Defaults.Exposed › Налаштування › DMARC

Як налаштувати DMARC на Cloudflare

Додайте DMARC-запис у Cloudflare, щоб повідомити поштових провайдерів, що робити з листами, які не проходять ваші перевірки.

Чому це важливо для вашого бізнесу

DMARC об’єднує SPF і DKIM і додає відсутню інструкцію: що повинен робити поштовий провайдер, якщо лист, який нібито надіслано від вас, не проходить перевірки? Без DMARC кожен провайдер вирішує сам. З ним — вирішуєте ви, і можете попросити надсилати вам звіти про те, хто відправляє пошту від вашого імені.

Простими словами: DMARC — це те, що реально захищає вас від зловмисників, які підробляють ваш домен, щоб ошукати ваших клієнтів або співробітників. Це політика поверх замків, які забезпечують SPF і DKIM, — безкоштовна і варта кількох хвилин вашого часу.

Спочатку налаштуйте SPF і DKIM

DMARC перевіряє результати SPF і DKIM. Якщо ви ще не додали ці записи — зробіть це спочатку. Політика DMARC без підкладки не має що захищати.

Перевірте, чи Cloudflare обслуговує ваш DNS

Як і будь-який DNS-запис, це працює лише тоді, коли Cloudflare відповідає на DNS-запити для вашого домену. Cloudflare є вашим DNS-хостом, а не поштовим провайдером, і його DNS активний лише тоді, коли сервери імен вашого домену вказують на сервери Cloudflare, зазначені у вашій панелі керування. Відкрийте ваш домен у Cloudflare й перевірте сторінку Overview, щоб підтвердити активність Cloudflare. Якщо сервери імен вказують деінде — додайте DMARC-запис у того провайдера, який керує вашим DNS.

Покрокова інструкція для Cloudflare

1. Увійдіть до Cloudflare і виберіть ваш домен.
2. У лівому меню перейдіть до налаштувань DNS (знайдіть DNS / Records).
3. Натисніть Add record.
4. Встановіть Type на TXT.
5. У полі Name введіть точно: _dmarc Не вписуйте назву свого домену після цього — Cloudflare автоматично додає домен.
6. У полі Content почніть обережно — лише з моніторингом: v=DMARC1; p=none; rua=mailto:[email protected] Замініть адресу на поштову скриньку, яку ви реально перевіряєте. Це просить провайдерів надсилати вам зведені звіти, не змінюючи обробку листів.
7. Залиште TTL на значенні Auto.
8. Натисніть Save.

Вибір політики (параметр p=)

• p=none — лише моніторинг. Нічого не блокується; ви просто отримуєте звіти. Починайте звідси.
• p=quarantine — відправляти листи, що не пройшли перевірку, до спаму/небажаних.
• p=reject — відхиляти такі листи (найсильніший захист).

Запустіть p=none на кілька тижнів, прочитайте звіти й переконайтесь, що всі ваші легітимні листи проходять перевірку. Потім переходьте до quarantine і згодом до reject. Якщо одразу перейти до reject, не перевіривши звіти, є ризик заблокувати власну пошту.

Типові помилки на Cloudflare

• Name — це _dmarc, з підкресленням. Часта помилка — пропустити підкреслення або ввести _dmarc.yourdomain.com. У Cloudflare вводьте лише _dmarc. Підкреслення обов’язкове.
• Не додавайте власні лапки. Вставляйте значення без лапок, починаючи з v=DMARC1;. Cloudflare сам додає лапки; власні " можуть зламати запис.
• Лише один DMARC-запис. Як і у SPF, повинен бути рівно один TXT-запис DMARC. Якщо вже є — редагуйте його, не додавайте другий.
• Без проксі для TXT-запису. DMARC знаходиться в TXT-записі, якийніколи не проксіюється — перемикач помаранчевої/сірої хмари тут не стосується.
• Використовуйте реальну поштову скриньку для звітів. Адреса після rua=mailto: має бути тою, яку ви реально перевіряєте, інакше звіти будуть марними. Це може бути адреса на тому ж або іншому домені.
• Дайте час. Зміни DNS можуть поширюватись від кількох хвилин до кількох годин.

Перевірте результат

Після збереження й поширення запустіть безкоштовну перевірку на цьому сайті. Вона простими словами скаже, чи встановлено DMARC і яку політику ви обрали.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.