Проверка DMARC записи через DNS запрос
Сервис выполняет запрос к DNS серверу, к которому делегирован указанный вами домен. Если вы указали домен вида 'example.com', то он добавить к началу '_dmarc' автоматически (согласно стандарту). Если будет указан домен формата '_dmarc.google.com', то ничего не добавится. Если у поддомена запись не будет найдена (пример 'domain.example.com'), то она будет искаться у родительского домена (т.е. 'example.com').
Далее, у указанного домена, будут получены все записи TXT. Как будет найдена запись DMARC (Domain-based Message Authentication Reporting), она будет проверена на верный формат и параметры.
Как работает DMARC
При отправке писем, если вы используете технологии SPF (идентификация сервера отправителя с письмом) и DKIM (подпись письма отправителем и сверка подписи получателем), может быть ситуация, что одна из проверок не будет пройдена. С помощью DMARC вы можете указать рекомендации как поступить с письмом дальше.
Эти рекомендации могут касаться случаев, когда либо одна из проверок завершилась неудачей или обе. Так же если у вас установлена только одна запись, например SPF, и она не будет пройдена, то это приведет к провалу DMARC. Любые провалы могут быть зафиксированы в отчетах и высланы на ваш электронный ящик.
DMARC - так же помещается в TXT запись на вашем DNS. Ее отличие в том, что TXT запись должна размещаться на поддомене '_dmarc', например '_dmarc.google.com'.
DMARC - это рекомендация получателю (его анти-спам системе) как поступать с письмом. В то же время, анти спам система, может быть настроена иначе и не придерживаться рекомендаций.
Формат DMARC записи
Самый популярный формат записи, если не включать почтовых провайдеров, следующий:
# _dmarc.google.com
v=DMARC1; p=reject; rua=mailto:mailauth-reports@google.com
Где:
- v - указывает на версию. Есть только одна версия - 'DMARC1'. Первый из двух обязательных параметров, должен стоять первым. Если этого значения не будет или оно будет неверным, то проверки DMARC не будет;
- p - политика, которая говорит, как поступить при провале. Второй из двух обязательных параметров, должен стоять вторым. Может принимать следующие значения:
- none - отсутствие рекомендаций со стороны DMARC;
- quarantine - поместить в спам;
- reject - отклонить сообщение.
- rua - список адресов, куда будут высланы общие ежедневные отчеты в формате XML (оригинальное название "Aggregate reports"). Ящики указываются через запятую;
Есть дополнительные параметры, которые используются сильно реже:
- pct - количество сообщений в процентах, которое должно соответствовать правилам. По умолчанию 100. Может быть от 1 до 100. Если вы установили 90, а в политике 'p' стоит 'reject', то остальные будут фильтроваться как 'none'.
- sp - одна запись DMARC может работать и для поддоменов. Тут указывается что делать с письмами отправленных с поддоменов, которые не прошли проверки. Значения могут быть такими же, что и в 'p';
- aspf - должно ли быть совпадение по SPF (alignment SPF). Доступные значения:
- strict - обязательное совпадение;
- relaxed - не обязательное.
- adkim - должно ли быть совпадение по DKIM (alignment DKIM). Доступные значения;
- strict - обязательное совпадение;
- relaxed - не обязательное.
- ruf - список адресов куда будут высланы детальные отчеты (оригинальное название "Forensic reports"). Такие отчеты помещаются в специальный формат AFRF. Высылаются по каждому письму не прошедшем проверку. Используется в случаях, когда вы выявляете ошибки либо ищете домен, который рассылает письма за вас;
- fo - причины для создания детальных отчетов (параметр ruf). Это может быть:
- 0 - если все проверки провалились. Используется по умолчанию;
- 1 - если одна из проверок не пройдена;
- d - если проверка DKIM не пройдена;
- s - если проверка SPF не пройдена;
- rf - формат отчетов для ошибок. Есть только одно значение, которое и стоит по умолчанию, это afrf;
- ri - интервал для отправки общих отчетов (параметр rua) в секундах. По умолчанию 86400. Т.е. каждые 24 часа.
Одна из рекомендаций - использовать 'p=none' и 'pct=10' в самом начале использования DMARC. Это позволит выявить неисправности после получения первых отчетов при этом часть писем попадет адресатам.