Інструменти мережевої діагностики
Перевірте та оцініть свою політику DMARC
DNS та записи
Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNSДоставлюваність пошти
Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLSМережа та веб
Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкритіДомен
Пошук WHOIS Реєстраційні дані для доменів, IP та ASNDMARC доповнює SPF і DKIM, вказуючи отримувачам, що робити з листами, які не пройшли автентифікацію, і куди надсилати звіти. Політика «p=none» лише відстежує; «quarantine» і «reject» справді захищають ваш домен від підробки. IPeek читає запис за адресою _dmarc.your-domain, розбирає кожен тег і оцінює надійність політики.
DMARC — це TXT-запис за адресою _dmarc.your-domain, що починається з v=DMARC1. Він проходить, коли лист проходить SPF або DKIM і цей автентифікований домен вирівняний із видимим доменом From. Вирівнювання (alignment) — ключове: шахраї можуть пройти «сирий» SPF чи DKIM на власному домені, але не можуть вирівняти його з вашим. Запис на кшталт v=DMARC1; p=reject; rua=mailto:reports@your-domain; adkim=s; aspf=s застосовує відхилення й вимагає суворого вирівнювання як для DKIM, так і для SPF.
Тег p задає вашу політику. p=none лише відстежує — пошта надходить, але ви збираєте звіти, щоб бачити, хто надсилає листи від вашого імені. p=quarantine спрямовує проблемні листи у спам, а p=reject блокує їх повністю — це найсильніший захист від підробки. Тег pct дозволяє поступово нарощувати застосування (наприклад, pct=25), а sp задає окрему політику для субдоменів. Почніть із none, щоб зібрати дані, а потім посильте до quarantine і reject, щойно ваші легітимні відправники проходитимуть. IPeek оцінює, наскільки надійна ваша поточна політика.
Саме звітність робить DMARC дієвим. Тег rua задає поштову скриньку, яка отримує щоденні агреговані XML-звіти з підсумком про те, які джерела надсилали листи від імені вашого домену і чи пройшли вони SPF, DKIM та вирівнювання. Використовуйте ці звіти, щоб знайти легітимних відправників, яких ви забули авторизувати, перш ніж посилювати політику. Необов’язковий тег ruf запитує криміналістичні (по кожному збою) звіти, хоча більшість отримувачів уже не надсилають їх із міркувань приватності. Без rua ви застосовуєте політику наосліп.
p=none — це політика лише для моніторингу. Вона вказує отримувачам не вживати особливих дій щодо листів, які не пройшли DMARC, тож повідомлення доставляються звичайним чином, але ви все одно отримуєте агреговані звіти про те, хто надсилає листи від імені вашого домену. Використовуйте p=none, щоб зібрати дані й виявити легітимних відправників, а потім переходьте на quarantine чи reject для реального захисту від підробки.
Обидві застосовують вашу політику, але по-різному. p=quarantine вказує отримувачам доставляти проблемні листи в папку спаму чи небажаної пошти, тоді як p=reject вказує блокувати їх повністю, щоб вони ніколи не дійшли до отримувача. Reject — найсильніший захист від підробки. Quarantine — поширений проміжний крок перед переходом до повного відхилення.
Вирівнювання вимагає, щоб домен, автентифікований SPF або DKIM, збігався з доменом у видимому заголовку From. DMARC проходить лише тоді, коли хоча б один із них вирівняний. Послаблене вирівнювання (за замовчуванням) дозволяє субдоменам відповідати організаційному домену; суворе вирівнювання (adkim=s, aspf=s) вимагає точного збігу. Саме вирівнювання не дає зловмисникам пройти автентифікацію на власному домені.
Запис DMARC — це TXT-запис, опублікований на субдомені _dmarc вашого домену — наприклад, _dmarc.example.com. Він має починатися з v=DMARC1 і публікується один раз на організаційний домен. Отримувачі запитують саме це розташування, щоб знайти вашу політику. IPeek автоматично читає запис за адресою _dmarc.your-domain і розбирає кожен тег, який він містить.
Ні. DMARC проходить, якщо проходить і вирівнюється з вашим доменом From хоча б один — SPF або DKIM, тож суворо потрібні не обидва. Однак налаштувати обидва наполегливо рекомендується: це додає надлишковості, а DKIM переживає пересилання листів, тоді як SPF на ньому часто ламається. Наявність обох вирівняних методів автентифікації дає найнадійніші результати DMARC.