Defaults.Exposed › Налаштування › DMARC

Як налаштувати DMARC на Microsoft 365

Додайте DMARC-запис у ваш DNS, щоб повідомити поштові сервери, що робити з листами, які не проходять перевірки SPF і DKIM.

Чому це важливо для вашого бізнесу

DMARC — це політика, що об’єднує SPF і DKIM. Вона повідомляє поштові сервери, що робити, якщо лист, який нібито надіслано з вашого домену, не проходить ці перевірки: ігнорувати, надсилати до спаму або відхиляти. Також DMARC може надсилати вам звіти про те, хто відправляє (і підробляє) пошту від вашого імені. Простими словами: DMARC реально захищає від зловмисників, які видають себе за вас перед вашими клієнтами й співробітниками. Це безкоштовно, і разом із SPF та DKIM перетворює їх з «добре мати» на справжній захист.

Спочатку налаштуйте SPF і DKIM

DMARC залежить від SPF і DKIM. Налаштуйте їх до або разом із DMARC. Запис DMARC без робочих SPF/DKIM може заблокувати ваші власні легітимні листи. Починайте обережно (дивіться примітку про політику нижче) і поступово посилюйте захист.

Важливо: де це робиться

Як і SPF, DMARC — це DNS-запис, а не налаштування в Microsoft 365. Microsoft 365 є вашою поштовою платформою (він керує поштовими скриньками), але DMARC-запис додається там, де знаходиться DNS вашого домену — у вашого реєстратора, веб-хостингу, Cloudflare або того, хто контролює ваші сервери імен. Якщо ви дозволили Microsoft керувати вашим DNS — додайте запис у Microsoft 365 admin center → Settings → Domains → DNS records; в іншому випадку — у вашого DNS-хоста. Окремого «перемикача DMARC» у Microsoft немає; роль Microsoft полягає лише в тому, що робочі SPF і DKIM (налаштовані окремо) — це те, на що спирається DMARC.

Перший крок: яка компанія керує вашим DNS?

DMARC-запис працює лише там, куди вказують сервери імен вашого домену. Якщо ви не впевнені — перевірте розділ Nameservers у вашого реєстратора або запитайте того, хто налаштовував ваш сайт. Додайте запис у тій компанії в розділі налаштувань DNS (шукайте DNS / Records / Advanced DNS).

Що потрібно додати

Один TXT-запис із спеціальним ім’ям хосту: _dmarc.

Безпечне початкове значення, яке лише моніторить і нічого не блокує:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = лише моніторинг; нічого не блокується. Добре для перших тижнів.
• rua=mailto:... = куди надсилати зведені звіти. Використовуйте реальну поштову скриньку.
• Після підтвердження (через звіти та безкоштовну перевірку), що ваші легітимні листи проходять, можете посилити політику до p=quarantine (надсилати помилки до спаму) і згодом до p=reject (відхиляти помилки). Microsoft рекомендує прагнути до p=reject після того, як ви впевнитесь у результатах.

Кроки

1. Увійдіть до вашого DNS-провайдера (реєстратор, веб-хостинг або DNS-провайдер — або Microsoft 365 admin center, якщо Microsoft керує вашим DNS).
2. Відкрийте налаштування DNS для вашого домену (шукайте DNS / Records / Advanced DNS).
3. Додайте новий запис і оберіть TXT.
4. У полі Name / Host введіть точно _dmarc (з підкресленням на початку). Не вводьте _dmarc.yourdomain.com — DNS-хост автоматично додає ваш домен.
5. У полі Value вставте DMARC-рядок, наприклад: v=DMARC1; p=none; rua=mailto:[email protected] (замініть адресу на реальну, яку ви моніторите).
6. Залиште TTL за замовчуванням.
7. Збережіть.

Типові помилки

• Це не налаштування поштової скриньки. Багато хто шукає «DMARC» у налаштуваннях Microsoft 365 — там його немає як перемикача. Він знаходиться у вашому DNS.
• Ім’я хосту — _dmarc, з підкресленням. Якщо пропустити підкреслення або ввести повний домен після нього, запис опиниться не там, де треба, і DMARC не знайдуть.
• Будьте уважні з лапками. Вставляйте значення без лапок; більшість DNS-хостів самі додають їх. Не огортайте значення у "..." самостійно.
• Лише один DMARC-запис. Повинен бути рівно один TXT-запис на _dmarc. Якщо вже є — редагуйте, не додавайте другий.
• Починайте з p=none. Якщо одразу перейти до p=reject без перевірки SPF/DKIM, можна заблокувати власні рахунки-фактури та комерційні пропозиції. Спочатку моніторте, потім посилюйте.
• Використовуйте реальну поштову скриньку для звітів. Адреса rua має бути тою, куди ви реально можете отримувати листи.
• Дайте час. Зміни DNS можуть поширюватись від кількох хвилин до кількох годин.

Перевірте результат

Після збереження підтвердьте, що DMARC-запис активний і коректний, за допомогою безкоштовної перевірки на Defaults.Exposed. Введіть ваш домен — і ви дізнаєтесь простими словами, чи правильно налаштований DMARC і що робити далі. Ваші дані обробляються в ЄС.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.