографическая сохранность результатов проверки подлинности позволяет Microsoft 365 подтверждать подлинность отправителя сообщения электронной почты.
В настоящее время Microsoft 365 использует ARC для подтверждения результатов проверки подлинности, если корпорация Майкрософт является подтверждающим центром ARC, но в будущем планируется добавить поддержку сторонних подтверждающих центров.
Примеры настроек
Настройка SPF для «Почты для доменов» от Mail.Ru
Если вы отправляете почту только с серверов Mail.Ru:
v=spf1 redirect=_spf.mail.ru
Если вы отправляете почту так же и с других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
v=spf1 ip4:IP1 ip4:IP2 ip4:IP3 include:_spf.mail.ru ~all
Настройка SPF для Яндекс.Почты
При использовании только серверов Яндекса:
v=spf1 redirect=_spf.yandex.net
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
v=spf1 ip4:IP1 ip4:IP2 ip4:IP3 include:_spf.yandex.net ~all
Настройка SPF для Google
При использовании только серверов Google:
v=spf1 include:_spf.google.com ~all
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
v=spf1 ip4:IP1 ip4:IP2 include:_spf.google.com ~all
Другие примеры
v=spf1 a ip4:176.57.223.12 include:domain2.com -all
— принимать почту с IP-адресов, соответствующих A-записям текущего домена, с IP-адреса 176.57.223.12 и серверов, указанных в SPF-записи domain2.com; прочие письма отклонять.
v=spf1 mx/24 a:domain2.com/24 ~all
— принимать почту из подсети, в которую входят MX-серверы текущего домена, и из подсети, в которую входят A-записи домена domain2.com; прочие письма отклонять.
v=spf1 a ip4:176.57.223.12 include:domain2.com -all
— принимать почту с A-записи текущего домена, IP-адреса 176.57.223.12, а также с серверов, указанных в SPF домена domain2.com.
Защита почтового сервера без использования антивируса
Итак, прежде чем мы приступим непосредственно к изменению настроек безопасности нашего почтового сервера, нужно разобраться с тем, что именно мы собираемся настраивать. Если тебя не пугают страшные на вид аббревиатуры, состоящие из трех и более заглавных букв латинского алфавита, ты можешь пропустить этот раздел. Остальных приглашаю освежить свои знания, ибо повторение, как гласит народная мудрость, мать учения.
Что такое DKIM?
DKIM (Domain Keys Identified Mail) — это, условно говоря, цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки сообщения и остается незаметной для самого пользователя. Поскольку в DKIM используется асимметричная система шифрования, репозиторий сервера всегда хранит два ключа шифрования — открытый (сертификат) и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS-записи в виде TXT-файла.
Статус DKIM проверяется автоматически на стороне получателя при сохранении письма в контейнер (именной почтовый ящик). И если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или же сразу помещено в папку «Спам», в зависимости от настроенной политики безопасности. Кстати, это одна из ключевых причин, почему письма определенных отправителей постоянно попадают в спам, даже несмотря на валидность домена отправителя.
Для работы с DKIM требуется выполнение следующих условий:
- поддержка DKIM почтовым сервером (а она есть у всех современных почтовиков);
- создание приватного и публичного ключа шифрования (это нужно сделать ручками);
- занесение в DNS домена записей, связанных с DKIM (и это тоже ручками).
Принцип работы DKIM
Что такое SPF?
Важно помнить, что SPF-запись должна быть только одна для одного домена, хотя уже в рамках одной SPF может содержаться несколько записей. И нужно сказать, что для поддоменов будут нужны свои записи
И никак иначе! Безопасность требует времени и усердия.
Принцип работы SPF
Что такое DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) — это еще одна подпись, которая позволяет серверу получателя принять решение, что делать с пришедшим письмом
Важно заметить, что DMARC — это скорее дополнительная фича к уже используемым DKIM и SPF. Например, если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC
Все логично. А вот если письмо успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC оно тоже преодолеет. Также при помощи DMARC можно получать репорты от почтовых систем с информацией, сколько через них пыталось пройти или прошло поддельных сообщений на ваш домен. Из сказанного становится понятно, что DMARC добавляется только после того, как уже настроены записи SPF и DKIM.
Принцип работы DMARC
От чего нельзя защититься с помощью DKIM, SPF и DMARC
Некоторые полезные ссылки для проверки корректности настройки DKIM- и SPF-записей, а также репутации домена:
-
SPF Policy Tester — онлайн-сервис проверки корректности SPF-записи. Для проведения теста на сайте указываешь почтовый адрес, с которого хочешь отправлять письма, и IP-адрес почтового сервера. Если все хорошо, то после нескольких секунд ожидания внизу страницы должна появиться зеленая надпись
PASS. - Dkimvalidator.com — разработчики этого сервиса дают тебе адрес почты, на который нужно выслать письмо. После этого можно просмотреть отчет о валидности DKIM. Все просто!
- Mail-tester.com — еще один вариант аналогичного сервиса, где тебе предоставляется адрес почты для отправки тестового сообщения, а после этого можно посмотреть отчет о доставке. Если возникли проблемы, из представленного репорта можно понять, в чем именно заключаются косяки.
Также не стоит забывать о регистрации своего сервера в службах постмастера для публичных почтовых серверов (если ты, конечно, администрируешь такой сервер). Это позволит тебе не только получать статистику по рассылкам, но и заработать чуть больше доверия от этого почтового сервиса. Вот самые известные и часто используемые постмастеры: Mail.RU, Yandex и Gmail.
Как DMARC защищает от спуфинга
DMARC сообщает принимающим почтовым серверам, что делать при получении письма, которое якобы отправлено вашей организацией, но не проходит аутентификацию или не соответствует требованиям аутентификации в вашей записи правил DMARC. Если электронное письмо не прошло проверку подлинности, возможно, оно отправлено злоумышленниками от имени вашей организации или с несанкционированных серверов.
DMARC всегда используется в сочетании со следующими двумя методами аутентификации:
- SPF (Sender Policy Framework) позволяет владельцу домена указывать IP-адреса, которым разрешено отправлять электронную почту от имени этого домена. Принимающие сервера могут проверить, было ли письмо с указанным исходным доменом действительно отправлено с сервера, одобренного владельцем домена.
- DKIM (Domain Keys Identified Mail) добавляет цифровую подпись к каждому отправленному электронному письму. Принимающие серверы с помощью подписи проверяют подлинность писем, чтобы убедиться, что они не были подделаны или изменены при доставке.
Аутентификация электронных писем (проверка на соответствие)
После проверки письма с помощью SPF или DKIM оно проходит или не проходит аутентификацию DMARC в зависимости от того, соответствует ли заголовок От: домену-отправителю. Это называется проверкой на соответствие. Поэтому прежде чем настраивать DMARC для домена, необходимо включить SPF и DKIM.
Подробнее …
Обработка электронных писем, не прошедших аутентификацию (правила получателя)
Если почтовый сервер получает из вашего домена письмо, которое не проходит проверку SPF и/или DKIM, DMARC сообщает серверу, что нужно сделать с этим письмом. В зависимости от правил DMARC возможен один из трех вариантов:
- Правила не заданы. Сервер не предпринимает никаких дополнительных действий и доставляет письма обычным образом.
- Письма отправляются в карантин. Сервер помечает письма как спам и отправляет в папки «Спам» получателей или в карантин.
- Письма отклоняются. Сервер отклоняет письма и не доставляет их получателям.
Подробнее …
Отчеты, позволяющие отслеживать работу DMARC и при необходимости менять правила
Настройте запись DMARC, чтобы регулярно получать отчеты от серверов, принимающих электронные письма из вашего домена. Отчеты DMARC содержат информацию обо всех источниках, отправляющих электронную почту из вашего домена, в том числе о ваших собственных почтовых серверах и сторонних серверах.
Отчеты DMARC помогают вам:
- получать сведения обо всех источниках, отправляющих электронные письма вашей организации;
- выявлять неавторизованные источники, отправляющие письма от имени вашей организации;
- определять, какие письма, отправленные вашей организацией, проходят и не проходят аутентификацию (SPF и/или DKIM).
Информация в отчетах DMARC сложна для понимания. Подробнее об использовании отчетов DMARC…
Подготовка к настройке DMARC
Подробнее о подготовке к настройке DMARC… |
|
|
Подробнее о настройке правил DMARC… |
|
|
Подробнее о том, как включить DMARC… |
|
Руководство. Рекомендуемый процесс развертывания DMARC
Подробнее о развертывании DMARC… |
|
Отчеты DMARC
Подробнее об отчетах DMARC… |
|
Устранение неполадок, связанных с DMARC
Подробнее об устранении неполадок, связанных с DMARC… |
|
Подготовка к настройке DMARC (расширенная)
Ниже описано, как подготовиться к настройке DMARC в организациях с большим количеством пользователей, локальными почтовыми системами или дополнительными требованиями.
Убедитесь, что сторонний почтовый сервер прошел аутентификацию
Проверка DMARC эффективна, только если все электронные письма отправляются из вашего домена. Возможно, вы используете сторонний сервис для отправки писем организации, например маркетинговых сообщений.
Подлинные электронные письма, отправленные сторонними поставщиками услуг электронной почты от имени вашего домена, могут не пройти проверку SPF и DKIM. К письмам, которые не проходят эти проверки, применяется действие, заданное в ваших правилах DMARC. Они могут быть отклонены или попасть в спам.
Чтобы электронные письма, отправляемые сторонними поставщиками услуг электронной почты, проходили аутентификацию:
- Убедитесь, что у стороннего поставщика правильно настроена проверка DKIM.
- Убедитесь, что домен отправителя конверта, используемый вашим поставщиком, совпадает с вашим доменом. Добавьте IP-адреса почтовых серверов, с которых поставщик отправляет электронные письма, в запись SPF своего домена.
Направьте исходящую почту от поставщика через серверы Google, настроив службу ретрансляции SMTP.
Зачем она нужна?
Технически, она нужна, чтобы понять, ассоциируется ли выбранный домен с указанным при подключении IP-адресом. Это указатель для других серверов, который помогает исправить несколько проблем, связанных с доставкой и приемом электронной почты.
Анти-спам фильтры
Некоторые почтовые фильтры используют обратные DNS, чтобы проверять, соответствуют ли доменные имена почтовых адресов IP, с которых поступает корреспонденция. Так сервер может убедиться, что письмо нужно отправить во входящие, а не в спам-фильтр.
Исправление проблем с доставкой писем
Так как анти-спам фильтры делают проверку через обратные DNS, у некоторых почтовых серверов могут возникнуть сложности. В частности, когда у них отсутствует корректная PTR-запись. Почтовый сервер заблокирует письмо, если PTR-запись не соответствует ожидаемому IP-адресу.
Рекомендуемые действия по устранению неполадок
| Описание проблемы | Возможные причины | Инструкции по устранению неполадки |
| Письмо не прошло аутентификацию DKIM | Это электронное письмо не прошло проверку DKIM. | Узнайте, есть ли такая проблема у других пользователей в домене. Это поможет понять, связана ли неполадка с письмами, поступающими из одного или нескольких источников. |
| Письмо было изменено во время передачи или после добавления к нему подписи DKIM. | Узнайте, пересылалось ли письмо через другой сервер, на котором оно могло быть изменено. Попросите администратора сервера не изменять письма, поскольку из-за этого они могут не проходить проверку DKIM. | |
| В записи DNS для DKIM присутствует ошибка. | С помощью Набора инструментов администратора Google проверьте, опубликован ли ключ DKIM. Введите адрес своего домена на странице Проверка MX. | |
| Возникла проблема с ключом DKIM. |
Проверьте опубликованную запись DKIM. Если письмо отправлено с помощью Google Workspace, запись должна соответствовать настроенному ключу DKIM. Если электронное письмо отправлено с помощью стороннего сервиса, ищите инструкции по проверке ключа DKIM в документации разработчика этого сервиса. |
|
| Письмо не прошло аутентификацию SPF. | Это электронное письмо не прошло проверку SPF. | Узнайте, есть ли такая проблема у других пользователей в домене. Это поможет понять, связана ли неполадка с письмами, поступающими из одного или нескольких источников. |
| Сообщение отправлено сервером, который отсутствует в записи SPF. |
Изучите запись SPF, чтобы убедиться, что в ней перечислены все IP-адреса и домены, которым разрешено отправлять электронную почту от имени вашего домена. Сообщения с серверов, отсутствующих в записи SPF, могут не пройти аутентификацию. Полный список IP-адресов и доменов в записи SPF можно получить с помощью Набора инструментов администратора Google. Введите адрес своего домена на странице Проверка MX, а затем проверьте диапазоны действующих адресов SPF. |
|
| В записи DNS для SPF присутствует ошибка. | Проверьте запись SPF с помощью Набора инструментов администратора Google. Введите адрес своего домена на странице Проверка MX. | |
| Письмо не прошло аутентификацию DMARC. | Это электронное письмо не прошло проверку DMARC. | Узнайте, есть ли такая проблема у других пользователей в домене. Это поможет понять, связана ли неполадка с письмами, поступающими из одного или нескольких источников. |
| Письмо не проходит другие аутентификационные проверки. | Убедитесь, что электронное письмо проходит проверку SPF или DKIM. | |
| Несоответствие заголовка письма. |
Убедитесь, что адрес в заголовке «От:» соответствует методу аутентификации (SPF или DKIM). Подробнее … |
|
| В записи SPF для DMARC присутствует ошибка. | Проверьте запись DMARC с помощью Набора инструментов администратора Google. Введите адрес своего домена на странице Проверка MX. |
Прочие механизмы
Здесь мы рассмотрим оставшиеся механизмы, которые используются в настройках значительно реже.
ptr
PTR-запись IP-адреса отправителя проверяется на соответствие указанному домену. Данный механизм требует большого количества DNS-запросов при проверке, поэтому без острой необходимости использовать его в SPF не рекомендуется.
v=spf1 ptr:other-domain.com -all
— принимать почту со всех адресов, PTR-запись которых направлена на домен other-domain.com
exists
Запрашивается А-запись указанного домена; если она существует, проверка считается пройденной. Другими словами, проверяется, резолвится ли домен на какой-либо (любой) IP-адрес.
v=spf1 exists:mydomain.com -all
— принимать почту, если существует A-запись домена mydomain.com.
exp
Параметр «exp» применяется для отправки сообщения об ошибке отправителю письма. С помощью «exp» в SPF прописывается определенный поддомен, в TXT-записи которого указан текст сообщения об ошибке. Имя поддомена и текст ошибки может быть любым.
Параметр «exp» всегда указывается в конце записи (после all).
Например:
v=spf1 mx -all exp=error-spf.mydomain.com
При этом TXT-запись домена error-spf.mydomain.com содержит: «Not authorized to send mail for this domain».
SPF
SPF (Sender Policy Framework, инфраструктура политики отправителя) — это расширение для протокола отправки электронной почты через SMTP. Используя SPF, владелец домена может указать список серверов, которые смогут отправлять почтовые сообщения с адресом отправителя в этом домене. Иными словами, только указанные серверы смогут отправлять письма от имени этого домена.
Именно настройка SPF-записи защищает домен от несанкционированного использования. Это не позволяет допустить ситуации, когда от имени вашего домена будут рассылаться мошеннические письма.
Поэтому почтовые службы обращают внимание на SPF-запись, а также DKIM и DMARC, о которых будет рассказано далее. Обязательно проверьте SPF-запись, если письма, отправленные при помощи функции PHP mail(), попадают в спам
Обязательно проверьте SPF-запись, если письма, отправленные при помощи функции PHP mail(), попадают в спам.
Как настроить SPF
SPF настраивается как TXT-запись для домена.
Небольшая справка. TXT-запись — это тип ресурсной записи, который содержит дополнительную информацию о домене. Чаще всего TXT-запись используется для подтверждения прав собственности на домен и настройки почтовых данных.
В справочном центре Timeweb есть подробная статья об основном синтаксисе и других механизмах настройки SPF — «Настройка SPF-записи
Более подробно ознакомиться с синтаксисом можно в документации SPF.
Если ваш домен расположен на нашем хостинге (и для него указаны NS-серверы Timeweb), то смело обращайтесь в службу поддержки, наши специалисты помогут вам настроить SPF-запись.
Клиентам с другими NS-серверами необходимо обращаться к держателю NS-серверов.
Как Microsoft 365 обрабатывает исходящую почту, не прошедшую проверку DMARC
Если исходящее из Microsoft 365 сообщение не прошло проверки DMARC, а вы реализовали политику карантина (p=quarantine) или политику отклонения (p=reject), такое сообщение перенаправляется через Пул доставки сообщений с более высокой степенью опасности для исходящих сообщений. Возможность переопределить исходящую почту отсутствует.
Если опубликовать политику отклонения DMARC (p=reject), никто из клиентов в Microsoft 365 не сможет подделать ваш домен, поскольку сообщения не будут проходить через проверки SPF или DKIM для вашего домена при перенаправлении исходящей почты через службу. Однако если опубликовать политику отклонения DMARC, но не применять проверку подлинности через Microsoft 365 абсолютно для всей почты, часть входящей почты может быть отмечена как спам (как описано выше), или она будет отклонена, если не опубликовать SPF и попытаться перенаправить ее через службу в качестве исходящей почты. Это может произойти, например, если при создании записи DMARC TXT вы забыли включить в нее ряд IP-адресов серверов и приложений, отправляющих почту от имени вашего домена.
DMARC
Using DNS for Publishing DMARC Records
Specially formatted record is used to publish DMARC record for domain. It consists of subdomain and tag-value fields divided by semicolons. An example of record for domain domain.com:
_dmarc.domain.com
The following is an example of value which tells to process 100% of messages coming from domain domain.com, reject those which does not align with DKIM/SPF policies, do not nothing (process further) if message came from subdomain of domain.com, and send aggregated statistics daily to info@domain.com:
"v=DMARC1; p=reject; sp=none; pct=100; ri=86400; rua=mailto:info@domain.com"
In this example:
- — version of protocol
-
— policy, possible values are: reject, quarantine or none
- — policy for subdomains (the same possible values)
- — percentage of messages subjected to filtering
- — aggregate reporting interval
- — reporting URI(s) for aggregate data
Not all tag-value parameters are mandatory. The only required parameters are version () and policy (). You can find more tags at
Here’s another example of DMARC record, for gmail.com. It states that all messages from gmail.com should be passed to further processing (neither quarantined nor rejected) whilst messages from a subdomain of gmail.com (e.g. subdomain.gmail.com) should be quarantined.
$ dig txt _dmarc.gmail.com +short "v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com"
Managing DMARC Records in cPanel
DMARC records can be set up or modified in WHM DNS Zone editor (Home »DNS Functions »Edit DNS Zone). This also could be done after enabling the feature for a package (this feature replaces the Advanced Zone Editor in cPanel.)
Verifying DMARC Records
Resources for verifying DMARC records for domains:
-
https://mxtoolbox.com/dmarc.aspx
-
-
http://emailaudit.com/
Resources for analyzing DMARC Reports for a domain:
https://mxtoolbox.com/DmarcReportAnalyzer.aspx
Параметры отчетов DMARC
DMARC позволяет настроить получение регулярных отчетов от почтовых серверов, на которые приходит почта из вашего домена.
Из отчетов DMARC можно узнать:
- какие серверы или сторонние отправители шлют письма от имени вашего домена;
- какой процент писем из вашего домена успешно проходит проверку DMARC;
- какие серверы или сервисы шлют письма, которым не удается пройти проверку DMARC;
- какие действия DMARC (none, quarantine или reject) выполняет получающий сервер с сообщениями из вашего домена, не прошедшими проверку.
Чтобы получать отчеты DMARC, используйте rua в записи DMARC.
Подробнее об отчетах DMARC…
How DMARC prevents spoofing
DMARC tells receiving mail servers what to do when they get a message that appears to be from your organization, but doesn’t pass authentication checks, or doesn’t meet the authentication requirements in your DMARC policy record. Messages that aren’t authenticated might be impersonating your organization, or might be sent from unauthorized servers.
- Sender Policy Framework (SPF) lets the domain owner authorize IP addresses that are allowed to send email for the domain. Receiving servers can verify that messages appearing to come from a specific domain are sent from servers allowed by the domain owner.
- Domain Keys Identified Mail (DKIM) adds a digital signature to every sent message. Receiving servers use the signature to verify messages are authentic, and weren’t forged or changed during transit.
Authenticates messages (DMARC alignment)
DMARC passes or fails a message based on whether the message’s From: header matches the sending domain, when SPF or DKIM checks the message. This is called alignment. So, before you set up DMARC for your domain, you should turn on SPF and DKIM.
Learn about .
Manages messages that fail authentication (receiver policy)
If a mail server gets a message from your domain that fails the SPF or DKIM check (or both), DMARC tells the server what to do with the message. There are three possible options, defined by your DMARC policy:
- Policy is set to none — Take no action on messages, and deliver them normally.
- Policy is set to quarantine — Mark messages as spam, and send them to recipients’ spam folder, or to quarantine.
- Policy is set to reject — Reject the messages, and don’t deliver them to recipients.
Learn about .
Sends you reports so you can monitor and change your policy
DMARC reports help you:
- Learn about all the sources that send email for your organization.
- Identify unauthorized sources that send email appearing to come from your organization.
- Identify which messages sent from your organization pass or fail authentication checks (SPF or DKIM, or both).
DMARC reports are hard to read and interpret for most people. Learn more about using DMARC reports.
What you need to do
Before you set up DMARC
For details, go to Before you set up DMARC. |
|
|
For details, go to Define your DMARC policy. |
|
|
For details, go to Add your DMARC record. |
|
Tutorial: Recommended DMARC rollout
For details, go to Tutorial: Recommended DMARC rollout. |
|
DMARC reports
For details, go to DMARC reports. |
|
Troubleshoot DMARC issues
For details, go to Troubleshoot DMARC. |
|
What you need to do
Before you set up DMARC
For details, go to Before you set up DMARC. |
|
|
For details, go to Define your DMARC policy. |
|
|
For details, go to Add your DMARC record. |
|
Tutorial: Recommended DMARC rollout
For details, go to Tutorial: Recommended DMARC rollout. |
|
DMARC reports
For details, go to DMARC reports. |
|
Troubleshoot DMARC issues
For details, go to Troubleshoot DMARC. |
|
