Defaults.Exposed › Настройка › DMARC

Как настроить DMARC в Google Workspace

Добавьте запись DMARC в свой DNS, чтобы указать получателям, что делать с письмами, не прошедшими проверки SPF и DKIM.

Почему это важно для вашего бизнеса

DMARC — это политика, которая связывает SPF и DKIM воедино. Она указывает принимающим почтовым серверам, что делать, если письмо, якобы отправленное с вашего домена, не прошло эти проверки: проигнорировать, отправить в спам или отклонить полностью, — и может присылать вам отчёты о том, кто рассылает (и подделывает) письма от вашего имени. Проще говоря: именно DMARC реально мешает мошенникам выдавать себя за ваш домен, чтобы обманывать ваших клиентов и сотрудников. Это бесплатно и превращает SPF и DKIM из «приятного дополнения» в настоящую защиту.

Сначала сделайте SPF и DKIM

DMARC опирается на SPF и DKIM. Настройте их до DMARC или одновременно с ним. Запись DMARC сама по себе — без работающих SPF/DKIM — может привести к блокировке вашей же легитимной почты. Начинайте мягко (см. замечание о политике ниже) и ужесточайте со временем.

Важно: где это делается

Как и SPF, DMARC — это DNS-запись, а не настройка внутри консоли администратора Google. Google Workspace обслуживает вашу почту, но запись DMARC добавляется там, где живёт DNS вашего домена, — у регистратора, веб-хостинга, в Cloudflare или у того, кто управляет вашими серверами имён. Внутри Google для DMARC ничего включать не нужно; роль Google лишь в том, что работающие SPF и DKIM (настраиваются отдельно) — это то, на что опирается DMARC.

Сначала: какая компания обслуживает ваш DNS?

Запись DMARC работает только если она добавлена там, куда указывают серверы имён вашего домена. Если не уверены, проверьте раздел Nameservers в аккаунте регистратора или спросите того, кто настраивал ваш сайт. Добавляйте запись в настройках DNS именно той компании (ищите DNS / Records / Advanced DNS).

Что вы будете добавлять

Одну TXT-запись на специальном имени хоста: _dmarc.

Безопасное стартовое значение, которое только наблюдает и ничего не блокирует:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = только наблюдение; пока ничего не блокируется. Хорошо для первых недель.
• rua=mailto:... = куда отправлять сводные отчёты. Используйте реальный ящик, который вы проверяете.
• Когда вы убедитесь (по отчётам и бесплатной проверке), что ваша настоящая почта проходит, можно ужесточить политику до p=quarantine (отправлять непрошедшие в спам), а позже до p=reject (отклонять их полностью).

Шаги

1. Войдите в свой DNS-хостинг (регистратор, веб-хостинг или DNS-провайдер — не в консоль администратора Google).
2. Откройте настройки DNS для вашего домена (ищите DNS / Records / Advanced DNS).
3. Добавьте новую запись и выберите TXT.
4. В поле Name / Host введите ровно _dmarc (с ведущим подчёркиванием). Не вводите _dmarc.yourdomain.com — DNS-хостинг добавит ваш домен автоматически.
5. В поле Value вставьте строку DMARC, например v=DMARC1; p=none; rua=mailto:[email protected] (замените адрес на реальный, который вы отслеживаете).
6. Оставьте TTL по умолчанию.
7. Сохраните.

Особенности, на которых часто ошибаются

• Этого нет в консоли администратора Google. Люди ищут «DMARC» в настройках Google — там его нет. Он живёт в вашем DNS-хостинге.
• Имя хоста — _dmarc, с подчёркиванием. Если пропустить подчёркивание или дописать после него полный домен, запись окажется не в том месте, и DMARC не будет найден.
• Следите за кавычками. Вставляйте значение как есть; большинство DNS-хостингов проставляют кавычки за вас. Не оборачивайте его в "..." самостоятельно.
• Только одна запись DMARC. На _dmarc должна быть ровно одна TXT-запись. Если она уже есть, отредактируйте её, а не добавляйте вторую.
• Начинайте с p=none. Прыжок сразу к p=reject до того, как SPF/DKIM надёжно настроены, может заблокировать ваши же счета и коммерческие предложения. Сначала наблюдайте, ужесточайте позже.
• Используйте реальный ящик для отчётов. Адрес rua должен быть тем, на который вы действительно можете получать почту.
• Дайте время. Изменения DNS могут вступать в силу от нескольких минут до пары часов повсеместно.

Проверьте результат

После сохранения убедитесь, что ваша запись DMARC действует и составлена разумно, с помощью бесплатной проверки на Defaults.Exposed. Введите свой домен, и сервис простым языком скажет, правильно ли настроен DMARC и что делать дальше. Ваши данные обрабатываются в ЕС.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.