Defaults.Exposed › Настройка › DMARC

Как настроить DMARC в Cloudflare

Добавьте запись DMARC в Cloudflare, чтобы указать почтовым службам, что делать с письмами, не прошедшими ваши проверки.

Почему это важно для вашего бизнеса

DMARC связывает SPF и DKIM воедино и добавляет недостающую инструкцию: что должна сделать принимающая почтовая служба, если письмо, якобы отправленное от вашего имени, не прошло проверки? Без DMARC каждая служба решает наугад. С DMARC решаете вы — и можете попросить присылать вам отчёты о том, кто рассылает письма от вашего имени.

Проще говоря: именно DMARC реально мешает мошенникам подделывать ваш домен, чтобы обманывать ваших клиентов и сотрудников. Это политика поверх замков, которые дают SPF и DKIM, — бесплатно и стоит потраченных нескольких минут.

Сначала настройте SPF и DKIM

DMARC работает за счёт проверки результатов SPF и DKIM. Если вы их ещё не добавили, начните с них — политике DMARC без них просто нечего применять.

Убедитесь, что DNS вашего домена обслуживает Cloudflare

Как и любая DNS-запись, это сработает только если на DNS-запросы по вашему домену отвечает Cloudflare. Cloudflare — это ваш DNS-хостинг, а не провайдер почтовых ящиков, и его DNS работает только когда серверы имён вашего домена указывают на серверы Cloudflare, показанные в панели управления. Откройте свой домен в Cloudflare и проверьте страницу Overview, чтобы убедиться, что Cloudflare активен. Если ваши серверы имён указывают на другую компанию, добавляйте запись DMARC у того провайдера, который обслуживает ваш DNS.

Пошагово в Cloudflare

1. Войдите в Cloudflare и выберите свой домен.
2. В меню слева перейдите в настройки DNS (ищите DNS / Records).
3. Нажмите Add record.
4. Установите Type в TXT.
5. В поле Name введите ровно: _dmarc Не дописывайте после него имя домена — Cloudflare добавит домен за вас.
6. В поле Content начните мягко, с политики только для наблюдения: v=DMARC1; p=none; rua=mailto:[email protected] Замените адрес на почтовый ящик, который вы действительно читаете. Так вы попросите службы присылать вам сводные отчёты, пока ничего не меняя в обработке писем.
7. Оставьте TTL на значении Auto.
8. Нажмите Save.

Выбор политики (часть p=)

• p=none — только наблюдение. Ничего не блокируется; вы просто получаете отчёты. Начните отсюда.
• p=quarantine — отправлять подозрительные письма в спам.
• p=reject — отклонять непрошедшие письма полностью (самая надёжная защита).

Поработайте с p=none несколько недель, изучите отчёты и убедитесь, что вся ваша легитимная почта проходит проверки, затем переходите к quarantine и наконец к reject. Прыжок сразу к reject до изучения отчётов рискует заблокировать вашу же настоящую почту.

Особенности Cloudflare, на которых часто ошибаются

• Name — это _dmarc, с подчёркиванием. Частая ошибка — пропустить подчёркивание или ввести _dmarc.yourdomain.com; в Cloudflare вы вводите только _dmarc. Ведущее подчёркивание обязательно, не опускайте его.
• Не добавляйте свои кавычки. Вставляйте обычное значение, начинающееся с v=DMARC1;. Cloudflare проставит кавычки сам; вручную добавленные знаки " могут сломать запись.
• Только одна запись DMARC. Как и у SPF, должна быть единственная TXT-запись DMARC. Если она уже есть, отредактируйте её, а не добавляйте вторую.
• Никакого прокси на TXT-записи. DMARC живёт в TXT-записи, которая никогда не проксируется — здесь нет оранжевого/серого «облачка», о котором стоило бы беспокоиться.
• Используйте реальный ящик для отчётов. Адрес после rua=mailto: должен быть тем, который вы действительно проверяете, иначе отчёты бесполезны. Он может быть как на том же домене, так и на другом.
• Дайте время. Изменения DNS могут вступать в силу от нескольких минут до пары часов.

Проверьте результат

После сохранения и распространения изменений запустите бесплатную проверку на этом сайте. Она простым языком сообщит, на месте ли ваша запись DMARC и какую политику вы задали.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.