Defaults.Exposed › Исправления › DMARC (защита от подделки почты)

Как исправить DMARC (защита от подделки почты)

DMARC — та самая настройка, которая реально велит почтовым сервисам всего мира БЛОКИРОВАТЬ письма, подделывающие имя вашего бизнеса. SPF и DKIM проверяют замки; DMARC решает, что происходит, когда подделка проверку не проходит, — выбросить, пометить или пропустить. Настроено неверно — ваш домен полностью подделываем; настроено верно — подмена останавливается ещё до почтового ящика.

Главное для вашего бизнеса: Без принуждения DMARC преступник может разослать письма, которые выглядят ровно как от вашего бизнеса, — вашим клиентам, сотрудникам и поставщикам, — и они попадут в их входящие, а не в спам. Людей обманывают от вашего имени, и винят они вас.

Во что это может вам обойтись

Мошенник присылает вашему клиенту правдоподобный счёт «от вашего бухгалтерского отдела» со своими реквизитами. Клиент платит. Вы узнаёте об этом спустя недели, когда он спрашивает про товар, за который уже заплатил, — и ответственным считает вас.
Фальшивое письмо о «срочном платеже» уходит вашему финансисту, якобы от вас, владельца. Деньги переводят раньше, чем кто-то догадается перепроверить, — а попав на счёт преступника, они почти никогда не возвращаются.
ИТ-служба крупного потенциального клиента перед подписанием проверяет ваш домен на безопасность. Ответ: «почта не защищена — поддаётся подделке». Вы теряете сделку в пользу конкурента, чей домен проверку прошёл.
Ваш домен используют в фишинговой волне. Обманутые клиенты оставляют гневные отзывы и предупреждают других. Репутационный ущерб переживает саму атаку на месяцы.
Даже ваша настоящая почта начинает попадать в спам, потому что Gmail и Yahoo всё сильнее не доверяют — а теперь порой и отклоняют — домены без принуждённого DMARC.

Почему это важно. Почта изначально не была устроена так, чтобы доказывать, кто на самом деле отправитель, поэтому подделать поле «от кого» элементарно. DMARC — единственный механизм, превращающий «мы умеем обнаруживать подделки» в «подделки блокируются», — а ещё он даёт ежедневные отчёты, показывающие, кто шлёт почту от имени вашего бренда. Крупные почтовые сервисы теперь считают отсутствующую или непринуждённую политику DMARC сигналом недоверия против вас, поэтому это влияет и на доставляемость вашей собственной почты.

Что такое DMARC простыми словами

У почты есть грязный секрет: поле «от кого» — это просто набранный текст. Кто угодно и где угодно может вписать имя и адрес вашего бизнеса в поле «от кого» и отправить письмо. Интернет никогда не был устроен так, чтобы этому помешать.

Есть три настройки, которые вместе это чинят. Представьте их как охрану здания:

SPF — список тех, кому разрешён вход через парадную дверь (какие почтовые сервисы могут отправлять от вашего имени).
DKIM — защищённая от вскрытия печать, доказывающая, что письмо не подменили в пути.
DMARC — охранник, который проверяет список и печать — и, что важнее всего, решает, что делать при несовпадении: пропустить, отправить в спам или развернуть у двери.

У вас могут быть список (SPF) и печать (DKIM), но при этом не быть охранника. Это самая частая и самая опасная ситуация: замки есть, но ничто их не принуждает. DMARC — это и есть принуждение. Это разница между «мы можем понять, что письмо поддельное» и «это поддельное письмо никогда не дойдёт до вашего клиента».

Чем это может вам обойтись

Это не теория. Вот конкретные способы, которыми незащищённый домен превращается в реальные деньги и реальный ущерб:

Афера с фальшивым счётом. Преступник присылает вашему клиенту нечто, выглядящее ровно как настоящий счёт от вашей бухгалтерии — то же имя, тот же домен, профессиональная вёрстка — но со своими банковскими реквизитами. Поскольку ваш домен не принуждён, письмо попадает во входящие, а не в спам. Клиент платит. Вы узнаёте об этом спустя недели, когда он спрашивает, где заказ. Деньги обычно уже не вернуть, и клиент нередко винит в утечке вас.
Мошеннический перевод «от директора». Письмо якобы приходит от вас, владельца, вашему финансисту: «Можешь срочно провести этот платёж, я на совещании». Оно выглядит полностью настоящим, потому что это ваш адрес — просто подделанный. Платёж уходит. Эта схема — компрометация деловой переписки (BEC) — одна из самых дорогих афер против малого бизнеса именно потому, что письмо реально идёт с вашего домена и проскальзывает мимо подозрений.
Потерянный контракт. Серьёзный потенциальный клиент перед подписанием проводит проверку безопасности или закупочную проверку. Их инструменты сообщают, что ваш домен «поддаётся подделке — нет принуждения аутентификации почты». Одного этого красного флага может хватить, чтобы контракт ушёл конкуренту, чей домен проверку прошёл. Настоящей причины вы так и не узнаете.
Репутационный удар, который не отыграть. Ваш домен затягивает в фишинговую кампанию. Десятки обманутых от вашего имени людей публикуют предупреждения и отзывы. Атака длится неделю; вопрос «а безопасна ли вообще эта компания?» висит месяцами.
Ваша собственная почта в спаме. Gmail и Yahoo теперь активно не доверяют доменам без принуждённого DMARC. Предложения, счета и ответы, которые вы реально отправили, начинают тихо оседать в спаме. Сделки буксуют, а вы не понимаете почему.

Что это на самом деле (и как выглядит «хорошо»)

DMARC живёт как одна текстовая строка в настройках вашего домена — DNS-запись «TXT», опубликованная по специальному имени _dmarc.вашдомен. Внутри — несколько коротких инструкций. Две из них важнее всего, и именно их проверяет эта оценка.

1. Политика (p=) — приказы охранника. Это сильно весомая часть проверки. Она может быть одной из трёх:

p=none — только наблюдение. Охранник отмечает, кто прошёл, но никого не останавливает. Это не защищает ни от чего; это стадия мониторинга, а не готовая настройка. (Наш движок засчитывает это как провал — лучше, чем вовсе без DMARC, но это не защита.)
p=quarantine — отправлять подделки в спам. Реальная защита, но решительный злоумышленник рассчитывает, что люди заглядывают в спам. Прочная ступень — даёт примерно половину балла.
p=reject — отклонять подделки у двери. Поддельное письмо вообще не доставляется. Это единственная настройка, полностью защищающая вас и дающая полный балл.

Как выглядит «хорошо»: p=reject. Всё, что слабее, оставляет брешь.

Две технические детали, которые наша проверка тоже учитывает, — стоит их знать, чтобы не попасться:

Политика для поддоменов (sp=). Можно задать сильную политику для основного домена и случайно оставить поддомены (вроде mail.вашдомен или news.вашдомен) нараспашку. Наш движок наказывает это жёстко — домен с p=reject, но sp=none оценивается почти как без принуждения вовсе, потому что злоумышленники просто подделают поддомен. Хорошая практика — позволить sp унаследовать сильную основную политику или явно задать reject.
Процент (pct=). При аккуратном развёртывании можно применять принуждение лишь к части почты (например, pct=25). Это легитимный инструмент перехода, но частичное развёртывание даёт лишь частичную защиту, и наша оценка это отражает — она плавно растёт по мере перехода от 25% к 100%, но полный балл требует полного охвата.

2. Адрес для отчётов (rua=) — ваша видимость. Это вторая проверка на странице. Тег rua= просит каждый почтовый сервис в мире присылать вам ежедневную сводку о том, кто пытался отправить почту от вашего домена, — ваши собственные системы и любые имитаторы. Без него вы летите вслепую: вы понятия не имеете, кто злоупотребляет вашим именем. С ним бизнесы регулярно обнаруживают от 5 до 50 несанкционированных отправителей в самый первый день.

Как выглядит «хорошо» для отчётности: корректный адрес rua=mailto: (или https:-URL сервиса отчётов), который реально получает отчёты. Наша проверка валидирует формат — опечатка или некорректный адрес означает, что отчёты тихо уходят в никуда, что засчитывается как частичный или проваленный результат, даже если тег технически «присутствует».

Как это исправить (бесплатно, ~30 минут, растянутых на две недели)

Передайте этот раздел тому, кто ведёт ваш домен, сайт или ИТ, — исправление полностью бесплатно. Мы берём плату только за мониторинг того, что настройка остаётся корректной со временем, за управление портфелем доменов или за аудит. Само изменение не стоит ничего.

Золотое правило: никогда не прыгайте сразу в reject. Сначала включите наблюдение, изучите отчёты, убедитесь, что настоящая почта распознаётся, и только потом ужесточайте. В таком порядке это безопасно; впопыхах — можно отправить в спам собственную почту.

Шаг 1 — Сначала убедитесь, что SPF и DKIM на месте. DMARC опирается на них. Если чего-то не хватает, разберитесь с этим до принуждения DMARC (см. страницы SPF и DKIM).

Шаг 2 — Опубликуйте запись наблюдения с включёнными отчётами. Добавьте DNS-запись TXT:

Host / name: _dmarc.вашдомен (ваш DNS-провайдер может показывать это просто как _dmarc)
Type: TXT
Value: v=DMARC1; p=none; rua=mailto:dmarc@вашдомен; adkim=s; aspf=s

Это наблюдает и отчитывается, пока ничего не блокируя. Части adkim=s; aspf=s запрашивают строгое выравнивание — если не уверены, сначала опустите их и добавьте, когда убедитесь, что почта чистая.

Шаг 3 — Читайте отчёты ~2 недели. Сырые отчёты DMARC — это плотный XML. Используйте бесплатный сервис отчётов (например, dmarcian или бесплатный инструмент DMARC от Postmark), чтобы превратить их в читаемую панель. Убедитесь, что каждый легитимный отправитель — ваш почтовый провайдер, инструмент рассылок, CRM, служба поддержки, сервис счетов — проходит проверку. Исправьте любого настоящего отправителя, у которого нет.

Шаг 4 — Перейдите на quarantine. Когда настоящая почта чиста, смените p=none на p=quarantine. Понаблюдайте ещё несколько дней.

Шаг 5 — Перейдите на reject. Наконец смените p=quarantine на p=reject. Теперь вы полностью защищены. Итоговая запись выглядит так:

v=DMARC1; p=reject; rua=mailto:dmarc@вашдомен; adkim=s; aspf=s

Шаг 6 — Не забудьте про поддомены. Убедитесь, что нигде не остался sp=none. Если не публиковать sp вовсе, поддомены наследуют основную политику p= — а это как раз то, что нужно.

Примечания по типичным платформам:

Google Workspace / Microsoft 365: Оба полностью поддерживают DMARC. Сама запись DMARC ставится у вашего DNS-провайдера, а не в админ-консоли Google или Microsoft — сначала убедитесь, что SPF и DKIM включены в админ-консоли, затем опубликуйте TXT-запись DMARC у регистратора/DNS-хоста.
Cloudflare: DNS > Records > Add record > TXT, name _dmarc, вставьте значение. Cloudflare также предлагает встроенное управление DMARC, которое может всё настроить и собирать отчёты за вас.
Типичные хостинги / регистраторы: найдите «DNS», «DNS Zone» или «Advanced DNS», добавьте TXT-запись с именем _dmarc и значением выше. Распространение обычно занимает от нескольких минут до часа.

Частые ошибки

Остановка на p=none. Самая частая ошибка с большим отрывом. Наблюдение — это начало, а не финиш: домен, застрявший на «none», по-прежнему полностью подделываем. Наш движок засчитывает это как провал именно по этой причине.
Прыжок сразу в reject без наблюдения. Обратная ошибка. Без стадии отчётов можно не заметить, что легитимный отправитель (часто рассылка или сервис счетов) не выровнен, — и вы начнёте блокировать собственную почту.
Забытая политика для поддоменов. Сильный p=reject с sp=none оставляет боковую дверь нараспашку; злоумышленники просто подделают поддомен.
Сломанный адрес для отчётов. Опечатка в rua= (или пропущенный префикс mailto:) означает, что отчёты уходят в никуда, и вы остаётесь слепы, сами того не зная. Формат должен быть корректным URI mailto: или https:, иначе отчёты не доставляются.
«Мы не шлём почту, так что пропустим». Неотправляющий домен — первоочередная мишень именно потому, что за ним никто не следит. Опубликуйте строгую политику reject, чтобы запереть его полностью.

Замечание об оценке

Проверка политики (p=) — один из самых весомых пунктов всей оценки, потому что это главный фактор того, могут ли выдать себя за ваш бизнес. reject даёт полный балл; quarantine — примерно половину; none и отсутствующая запись засчитываются как провал. Слабая политика для поддоменов или частичное развёртывание pct= тянут оценку вниз под реальный уровень защиты, которая у вас есть.

Проверка отчётности (rua=) тоже несёт реальный вес, но думайте о ней не как о галочке, а как об инструменте, позволяющем дойти до reject безопасно. Настройте её одновременно с записью наблюдения, и она окупает себя видимостью уже в первый день.

Настройте это у своего хостинг-провайдера

Пошагово для популярных провайдеров:

Частые вопросы

Я совсем не технический — это реально то, с чем я смогу справиться?

Да, но делать это лично не обязательно. Исправление — пара строк, добавленных в настройки вашего домена, и это бесплатно. Самый простой путь — переслать раздел «Как это исправить» ниже тому, кто ведёт ваш сайт или ИТ-поддержку. Обычно у них уходит сильно меньше часа, растянутого на пару недель безопасного наблюдения.

Не остановит ли включение DMARC случайно мои собственные письма?

Может — но только если пропустить безопасное развёртывание. Весь смысл старта в режиме «только наблюдение» (p=none) с включёнными отчётами в том, чтобы две недели наблюдать и убедиться, что каждый легитимный отправитель (ваш почтовый ящик, инструмент рассылок, сервис счетов) правильно распознаётся, ПРЕЖДЕ чем переходить к блокировке. В таком порядке настоящая почта не страдает. Прыжок сразу в «reject» без чтения отчётов — единственная распространённая ошибка, ломающая доставку.

У меня уже настроены SPF и DKIM. Этого недостаточно?

Нет — и это самое важное для понимания. SPF и DKIM — это замки; DMARC — инструкция, говорящая «если замки не совпали, откажи письму». Без DMARC в режиме «reject» принимающий сервер может заметить, что письмо поддельное, и всё равно его доставить. SPF и DKIM — необходимые предпосылки для работы DMARC, но сами по себе они не мешают поддельному письму дойти до входящих.

В чём разница между «none», «quarantine» и «reject»? Что мне нужно?

«none» только наблюдает и отчитывается — он ничего не останавливает, поэтому не защищает. «quarantine» отправляет подделки в спам. «reject» отклоняет их наотрез, так что они вообще не доходят. «reject» — это цель и единственная настройка, дающая полный балл. «quarantine» — разумная ступень; «none» — стартовая точка на первые пару недель, а не пункт назначения.

Что за «rua» с отчётами и нужно ли оно мне?

Тег rua просит почтовые сервисы присылать вам ежедневную сводку обо всех системах, пытавшихся отправить почту от вашего домена, — включая преступников. Именно так бизнесы обнаруживают те 5–50 несанкционированных отправителей, которые обычно злоупотребляют доменом уже в первый день. Сам по себе он весит меньше политики, но это способ безопасно дойти до «reject», не сломав настоящую почту, так что настройте его одновременно.

Мы почти не шлём почту, или вообще не шлём с этого домена. Нужен ли нам всё равно DMARC?

Особенно тогда. Домен, который шлёт мало настоящей почты или не шлёт вовсе, — идеальная, тихая мишень для подделки, потому что за ним никто не следит. Домен, с которого вы никогда не отправляете почту, должен публиковать строгую политику reject — это чистая, низкорисковая победа, которая захлопывает дверь полностью.