В чем смысл DMARC?

Question

[Jurasz]

В теории понятно: DMARC проверяет подлинность письма отправленного от лица домена.

Но... а разве кто-то может от лица моего домена отправлять? Сервисы рассылок? Предположим, что мы ими пользуемся.

Но тогда какой смысл в правиле v=DMARC1;p=none, которое не предпринимает никаких действий? Почему бы сразу не поставить v=DMARC1;p=reject - это правило будет просто отклонять все письма, которые не прошли проверку DKIM, SPF.

Разве могут быть ситуации, в которых мой домен не прошел проверку, но при этом надо принять письмо?

Я к тому, что боюсь ставить v=DMARC1;p=reject так как мне непонятны последствия. Я уже получаю в среднем по 5-7 писем с отчетами DMARC, но в них мне мало то понятно.

Answer 1

[paran0id]

Вот отличный разбор что есть что

Answer 2

[Александр Фалалеев]

Не надо бояться !

Ставьте:

v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; fo=1; ruf=mailto:postmaster@site.ru; rua=mailto:info@site.ru

и всё будет хорошо.

Answer 3

[akelsey]

v=DMARC1;p=none - сам по себе бесполезен, используют на период тестирования и сбора данны, обычно еще указывают адрес репортинга - используют либо платное решение вроде dmarcian (есть триал), или что то опенсорсное на эластике + parsedmarc модуль на питоне.
v=DMARC1;p=reject - для того и нужна фаза предыдущая для анализа - что б понять кто и откуда отсылает. Да если вы используете рассылки от имени вашего домена это может заимпактить и почта перестанет приходить если вдруг не spf-aligned или dkim-aligned. Для этого у каждого рассыльщика есть способ - например dkim-survive - вы выдаете им право генерировать ключи. (нужно читать справку).

По поводу reject - это тоже всего лишь рекоммендация - решение принимает принимающий сервер, это либо ваш, либо вашего партнера. И уже там можно переопределить политику, обычно все же принято устанавливать на режект правило переопределение - класть письма в карантин.

Но... а разве кто-то может от лица моего домена отправлять?

Да могут - когда smtp header mailfrom корректный - например test@example.com, а envelope часть from: подставить ceo@yourcompany - без DMARC (если нет серьезного антиспам решения которое учитывает этот нюанс) - пройдет легко.

Answer 4

[Владимир Дубровин]

SPF и DKIM сами по себе не проверяют поле From письма в котором содержится адрес отправителя, поэтому письмо может пройти SPF и DKIM но при этом может содержать поддельный адрес. DMARC использует SPF и DKIM и при этом добавляет проверку, что поле From соответствует доменам использованным в SPF и DKIM + политику что делать с теми письмами, в которых From не авторизован. Без DMARC ваш адрес может подделать кто угодно.

Если не хочется самостоятельно разбираться с отчетами, можно использовать сервис типа Agari или Dmarcian, они будут рисовать красивую статистику откуда идут письма от вашего домена и у кого из отправителей они проходят или не проходят авторизацию. Обычно следят чтобы с тех сервисов или почтовых серверов, с которых вы действительно что-то шлете проходил DMARC и по SPF и по DKIM. Все что не ваше можете игнорировать.

После успешного тестирования с none обычно рекомендуют включить политику reject на небольшой процент (например p=reject;pct=10) и посмотреть по логам нет ли реджектов.