Почтовая аутентификация
Анализатор DMARC
Проверьте DMARC-запись домена: политику, выравнивание, отчеты и предупреждения.
Как пользоваться инструментом
- Введите домен отправителя, который видят получатели в заголовке From, например example.com, без протокола, пути и префикса почтового ящика. DN01 нормализует имя, отклоняет некорректные и запрещённые хосты и использует registrable domain как цель запроса. Если почту отправляет отдельный поддомен со своей инфраструктурой, проверяйте его отдельно: DMARC публикуется на организационном домене, который фигурирует в видимом From.
- DN01 выполняет живой DNS TXT lookup по имени `_dmarc.<домен>` с таймаутом резолвера пять секунд и фиксирует длительность запроса. Бэкенд выбирает первую TXT-строку, начинающуюся с `v=DMARC1`, разбирает теги через точку с запятой и раскладывает `p`, `sp`, `pct`, `rua`, `ruf`, `adkim` и `aspf` в структурированные поля. Отсутствие записи или сбой DNS возвращается как диагностический результат, а не HTTP-ошибка — вы всегда получаете читаемый отчёт.
- Изучите распознанную политику (`none`, `quarantine` или `reject`), политику для поддоменов, процент `pct`, URI агрегированных отчётов `rua`, forensic URI `ruf`, режимы alignment для DKIM и SPF, список тегов и сырую TXT-строку так, как её видят резолверы. Обратите внимание на флаги `found` и `valid`: запись может существовать, но быть невалидной при отсутствии обязательных тегов, неизвестной политике, неверном `pct` или дублирующихся именах тегов.
- Используйте блоки errors, warnings и recommendations, чтобы решить, какие DNS-изменения вносить дальше. DN01 предупреждает о режиме мониторинга `p=none`, частичном применении при `pct` ниже 100, отсутствии `rua` и relaxed alignment по умолчанию. Если картина неполная, откройте DKIM Validator и DNS Checker для того же домена и убедитесь, что SPF и DKIM реально выравниваются с доменом From, прежде чем переходить к `quarantine` или `reject`.
Что показывает результат
Результат разбит на сигналы, которые важны именно для этой проверки.
| Поле | Зачем нужно | Пример |
|---|---|---|
| Домен | Нормализованный registrable domain, переданный в анализатор. | example.com |
| Имя запроса | Точное DNS-имя TXT-записи, которое опрашивает резолвер. | _dmarc.example.com |
| Found | Найдена ли TXT-строка, начинающаяся с v=DMARC1. | true |
| Valid | Разобрана ли запись без блокирующих синтаксических ошибок. | false |
| p= | Организационная политика для писем, не прошедших DMARC. | quarantine |
| sp= | Политика для поддоменов, если отличается от p=. | reject |
| pct= | Процент писем с ошибкой, к которым применяется политика. | 100 |
| rua= | Адреса агрегированных отчётов через запятую. | mailto:[email protected] |
| ruf= | Адреса forensic-отчётов, если опубликованы. | mailto:[email protected] |
| adkim= / aspf= | Строгий (s) или relaxed (r) alignment для DKIM и SPF. | adkim=r; aspf=s |
| Сырая запись | TXT-строка из DNS без изменений. | v=DMARC1; p=none; rua=mailto:[email protected] |
| Errors / Warnings / Recommendations | Практические диагностические подсказки по значениям тегов. | отсутствует rua; после отчётов переходите к quarantine |
Когда проверка полезна
Вы готовите переход с мониторинга на enforcement и хотите понять, выдержит ли опубликованная запись проверку принимающими серверами. Маркетинг шлёт через CRM, продуктовые письма идут через transactional-провайдера, а финансовый отдел использует локальный relay. Прежде чем поднять `p` с `none` до `quarantine`, DN01 показывает, валидна ли TXT на `_dmarc.example.com` синтаксически, нет ли дублирующих тегов, которые делают запись невалидной, и не ограничен ли enforcement через `pct`. Эта одна DNS-публикация — то, что оценивают миллиарды почтовых ящиков; опечатка в `p=` или вторая лишняя DMARC TXT может ослабить защиту сразу для всех каналов.
Тикеты по доставляемости часто обвиняют DMARC, хотя SPF отдельно проходит. Письмо может иметь корректный SPF и всё равно провалить DMARC, если envelope From, header From и домен подписи DKIM не выравниваются согласно `aspf` и `adkim`. DN01 показывает режимы alignment: при отсутствии тегов анализатор считает relaxed (`r`) и предупреждает, что получатели могут принимать более широкие совпадения доменов, чем вы ожидаете. Сопоставьте результат DMARC с DKIM Validator, чтобы увидеть активные селекторы, и с DNS Checker для проверки SPF includes.
Команды безопасности используют DMARC как антиспуфинговый контроль для доменов руководства, партнёрских порталов и похожих брендов. Если `_dmarc` отсутствует, DN01 возвращает явную диагностику — `no DMARC record found at _dmarc.<domain>` — и рекомендует опубликовать `v=DMARC1` со стартовой политикой. Это не сбой инструмента, а то же состояние, которое видят получатели, когда фишинг может использовать ваш домен без published rejection policy. Зафиксируйте находку, включите мониторинг с `rua`, затем планируйте enforcement после агрегированных отчётов.
MSP-провайдеры проводят DMARC-ревью десятков клиентских зон при онбординге или продлении контракта. Ручные `dig`-запросы плохо масштабируются, когда нужно сравнить `sp` с `p`, проверить почтовые ящики отчётов и найти невалидный `pct` по портфелю. DN01 возвращает единообразный отчёт с длительностью запроса, инвентарём тегов и рекомендациями для тикетов. SEO-страница результата по домену даёт стейкхолдерам стабильную ссылку на текущую публикацию без доступа к внутренним DNS-инструментам.
Архитектуры с множеством поддоменов — `news.example.com`, `billing.example.com`, `eu.example.com` — зависят от `sp=`, когда дочерние зоны отправляют почту со своими SPF и DKIM. Если `sp` нет, получатели используют `p` для поддоменов, что удивляет команды, считавшие зону изолированной. DN01 показывает оба значения рядом и помечает невалидные политики поддоменов так же, как и организационные. Когда `sp=reject` строже `p=quarantine`, асимметрия видна сразу, а не из отказов рассылки.
Анкеты compliance и vendor security всё чаще требуют доказательств зрелости email authentication, а не галочек в форме. Аудиторы спрашивают, настроен ли aggregate reporting (`rua`), частичен ли enforcement (`pct` меньше 100) и валидна ли запись сегодня, а не в прошлом квартале. DN01 отвечает из живого DNS, сохраняет raw TXT для скриншотов и разделяет жёсткие ошибки (дубликаты тегов, неверные policy) и предупреждения (режим мониторинга, relaxed alignment). Это помогает объяснить, что нужно исправить до enforcement, а что является осознанной стадией rollout.
После волны спуфинга incident response часто начинается с вопроса «DMARC сломан или отсутствует?», а не с выборки писем. Когда несколько TXT на `_dmarc` содержат более одного фрагмента `v=DMARC1`, получатели могут считать конфигурацию невалидной и игнорировать enforcement. DN01 берёт первую подходящую запись для разбора, но всё равно сообщает об ошибках duplicate tag внутри одной строки, помогая отличить split-brain DNS от безвредного исторического TXT. Перепроверьте после TTL, когда authoritative NS согласованы, и сверьте подписи через DKIM Validator перед возвратом к `reject`.
Что проверить, если результат странный
Если DN01 сообщает об отсутствии DMARC, запрашивайте именно `_dmarc.yourdomain.tld`, а не apex TXT, где лежит SPF. Многие команды публикуют SPF в корне и считают, что DMARC наследуется автоматически. Проверьте запись на всех authoritative NS после миграции DNS-провайдера: устаревшие делегации — частая причина, почему один резолвер видит `v=DMARC1`, а другой NXDOMAIN. Ответ об отсутствии записи — намеренная диагностика, а не сбой API.
Когда `valid` ложен при `found` true, сначала читайте массив errors, а не меняйте политику наугад. Дублирующиеся теги `p=`, неизвестные policy, нецелочисленный `pct` или значение вне 0–100 делают запись невалидной для строгих парсеров. Удалите дубликаты в DNS-панели, оставьте одну TXT через точку с запятой и не разбивайте DMARC на несколько TXT без корректной конкатенации у провайдера. После правок дождитесь TTL и перезапустите анализ.
Предупреждения о `p=none`, отсутствии `rua` или relaxed alignment не всегда означают, что почта уже падает — они описывают риск. `p=none` мониторит исходы аутентификации, не требуя quarantine или reject. Без `rua` вы не получите aggregate XML с источниками pass/fail. Если в warnings упомянут relaxed alignment, решите, нужны ли `adkim=s` или `aspf=s` до перехода на `reject`.
Если живой DNS расходится с панелью регистратора, сравните поле raw record с `dig +short TXT _dmarc.domain`. Кэширующие резолверы, региональные anycast-различия и частичный импорт зоны делают dashboard неточным. DN01 опрашивает резолвер платформы в момент запроса; сохраните raw TXT для change control, если нужно доказать внешне видимое значение.
Когда легитимная почта падает после ужесточения политики, DMARC может быть корректен, а SPF или DKIM — нет. Через DNS Checker проверьте SPF includes и лимиты flattening, через DKIM Validator — активные селекторы и срок ключей. Частичный enforcement через `pct=50` делает сбои «случайными»; DN01 предупреждает о pct ниже 100, чтобы вы могли сопоставить это с заголовками писем.
Как интерпретировать результат
DMARC строится поверх SPF и DKIM. SPF проверяет envelope path, DKIM — криптографическую подпись, DMARC спрашивает, выравнивается ли результат с доменом в From, и что делать при провале обоих механизмов. DN01 не отправляет письма и не оценивает отдельные сообщения — он проверяет только DNS-политику для получателей. Поэтому связка с DKIM Validator и DNS Checker завершает картину: публикация, подпись и alignment — три разных проверки.
Тег `p=` обязателен. Допустимы только `none`, `quarantine` и `reject`; любое другое значение помечается невалидным. `none` подходит для стартового мониторинга, но DN01 предупреждает, что он не велит блокировать failing mail. `quarantine` обычно отправляет сбои в спам, `reject` просит отбрасывать письма. Путь к enforcement должен опираться на `rua`-отчёты, а не только на дедлайны в календаре.
Тег `pct` ограничивает долю failing-сообщений, к которым применяется политика. Значения ниже 100 означают частичное enforcement — полезно для поэтапного rollout, но мешает диагностике, потому что часть сбоев всё ещё доставляется. DN01 парсит `pct` как целое число и выдаёт ошибку при нечисловом значении или диапазоне вне 0–100. Для production-брендов финальная цель обычно `pct=100` после чистых отчётов.
Агрегированные отчёты идут на `rua`, чаще всего `mailto:`-адреса, которые должны быть зарегистрированы у процессора отчётов. DN01 перечисляет все значения через запятую и предупреждает об отсутствии `rua`, потому что без отчётов enforcement делается вслепую. Forensic `ruf` опционален и чувствителен к приватности; многие организации оставляют только `rua`. Анализатор показывает оба тега, если они опубликованы.
Теги alignment `adkim` и `aspf` задают strict (`s`) или relaxed (`r`) сопоставление доменов. При отсутствии DN01 считает оба relaxed и предупреждает, что получатели могут принять комбинации apex и subdomain, которые вы не планировали. Strict-режимы часто включают перед `reject`, чтобы снизить риск прохождения look-alike поддомена при header From на apex-бренде.
Флаг valid в DN01 означает отсутствие блокирующих ошибок разбора на момент проверки. Запись мониторинга с `p=none` и без `rua` может быть found с предупреждениями — полезный сигнал для risk review. Считайте `valid=false` дефектом DNS stop-ship до исправления, потому что часть получателей полностью игнорирует malformed policies.
Рекомендуемый порядок действий
- Запустите DMARC Analyzer на apex-домене из клиентских From-адресов.
- При ошибках исправьте синтаксис TXT, удалите дубликаты тегов и оставьте одну DMARC-публикацию на `_dmarc`.
- Откройте DKIM Validator для активных селекторов и DNS Checker для SPF includes, которые должны align с From.
- Опубликуйте или обновите `rua`, соберите aggregate-отчёты, затем поднимайте политику от `none` к `quarantine` и `reject` с `pct=100`.
- Повторите проверку после TTL и приложите страницу результата к тикетам или compliance-доказательствам.
Инструмент и ручная проверка
Команда `dig TXT _dmarc.example.com` быстро показывает сырой TXT, но интерпретация политики остаётся на операторе. Нужно помнить, что дубли `p=` делают запись невалидной, `sp` управляет поддоменами, а без `rua` нет отчётности. DN01 кодирует эти правила и возвращает рекомендации за один проход — быстрее для handoff между DNS и mail-командами.
DNS Checker на DN01 показывает все TXT зоны, что полезно, когда рядом лежат SPF, DKIM и verification tokens. Он не оценивает риск DMARC policy и не подсвечивает частичный `pct`. Используйте DNS Checker для контекста зоны, DMARC Analyzer — когда вопрос именно в политике на `_dmarc`.
Aggregate XML в почтовом ящике показывает историю источников и долю сбоев, но приходит с задержкой и отражает прошлый трафик. Это не доказывает текущую DNS-публикацию после экстренного изменения. DN01 отвечает на вопрос live publication за секунды, а отчёты остаются ключом для решения об ужесточении `p`.
Консоли DMARC у вендоров дают дашборды и парсинг отчётов, но внешним аудиторам и DNS-операторам всё равно нужен нейтральный lookup TXT, который видит интернет. DN01 не зависит от report mailbox и работает даже без `rua` — как раз когда нужно подтвердить, что мониторинг никогда не настраивали.
Онлайн-валидаторы SPF иногда не проверяют DMARC-специфичные теги. DN01 использует тот же Go-парсер, что и production API, поэтому SEO-страница и API разделяют логику `p`, `sp`, `pct`, дубликатов и alignment defaults.
Таблицы DMARC-статуса клиентов устаревают после правки у регистратора или CDN DNS. Shareable URL результата DN01 даёт support и delivery актуальный снимок с query name, raw record и timing без shell-доступа.
Почему DN01
- Живой TXT lookup `_dmarc.<домен>` с нормализацией домена и временем резолвера.
- Разбор p, sp, pct, ruf, rua, adkim и aspf с проверкой дубликатов и политик.
- Errors, warnings и recommendations; отсутствие записи — диагностика, не HTTP-ошибка.
- Связка с DKIM Validator и DNS Checker для полного SPF/DKIM/DMARC-аудита.
FAQ
FAQ по DMARC-анализатору
TXT на _dmarc, политики, alignment, адреса отчётов и безопасное ужесточение policy.
Что такое DMARC DNS-запись?
DMARC публикуется как TXT-запись на _dmarc.example.com. Она сообщает получателям, как обрабатывать почту при сбое SPF или DKIM alignment и куда отправлять aggregate (rua) или forensic (ruf) отчёты.
Что означают p=none, quarantine и reject?
p=none — только мониторинг: сбои фиксируются, но не блокируются. quarantine отправляет проблемную почту в спам. reject просит отклонять неаутентифицированные сообщения. Обычно начинают с none, анализируют rua и затем ужесточают policy.
Как DN01 находит и проверяет DMARC?
Запрос _dmarc.вашдомен.com через live DNS, разбор тегов v=DMARC1, проверка синтаксиса и типичных ошибок — неверный pct, некорректные rua и т.п.
Как DMARC связан с SPF и DKIM?
SPF и DKIM подтверждают отдельные механизмы аутентификации. DMARC определяет alignment с доменом From и действие при сбое. TXT для SPF/DKIM проверьте в DNS Checker, селекторы — в DKIM валидаторе.
Что такое теги rua и ruf?
rua — адреса для ежедневных aggregate XML-отчётов с объёмами pass/fail. ruf — forensic-образцы отдельных сбоев. Нужен отдельный ящик или парсер отчётов; rua критичен перед ужесточением policy.
Достаточно ли DMARC, чтобы остановить spoofing?
DMARC с p=reject и aligned SPF/DKIM блокирует большую часть прямого spoofing домена, но lookalike-домены и компрометация аккаунтов требуют отдельного мониторинга. Это проверка DNS-конфигурации, а не полная защита почтового ящика.
Соседние инструменты
Продолжить проверку
Выберите следующий шаг в цепочке проверки домена или безопасности.
- DKIM валидаторПоиск DKIM-селектора и проверка записиОткрыть
- DNS CheckerВсе основные типы записей одним запросомОткрыть
- DIGОдин тип записи, ответ как у resolverОткрыть
- IP доменаA и AAAA IP адреса доменаОткрыть
- Проверка возраста доменаДата создания, возраст, регистратор и срокОткрыть
- WHOISРегистратор, срок действия и статус доменаОткрыть
- HTTP Header CheckerЗаголовки ответа, редиректы и кешОткрыть
- HTTP/2 тестерПоддержка HTTP/2, ALPN и TLSОткрыть
- SSL Certificate CheckerЦепочка сертификата, SAN и версия TLSОткрыть
- Blacklist CheckerDNSBL-репутация IP и доменаОткрыть
- Punycode ConverterUnicode ↔ Punycode для IDN-доменовОткрыть
- Разбор URLРазбор URL на части и query-параметрыОткрыть
- Base64 CodecКодирование и декодирование Base64Открыть
- Генератор паролейНадёжные пароли для админских задачОткрыть
- Проверка надежности пароляЭнтропия, время взлома и советыОткрыть
- Генератор парольных фразЗапоминаемые случайные фразы для безопасных тестовОткрыть
- BIN CheckerБренд карты, банк и страна по BIN/IINОткрыть
- IP-калькуляторПодсети IPv4/IPv6: маска, broadcast, диапазон хостовОткрыть
- Проверка обновления браузераВерсия браузера, обновление и Client HintsОткрыть
Похожие статьи
Практические руководства по Анализатор DMARC: DNS-записи, типичные ошибки и ссылки на бесплатные инструменты DN01.
dmarc policy, p=reject, email authentication
Политика DMARC: none, quarantine, reject
Разберите p=, sp=, pct= и влияние политики на поддельные письма перед переходом от мониторинга к enforcement.
Читать статью →dmarc alignment, spf dkim dmarc, email deliverability
DMARC alignment для SPF и DKIM
Почему валидный SPF или DKIM всё равно может не пройти DMARC при несовпадении envelope, From и signing domains.
Читать статью →dmarc record tags, dmarc syntax, v=DMARC1
Теги и синтаксис DMARC-записи для операторов
Разбор v=DMARC1, p=, sp=, pct=, rua, ruf, fo, aspf, adkim и типичных ошибок форматирования TXT.
Читать статью →dmarc rua, dmarc ruf, aggregate reports
Aggregate и forensic отчёты DMARC: rua и ruf
Как публиковать rua и ruf mailto, что содержат отчёты и почему forensic часто отключают.
Читать статью →dmarc sp tag, subdomain dmarc policy, sp=reject
Политика поддоменов DMARC sp= для marketing и product hosts
Когда sp= важен для mail.example.com, как наследуется от p= и почему отдельные subdomain senders требуют явного alignment.
Читать статью →dmarc reject migration, dmarc enforcement, dmarc rollout
Безопасный переход DMARC с p=none на quarantine или reject
Поэтапный rollout с отчётами, pct= sampling и исправлением alignment до полной защиты от spoofing.
Читать статью →