DMARC
Когда домен агентства попадает в фишинговую схему или спам-рассылку, клиенты теряют доверие к письмам быстрее, чем успеваешь это заметить. DMARC (Domain-based Message Authentication, Reporting and Conformance) — стандарт аутентификации email, который появился в 2012 году как совместная разработка крупных технологических компаний и почтовых провайдеров. Он даёт владельцу домена контроль над тем, кто может отправлять письма от его имени, и инструкции для почтовых серверов — что делать с подозрительными сообщениями. Для digital-агентств это особенно актуально: вы работаете с клиентскими доменами, и любая брешь в защите бьёт по репутации как агентства, так и клиента.
Что даёт DMARC на практике
DMARC работает поверх двух других протоколов — SPF и DKIM. SPF проверяет, с какого сервера пришло письмо, DKIM — подлинность подписи отправителя. DMARC объединяет эти проверки и добавляет политику: что делать, если письмо не прошло аутентификацию.
Политика задаётся в DNS-записи домена и может принимать три значения:
- `none` — только мониторинг, письма доставляются в любом случае
- `quarantine` — подозрительные письма уходят в спам
- `reject` — письма, не прошедшие проверку, отклоняются полностью
Помимо защиты, DMARC отправляет агрегированные и криминалистические отчёты на указанный адрес. В них видно, кто и откуда пытается рассылать письма от имени домена — легитимные сервисы или злоумышленники.
Как это работает
Цепочка проверки выглядит так:
- Письмо приходит на почтовый сервер получателя
- Сервер проверяет SPF-запись — совпадает ли IP отправителя с разрешёнными
- Сервер проверяет DKIM-подпись — подлинна ли она
- Сервер смотрит DMARC-политику домена
- Если SPF или DKIM не прошли, сервер применяет политику из DMARC-записи
- На адрес, указанный в DMARC, отправляется отчёт о результате
Формула соответствия: Письмо проходит DMARC, если хотя бы одна из проверок (SPF или DKIM) завершилась успешно и домен в проверке совпадает с доменом в поле `From`.
Пример DNS-записи DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=100
| Параметр | Значение | Что означает |
|---|---|---|
| `v` | DMARC1 | Версия протокола |
| `p` | none / quarantine / reject | Политика обработки |
| `rua` | mailto: адрес | Куда слать агрегированные отчёты |
| `pct` | 0–100 | Процент писем, к которым применяется политика |
| `adkim` / `aspf` | r / s | Режим проверки: relaxed или strict |
Сравнение: DMARC, SPF и DKIM
| Протокол | Что проверяет | Без чего не работает | Даёт отчёты |
|---|---|---|---|
| SPF | IP-адрес отправляющего сервера | DNS-запись TXT | Нет |
| DKIM | Цифровую подпись письма | Пара ключей на сервере | Нет |
| DMARC | Соответствие политике домена | SPF и/или DKIM | Да |
DMARC не заменяет SPF и DKIM — он надстройка над ними. Без хотя бы одного из этих протоколов DMARC не сработает.
Типичные ошибки
Ошибка 1. Сразу ставить политику `reject` без периода мониторинга. Сначала нужно собрать отчёты на политике `none`, убедиться, что все легитимные сервисы (CRM, рассылочные платформы, тикет-системы) настроены правильно. Иначе потеряете часть деловой почты.
Ошибка 2. Не настроить SPF и DKIM перед внедрением DMARC. Запись в DNS будет, но толку от неё ноль — DMARC просто не найдёт, на что опереться при проверке, и все письма будут считаться непрошедшими.
Ошибка 3. Игнорировать отчёты. DMARC-отчёты — это разведданные о вашем домене. В них видно атаки, неправильно настроенные сервисы и попытки подделки. Если никто их не читает, вся ценность инструмента теряется.
Мнение эксперта
На практике большинство агентств вспоминают про DMARC только после инцидента — когда клиент жалуется, что его домен попал в чёрный список. Гораздо разумнее делать аудит email-инфраструктуры при онбординге каждого нового клиента: SPF, DKIM, DMARC — три строчки в чеклисте, которые экономят часы разбирательств потом. С 2024 года Google и Яндекс ужесточили требования к массовым рассылкам, и домены без DMARC стали чаще попадать в спам — это уже не рекомендация, а необходимость.
FAQ
Обязательно ли настраивать DMARC для всех доменов клиентов?
Технически — нет, но фактически без него домен уязвим для подделки и хуже доставляет письма. С 2024 года Google и Яндекс требуют наличие DMARC для доменов, которые отправляют более 5000 писем в день. Для остальных это сильная рекомендация, влияющая на репутацию домена и процент доставки.
Можно ли настроить DMARC без технических знаний?
Базовую запись с политикой `none` можно добавить самостоятельно через панель управления DNS-хостинга. Но чтобы корректно перейти на `quarantine` или `reject`, нужно разобраться в отчётах и убедиться, что все почтовые потоки настроены правильно — здесь лучше привлечь специалиста или воспользоваться специализированными сервисами для разбора DMARC-отчётов.
Как быстро начинают приходить DMARC-отчёты?
Первые агрегированные отчёты обычно приходят в течение 24–48 часов после добавления записи. Частота и детализация зависят от почтовых провайдеров получателей — крупные (Gmail, Mail.ru) присылают регулярно, мелкие могут не присылать вовсе. Отчёты приходят в формате XML, для удобного чтения используют специальные парсеры.
Влияет ли DMARC на доставляемость писем напрямую?
Сам по себе DMARC не улучшает доставляемость — он предотвращает ухудшение репутации домена от чужих рассылок. Косвенный эффект есть: почтовые провайдеры доверяют доменам с корректно настроенным DMARC больше, а значит, письма реже попадают под фильтры. Это особенно заметно при работе с холодными рассылками.
Что делать, если в DMARC-отчётах видны легитимные сервисы, не проходящие проверку?
Это сигнал, что у какого-то сервиса (например, CRM или платформы рассылок) не настроен DKIM или он не включён в SPF-запись. Нужно добавить IP-адреса или домены этого сервиса в SPF, настроить DKIM-подпись — и проблема уйдёт. Не стоит из-за этого откладывать DMARC: именно для таких ситуаций и существует переходный период с политикой `none`.
Понимание DMARC — это не просто техническая грамотность, а часть работы с репутацией клиентского домена. Агентство, которое умеет читать DMARC-отчёты и грамотно выстраивать email-инфраструктуру, получает конкретное преимущество: меньше проблем с доставляемостью, меньше инцидентов и больше доверия клиентов к результату работы.
Смотрите также:
- Читать про защиту email-домена — практические материалы в блоге qiosker
- Узнайте больше о маркетинге и стратегиях на главной странице qiosker
