Отчеты DMARC

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) — это стандарт, который позволяет устанавливать политики для отправки электронной почты с вашего домена на основе DKIM и SPF. Если вы не знакомы с аутентификацией электронной почты, рекомендуется сначала ознакомиться с SPF и DKIM. В сочетании с ними, политика DMARC в DNS позволяет установить правила для отклонения или помещения в спам писем от ненадежных источников. Благодаря поддержке DMARC со стороны почтовых провайдером (Gmail, Mail.ru, Yandex и другие) вы также сможете получать отчеты об отправке писем с вашего домена. Как это работает? DMARC основывается на записи TXT в DNS, которая добавляется в поддомен _dmarc вашего домена. Формат и значения этой записи определяют ваши политики DMARC, а также куда вы хотите получать отчеты. Типичная запись DMARC выглядит так: v=DMARC1; p=none; pct=100; rua=mailto:name@domain.com; sp=none; aspf=r; Описание основных тегов - p= и pct= — важнейшие теги для управления тем, как почтовые провайдеры принимают вашу почту. Запись p= может быть установлена на quarantine, reject или none. Почтовые провайдеры, поддерживающие DMARC, будут проверять результаты ваших записей DKIM и SPF для сообщений, которые они получают от вашего домена. Если DKIM и SPF не совпадают, сообщения могут быть помещены в спам или отклонены. - pct= — позволяет вам определить, сколько сообщений должно быть отфильтровано на основе результатов DMARC. - rua= — это адрес электронной почты, на который вы хотите получать отчеты. Как внедрить DMARC для вашего домена? DMARC — мощный инструмент для борьбы с подделкой электронной почты. Однако его реализация сложна и рискованна. Если вы установите политику DMARC без знания всех источников вашей почты (почтовые ящики, рассылки, CRM, транзакционные письма, уведомления серверов и т. д.), вы рискуете отклонить легитимные сообщения. Рекомендуется сначала установить политику p=none. Это позволит вам получать отчеты о происхождении ваших писем и постепенно синхронизировать все исходящие письма с DKIM и SPF для вашего домена. Для получения дополнительной информации по DMARC, рекомендуем посетить сайт DMARC или ознакомиться с документацией Mail.ru по DMARC.

FAQ по DMARC

Что такое DMARC? DMARC (Domain-based Message Authentication, Reporting, and Conformance) — это стандарт, который предотвращает отправку писем от имени вашего домена без разрешения (так называемый spoofing). Если вы только начинаете разбираться в аутентификации email, сначала ознакомьтесь с протоколами SPF и DKIM. DMARC позволяет вам в DNS указать правила обработки писем, которые не проходят SPF или DKIM — например, отклонять их или помещать в карантин. Также, как часть DMARC-спецификации, крупные почтовые сервисы (Gmail, Yahoo, Microsoft и др.) присылают вам отчёты о рассылке от имени вашего домена. Что означают теги в DMARC-записи? Как добавить DMARC-запись в DNS? Скопируйте сгенерированную запись и добавьте её как TXT-запись в своей DNS-панели: - Имя/хост: _dmarc - Значение: ваша DMARC-запись (например: v=DMARC1; p=none; rua=mailto:you@domain.com;)

Как идентифицировать ненадежные источники в отчетах DMARC?

Хотя агрегированные отчеты DMARC предоставляют хороший обзор вашей рассылки, они не дают достаточно подробной информации для того, чтобы понять, какие ненадежные источники появляются в отчетах как не прошедшие проверку DMARC. Чтобы выявить такие источники, вам нужно использовать подробные отчеты DMARC. Что такое подробные отчеты DMARC? Подробные отчеты, в отличие от агрегированных, позволяют получать информацию о каждом конкретном письме, которое не прошло проверку DMARC. Эти отчеты отправляются получающим почтовым провайдером сразу после того, как произошло нарушение DMARC, предоставляя вам почти в реальном времени информацию о сбоях. Как начать получать подробные отчеты? Чтобы начать получать подробные отчеты DMARC, нужно добавить в вашу DMARC-запись тег ruf, который указывает адрес, на который будут поступать такие отчеты. Например, если ваша исходная DMARC-запись выглядит так: v=DMARC1; p=none; pct=100; rua=mailto:re+gere25cludm@dmarc.postmarkapp.com; sp=none; aspf=r; Вы можете добавить адрес для получения подробных отчетов, например forensicreports@vashdomain.ru, и изменить запись на такую: v=DMARC1; p=none; pct=100; rua=mailto:re+gere25cludm@dmarc.postmarkapp.com; ruf=mailto:forensicreports@yourdomain.com; sp=none; aspf=r; fo=1; Как только вы добавите этот тег, начнете получать подробные отчеты о письмах, которые не прошли проверку DMARC, от тех почтовых провайдеров, которые поддерживают их отправку. Что будет в этих подробных отчетах? В таких отчетах могут быть следующие данные: - Информация о IP-адресе (IP-адрес, с которого отправлено письмо) - Время получения письма почтовым провайдером - Результаты проверки SPF, DKIM и DMARC - ISP (Почтовый провайдер, получивший письмо и отправивший отчет) - Информация о домене отправителя: - Адрес отправителя - Адрес Mail From - Адрес DKIM From, если письмо подписано DKIM - Тема письма - URL-адреса (если они есть в письме) - ID сообщения - Результат доставки (было ли письмо отклонено, помещено в карантин или доставлено) Что именно будет включено в отчет, зависит от конкретного почтового провайдера, и не все данные могут быть в каждом отчете. Что делать, если источник оказывается легитимным? Если вы обнаружите, что источник на самом деле является легитимным, вам нужно настроить SPF и DKIM для этого источника, чтобы убедиться, что его письма всегда проходят проверку DMARC.

Что делать, если DKIM проходит для сообщения, отправленного с ненадежного источника?

Что значит, если ненадежный источник отправки проходит проверку DKIM? При просмотре отчетов DMARC вы можете заметить, что иногда аутентификация DKIM проходит для доменов, которые вам не знакомы. Возможно, вы подумаете, что кто-то получил доступ к вашему DKIM-ключу и фальсифицировал ваш домен, но, скорее всего, это связано с более безобидной причиной — переадресацией почты. Очень часто пользователи настраивают автоматическую переадресацию электронной почты. Например, некоторые люди предпочитают, чтобы их рабочая почта перенаправлялась на другой адрес, или же адрес, который они больше не используют, автоматически перенаправляет письма на другой почтовый ящик, которым они чаще пользуются. Когда вы отправляете письмо получателю, у которого настроена переадресация, письмо будет отправлено с оригинальной DKIM-подписью. Поскольку переадресация происходит с домена исходного получателя, это выглядит так, как если бы этот домен создал письмо, используя вашу DKIM-подпись. В результате DKIM продолжает проходить для переадресованного сообщения, поскольку служба переадресации не изменяет DKIM-подпись, и сообщение также проходит DMARC. Что мне делать в таком случае? Если вы не наблюдаете большого количества сообщений с прохождением DKIM от ненадежного источника, то не нужно предпринимать никаких действий с этими доменами, на которых проходит DKIM. Если же вы видите большой объем сообщений, проходящих DKIM от ненадежного домена, вам следует сначала проверить, является ли этот источник действительно легитимным. Если вы установите, что это легитимный источник, настройте SPF для этого источника, чтобы он стабильно проходил DMARC. В следующий раз, когда вы увидите, что DKIM проходит от источника, с которым вы не знакомы, не переживайте — вероятность того, что кто-то фальсифицирует ваш домен, используя ваш DKIM-ключ, крайне мала. Наиболее вероятной причиной является переадресация почты вашим получателем.

Почему письма, отправленные через HaskiMail, не проходят SPF-совместимость?

В вашем DMARC-отчете могут быть указаны письма, отправленные через HaskiMail, как не прошедшие проверку SPF, даже если вы правильно добавили HaskiMail в вашу SPF-запись. Это связано с тем, что, как и у большинства провайдеров почтовых услуг, HaskiMail использует собственный домен для сбора возвратов. Согласно правилам DMARC, для прохождения SPF-совместимости адреса Return-Path и From должны совпадать. Это означает, что почтовые сервисы (ESP) не пройдут SPF-проверку DMARC, если не используется кастомный Return-Path. Но не переживайте, DMARC требует, чтобы прошел хотя бы один из механизмов — SPF или DKIM. Если у вас настроена аутентификация DKIM, такие письма, не прошедшие SPF, все равно пройдут DMARC. Некоторые почтовые сервисы обходят это, используя заголовок Sender, но мы не любим этот способ, так как он может вызвать отображение сообщения "от имени" в почтовых клиентах. Кроме того, нам нравится, чтобы наши клиенты строили репутацию на своих собственных доменах, используя кастомные DKIM-записи в их DNS. Чтобы полностью поддерживать DMARC при отправке писем через HaskiMail, вы можете добавить кастомный домен Return-Path для вашего собственного домена. Это позволит сделать адрес Return-Path совпадающим с адресом From, что обеспечит успешную SPF-совместимость для ваших писем.