Инструменты сетевой диагностики

Проверка DMARC

Изучите и оцените вашу политику DMARC

esc
Ваш IP 8.8.8.8 или google.com

DNS и записи

Поиск DNS Все записи DNS для любого домена Поиск записи A Адреса IPv4 для домена Поиск записи AAAA Адреса IPv6 для домена Поиск MX Почтовые серверы домена Поиск NS Авторитетные серверы имён Поиск TXT Записи TXT, SPF, верификация Поиск CNAME Записи канонического имени (псевдонима) Поиск SOA Запись Start of Authority Поиск SRV Записи расположения сервисов Поиск CAA Какие УЦ могут выпускать сертификаты Обратный DNS (PTR) IP-адрес в имя хоста Проверка DNSSEC Подписан ли домен и проходит ли валидацию? Проверка здоровья DNS Полный отчёт о делегировании и состоянии DNS

Доставляемость почты

Проверка SPF Проверьте вашу запись Sender Policy Framework Проверка DMARC Изучите и оцените вашу политику DMARC Проверка DKIM Найдите и проверьте ваш открытый ключ DKIM Проверка чёрных списков Проверьте IP по почтовым блок-листам (DNSBL) Тест SMTP Подключение к почтовому серверу и проверка STARTTLS Проверка MTA-STS Принудительная политика TLS для входящей почты Проверка BIMI Запись логотипа бренда для почты Проверка TLS-RPT Политика отчётности SMTP TLS

Сеть и веб

Проверка сертификата SSL Изучите сертификат TLS сайта и срок его действия Проверка HTTP-заголовков Изучите заголовки ответа, редиректы и безопасность Пинг (TCP) Доступность и задержка по TCP Проверка портов Какие распространённые порты открыты

Домен

Поиск WHOIS Регистрационные данные для доменов, IP и ASN

Что такое запись DMARC?

DMARC опирается на SPF и DKIM, сообщая получателям, что делать с почтой, не прошедшей аутентификацию, и куда отправлять отчёты. Политика «p=none» лишь наблюдает; «quarantine» и «reject» реально защищают ваш домен от спуфинга. IPeek читает запись по адресу _dmarc.your-domain, разбирает каждый тег и оценивает строгость политики.

Как DMARC работает с согласованием

DMARC — это TXT-запись по адресу _dmarc.your-domain, начинающаяся с v=DMARC1. Она проходит, когда сообщение проходит SPF или DKIM и этот аутентифицированный домен согласуется с видимым доменом From. Согласование (alignment) — ключевой момент: спуферы могут пройти «голый» SPF или DKIM на своём собственном домене, но не могут согласовать его с вашим. Запись вида v=DMARC1; p=reject; rua=mailto:reports@your-domain; adkim=s; aspf=s предписывает отклонение и требует строгого согласования как для DKIM, так и для SPF.

Как читать p=none, quarantine и reject

Тег p задаёт вашу политику. p=none только наблюдает — почта по-прежнему доставляется, но вы собираете отчёты, чтобы видеть, кто отправляет от вашего имени. p=quarantine направляет проваленную почту в спам, а p=reject блокирует её полностью — это самая сильная защита от спуфинга. Тег pct позволяет постепенно наращивать строгость (например, pct=25), а sp задаёт отдельную политику для поддоменов. Начните с none для сбора данных, затем ужесточайте до quarantine и reject, как только ваши легитимные отправители начнут проходить. IPeek оценивает, насколько сильна ваша текущая политика.

Отчёты DMARC и тег rua

Отчётность DMARC — это то, что делает его действенным. Тег rua указывает почтовый ящик, который получает ежедневные сводные XML-отчёты с информацией о том, какие источники отправляли почту от имени вашего домена и прошли ли они SPF, DKIM и согласование. Используйте эти отчёты, чтобы найти легитимных отправителей, которых вы забыли авторизовать, прежде чем ужесточать политику. Необязательный тег ruf запрашивает форензические (по каждому сбою) отчёты, хотя большинство получателей больше их не отправляют из соображений приватности. Без rua вы применяете политику вслепую.

Часто задаваемые вопросы

Что означает p=none в записи DMARC?

p=none — это политика «только наблюдение». Она указывает получателям не предпринимать особых действий с почтой, не прошедшей DMARC, поэтому сообщения доставляются как обычно, но вы по-прежнему получаете сводные отчёты о том, кто отправляет письма от имени вашего домена. Используйте p=none для сбора данных и выявления легитимных отправителей, затем переходите на quarantine или reject ради реальной защиты от спуфинга.

В чём разница между quarantine и reject в DMARC?

Оба обеспечивают соблюдение политики, но по-разному. p=quarantine предписывает получателям доставлять проваленную почту в папку «Спам» или «Нежелательное», тогда как p=reject указывает блокировать её полностью, так что она вообще не доходит до получателя. Reject — самая сильная защита от спуфинга. Quarantine — частый промежуточный шаг перед переходом к полному отклонению.

Что такое согласование (alignment) в DMARC?

Согласование требует, чтобы домен, аутентифицированный SPF или DKIM, совпадал с доменом в видимом заголовке From. DMARC проходит только тогда, когда согласуется хотя бы один из них. Нестрогое согласование (по умолчанию) допускает совпадение поддоменов с организационным доменом; строгое согласование (adkim=s, aspf=s) требует точного совпадения. Именно согласование не даёт злоумышленникам пройти аутентификацию на своём собственном домене.

Где публикуется запись DMARC?

Запись DMARC — это TXT-запись, публикуемая на поддомене _dmarc вашего домена, например _dmarc.example.com. Она должна начинаться с v=DMARC1 и публикуется один раз на организационный домен. Получатели запрашивают именно это место, чтобы найти вашу политику. IPeek автоматически читает запись по адресу _dmarc.your-domain и разбирает каждый содержащийся в ней тег.

Нужны ли и SPF, и DKIM, чтобы DMARC прошёл?

Нет. DMARC проходит, если проходит и согласуется с вашим доменом From хотя бы SPF или DKIM, так что оба строго не обязательны. Тем не менее настройка обоих настоятельно рекомендуется: это добавляет избыточность, а DKIM переживает пересылку писем, тогда как SPF на ней часто ломается. Наличие обоих согласованных методов аутентификации даёт самые надёжные результаты DMARC.

Связанные инструменты

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어