DMARC записи позволяют получателям и отправителям проверять подлинность сообщений, а также определять что делать с сообщениями не прошедшими проверку DKIM.
Перед настройкой DMARC, должны быть настроены записи SPF и DKIM, например об этом я писал в статьях:
Как настроить SPF записи
Как добавить DKIM запись для iRedMail
Приведу пример простой начальной настройки DMARC, при которой с подозрительными сообщения не предпринимаются никакие действия и отправляются отчеты на указанный email, для этого добавим TXT запись в настройках DNS сервера (теги «v» и «p» обязательны):
_dmarc TXT "v=DMARC1; p=none; rua=mailto:test@ixnfo.com"
На тесте после добавления такой записи, Google периодически начал присылать сообщения об успешной (pass) или безуспешной (fail) проверкой DMARC.
v — определяет версию протокола.
p — указывает что делать с подозрительными сообщениями пришедшими на ваш домен, none — ничего, quarantine — пометить как спам и поместить в карантин, reject — не принимать такие сообщения.
sp — указывает что делать с подозрительными сообщениями пришедшими на все ваши поддомены, значения такие же как для «p».
rua — определяет email адрес для получения отчетов.
pct — позволяет задать процент подозрительных сообщений к которым применять правило DMARC, по умолчанию 100.
aspf — режим проверки точности SPF записей, r — мягкий режим (relaxed), является по умолчанию, при котором разрешаются частичные совпадения, например для поддоменов, s — строгий режим, при котором разрешены только точные совпадения.
adkim — режим проверки точности DKIM записей.
Чтобы убедится как работает DMARC и плавно перейти к политике reject, сначала укажем что небольшой процент подозрительных сообщений нужно помечать как спам и постепенно будем изменять TXT запись, например:
"v=DMARC1; p=quarantine; pct=20; rua=mailto:test@ixnfo.com"
"v=DMARC1; p=quarantine; pct=50; rua=mailto:test@ixnfo.com"
"v=DMARC1; p=quarantine; pct=100; rua=mailto:test@ixnfo.com"
"v=DMARC1; p=reject; pct=50; rua=mailto:test@ixnfo.com"
"v=DMARC1; p=reject; pct=100; rua=mailto:test@ixnfo.com"
Можно указать отправку отчетов на несколько email:
rua=mailto:test@ixnfo.com mailto:dmarc@ixnfo.com
Проверить DMARC запись можно любыми онлайн сервисами, например https://mxtoolbox.com/dmarc.aspx