2check.click

3 мин. чтения Обновлено: июнь 2026 г.

DMARC: политика защиты вашего домена от подмены

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это надстройка над SPF и DKIM, которая завершает систему аутентификации электронной почты. DMARC позволяет владельцу домена указать, что делать с письмами, не прошедшими проверку, и получать отчёты о попытках использовать его домен.

Проблема, которую решает DMARC

SPF и DKIM существовали давно, но без координации между ними оставалась лазейка. SPF проверяет технический домен отправителя (envelope-from), DKIM проверяет домен подписи — но ни один из них не гарантировал, что домен в заголовке From: (который видит пользователь) совпадает с доменом, прошедшим аутентификацию.

DMARC добавляет требование совпадения (alignment): домен в From: должен совпадать с доменом SPF или DKIM, и определяет политику — что делать, если совпадения нет.

Три политики DMARC

p=none (мониторинг)

Письма обрабатываются как обычно. DMARC только собирает отчёты о том, кто отправляет письма от имени домена. Используется на начальном этапе внедрения для анализа ситуации.

p=quarantine (карантин)

Письма, не прошедшие DMARC, помещаются в папку спама. Не отклоняются полностью, но скрываются от основного входящего. Промежуточный вариант.

p=reject (отклонение)

Письма, не прошедшие DMARC, полностью отклоняются получающим сервером. Это наиболее эффективная защита от подделки домена. Крупные банки и госструктуры должны стремиться к p=reject.

Как работает проверка DMARC

  1. Получатель проверяет результат SPF: авторизован ли отправляющий сервер для домена envelope-from?
  2. Проверяет результат DKIM: есть ли действительная подпись для домена, совпадающего с From:?
  3. Проверяет совпадение (alignment): домен в From: должен совпадать с доменом, прошедшим SPF или DKIM
  4. Если хотя бы один из механизмов прошёл с совпадением — DMARC pass. Если ни один — применяется политика (none/quarantine/reject)

Отчётность DMARC

DMARC позволяет владельцу домена получать агрегированные отчёты (rua=) с информацией о том, с каких серверов отправляются письма от имени домена, и криминалистические отчёты (ruf=) о конкретных письмах, не прошедших проверку. Это ценная информация для обнаружения атак.

Почему большинство фишинга исходит от доменов без DMARC

Домены с DMARC p=reject не дают мошенникам отправлять письма якобы от этих доменов — они будут отклонены. Поэтому мошенники:

  • Регистрируют новые домены без DMARC (новый домен — нет DMARC — всё проходит)
  • Используют домены-двойники (sberbank-security.ru — у него нет DMARC Сбербанка)
  • Используют display name spoofing — DMARC проверяет технический домен, а не отображаемое имя

Внедрение DMARC p=reject у крупных организаций значительно снижает прямые атаки на их имя, но не устраняет lookalike-атаки.

Как проверить DMARC домена

nslookup -type=TXT _dmarc.sberbank.ru

Или через mxtoolbox.com/dmarc.aspx. Отсутствие DMARC-записи или p=none означает, что домен не защищён политикой отклонения.

Проверьте подозрительную ссылку

Вставьте URL, SMS или QR-код в 2check.click — сервис проверит домен, редиректы, возраст домена и другие признаки фишинга.

Открыть анализатор 2check.click

Часто задаваемые вопросы

Если у домена p=reject, его невозможно подделать?

Прямую подмену домена в From: — значительно сложнее. Но display name spoofing (отображаемое имя «Сбербанк», домен — другой) DMARC не блокирует. Lookalike-домены (sberbank-security.ru) тоже не затрагиваются DMARC sberbank.ru.

Что такое DMARC alignment?

Alignment (совпадение) означает, что домен в From: должен совпадать с доменом, прошедшим SPF или DKIM. Строгое совпадение (sp) требует точного совпадения, мягкое (rf) позволяет поддомены.

Влияет ли DMARC на доставляемость легитимных писем?

Если письма корректно подписаны через DKIM и SPF настроен правильно — нет. Проблемы возникают при некорректной конфигурации или пересылке. Именно поэтому внедрение обычно начинают с p=none для мониторинга.

Обязан ли Сбербанк или другой банк настраивать DMARC?

Технически — нет, это не законодательное требование в России. Но ЦБ РФ рекомендует финансовым организациям внедрять все три механизма аутентификации. Без DMARC p=reject домен банка уязвим для spoofing-атак.

Что такое BIMI и как это связано с DMARC?

BIMI (Brand Indicators for Message Identification) — расширение, позволяющее отображать логотип компании рядом с письмом в почтовом клиенте. Требует корректно настроенного DMARC p=quarantine или p=reject. Логотип служит визуальным сигналом подлинности.

Популярные статьи

Получили подозрительную ссылку?

Проверьте сейчас →

Похожие статьи