У цьому посібнику пояснюється запис DMARC і те, як його налаштувати в налаштуваннях домену, щоб покращити здоров'я і безпеку домену.
Перш ніж налаштовувати DMARC, переконайтеся, що записи SPF і DKIM уже налаштовано та вони були активними принаймні 48 годин.
Запис DMARC дозволяє вам додати політику автентифікації пошти для вашого домену, вказуючи, як сервери отримувача мають обробляти листи, які не проходять перевірки SPF і DKIM.
Чому вам слід налаштувати DMARC:
1) Це покращує здоров'я вашого домену та захищає від підробки пошти
2) Це знижує ризик того, що ваші листи будуть позначені як спам або підозрілі
3) Отримайте зведені звіти про автентифікацію пошти
Що таке запис DMARC
Ось базовий приклад запису DMARC:
DMARC policy: Частина після “p=” відповідає за політику. Ця політика визначає, що станеться з листами, які не можуть пройти перевірки SPF і DKIM. Ви можете використовувати політику за замовчуванням (p=none) або змінити її на (p=quarantine) або (p=reject), якщо ви бажаєте суворішого захисту.
Є три варіанти політики DMARC:
p=none→ Це політика лише для моніторингу (не рекомендовано). Це дозволяє доставляти всі листи, навіть якщо вони не проходять перевірку.p=quarantine(рекомендовано)→ Ця політика повідомляє провайдерам позначати листи, які не пройшли перевірку, як підозрілі та надсилати їх до папки спаму. Це допомагає захистити ваш домен від підробки, але дозволяє одержувачам переглядати ці листи.p=reject→ Ця політика блокує всі листи, які не пройшли перевірку DMARC, не даючи їм потрапити навіть до папки спаму. Це найсуворіший параметр, який повністю захищає ваш домен від несанкціонованого використання, але іноді це може призвести до блокування законних листів.
Звіти DMARC:
Запис DMARC містить адресу пошти після "rua=mailto:" — це спеціальна адреса, на яку надсилаються зведені звіти.
Створіть окрему поштову скриньку та додайте її до свого запису DMARC, якщо хочете їх отримувати. Ці звіти показують статистику автентифікації пошти та допомагають у розв'язанні потенційних проблем безпеки. Ці звіти будуть створені автоматично та надіслані на цю електронну адресу. (Додаткову інформацію див. у розділі “Перегляд звітів DMARC” цієї статті.)
Як налаштувати запис DMARC
DMARC додається як запис у налаштуваннях DNS вашого домену.
Крок 1. Створіть новий запис у налаштуваннях домену
Щоб додати DMARC до свого домену, створіть новий запис у налаштуваннях DNS свого домену.
Щоб отримати доступ до налаштувань домену, увійдіть у свій обліковий запис хостингу домену — платформу чи службу, де ви придбали доменне ім’я.
Відкрийте налаштування DNS і знайдіть опцію створення нового запису.
Крок 2. Додайте параметри DMARC
Ваш запис DMARC повинен мати такі параметри:
- Record type: TXT (default). Запис DMARC додається як запис TXT у налаштуваннях DNS.
- Host/Name: У це поле введіть "
_dmarc.userdomain.com"(замініть “userdomain” актуальною адресою домену). Деякі провайдери доменів автоматично додають ім’я домену до цього поля, тому може бути достатньо ввести лише_dmarc. - Value/Content: У це поле введіть значення запису DMARC:
Дефолтний запис DMARC:
v=DMARC1; p=none; rua=mailto:your-email@yourdomain.com. (Замініть email-адресу після “mailto:” реальною адресою, створеною для звітів.)
Рекомендований запис DMARC:
v=DMARC1; p=quarantine; rua=mailto:your-email@yourdomain.com. (Замініть email-адресу після “mailto:” реальною адресою, створеною для звітів.)
Збережіть запис у налаштуваннях DNS і зачекайте до 48 годин, поки зміни набудуть чинності.
Приклади записів DNS
Нижче наведено кілька прикладів того, як додати новий запис DNS для різних провайдерів:
Якщо вашим провайдером домену є Namecheap:
- Увійдіть у свій акаунт Namecheap.
- Відкрийте меню Domain list і виберіть свій домен.
- Клікніть кнопку Manage поруч з доменом.
- Перейдіть у вкладку Advanced DNS у меню вгорі.
- Клікніть Add new record –> виберіть запис TXT.
Якщо вашим провайдером домену є Cloudflare:
- Увійдіть у свій акаунт Cloudflare і виберіть свій домен.
- Перейдіть у вкладку DNS.
- Клікніть Add record –> виберіть тип TXT.
Якщо вашим провайдером домену є GoDaddy:
- Увійдіть у свій акаунт GoDaddy.
- Перейдіть на сторінку Domains, виберіть домен і клікніть Manage DNS.
- Клікніть Add record –> виберіть тип TXT.
Як перевірити запис DMARC
Щоб переконатися, що ваш запис DMARC правильно налаштовано та поширено в DNS, виконайте швидкий тест у налаштуваннях email-акаунту. Для цього перейдіть до списку email-акаунтів та відкрийте налаштування облікового запису у відповідному домені (клікніть іконку “Редагувати”).
Перш ніж перевірити DMARC, зачекайте приблизно 48 годин після внесення змін, щоб переконатися, що вони повністю застосовані до налаштувань вашого домену.
Перейдіть до розділу “Додаткові налаштування”, виберіть вкладку “Здоров'я домену” та натисніть “Перевірити здоров'я". Після завершення перевірки ви побачите статус свого запису DMARC (разом з іншими записами DNS). Валідний статус означає, що ваш запис правильно налаштовано та він активний. Якщо є проблема, перевірка її покаже.
Як переглянути звіти DMARC
Звіти DMARC – це автоматичні листи, які надають детальну інформацію про листи, надіслані з вашого домену, і допомагають виявити проблеми безпеки пошти.
Навіщо переглядати звіти DMARC:
1) Відстежуйте відсоток листів із вашого домену, які пройшли або не пройшли перевірки SPF і DKIM
2) Відстежуйте активність пошти: які IP-адреси чи email-сервери надсилають листи від вашого імені
3) Виявляйте вихідні листи з вашого домену, які не пройшли автентифікацію
Отримайте звіти DMARC
Вони автоматично надсилаються із серверів одержувачів на адресу, вказану у вашому записі DMARC.
Переконайтеся, що адреса, вказана у вашому записі DMARC, має достатньо місця для зберігання вхідних звітів. Тому рекомендується створити окрему нову скриньку.
Щоб отримувати та переглядати звіти DMARC, вам потрібно налаштувати запис DMARC для свого домену. Переконайтеся, що він містить тег rua=mailto: із відповідною адресою.
Наприклад, "v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; Без цього параметра звіти надсилатися не будуть.
Знайдіть і завантажте звіти DMARC
Поки ваші email-кампанії активні, регулярно перевіряйте свою поштову скриньку на наявність щоденних звітів DMARC.
Шукайте звіти, що відповідають датам ваших активних кампаній. Ці листи мають вкладення у форматі XML, що містять звіт DMARC.
Завантажте вкладений файл на свій комп’ютер.
Перегляньте звіти DMARC
Звіти DMARC у необробленому вигляді можуть бути складними для розуміння більшості користувачів. Щоб зробити дані більш доступними та легшими для інтерпретації, використовуйте аналізатори звітів DMARC, які можна знайти в інтернеті.
Ці інструменти перетворюють звіт у зручний для читання формат або дешборд, надаючи статистичні дані та допомагаючи визначити проблеми, які потребують уваги. Завантажте XML-файл у вибраний інструмент.
Дані в звіті DMARC
<report_metadata>:
Метадані про звіт, як-от назва компанії, ID звіту та діапазон дат, охоплений у звіті.
<policy_published>:
Політика DMARC активна дляyour-domain.com.
<record>:
Відомості про відправників листів, які використовує ваш домен:
-
-
<source_ip>: IP-адреса відправника листа.<count>: Кількість емейлів від цього відправника.<policy_evaluated>: Вказує на перевірену політику (e.g., reject, none) і результати перевірок DKIM і SPF.<auth_results>: Статистика перевірок DKIM і SPF.
-
Приклади знайдених у звітах DMARC помилок
Приклад 1: IP відправника:
Проблема: Перевірку SPF провалено, а DKIM пройдено. Це може означати помилку в записах SPF або неавторизоване надсилання листів від імені your-domain.com.
Розв'язання: перевірте запис SPF для your-domain.com і переконайтеся, що всі сервери, які ви використовуєте, включені. Зазвичай це сервери вашого email-провайдера.
Приклад 2: IP відправника:
Проблема: перевірки SPF і DKIM провалено для листів, надісланих із spam-domain.com. Це означає потенційну спробу видати себе за your-domain.com.
Розв'язання: перевірте шкідливу IP-адресу відправника та вживіть заходів, щоб заблокувати її. Установіть для політики DMARC значення reject, щоб такі листи не потрапляли до одержувачів.