<b>DMARC без магии: как не сломать отправку и быстро увидеть подмену домена</b>

<b>DMARC без магии: как не сломать отправку и быстро увидеть подмену домена</b>

DMARC — это не «ещё одна DNS-запись», а правило, что делать с письмами, которые не проходят SPF и DKIM на выравнивание домена.

База простая:
— SPF должен разрешать ваш сервис отправки.
— DKIM должен подписывать письма доменом, который совпадает с From, хотя бы на уровне выравнивания.
— DMARC объединяет это и задаёт политику: none, quarantine или reject.

Если поставить DMARC сразу в <code>p=reject</code> без проверки отчётов, можно отрезать легитимные отправки: CRM, транзакционные сервисы, формы сайта, подрядчиков. Поэтому нормальный путь такой: сначала <code>p=none</code>, потом анализ отчётов, затем ужесточение политики.

Что важно:
— следите за <code>rua</code>-отчётами: они показывают, кто отправляет от вашего домена;
— проверяйте alignment не только у основного ESP, но и у всех вспомогательных сервисов;
— для поддоменов политика может отличаться, если они живут отдельно.

Что делать на практике:
— инвентаризировать все источники отправки;
— убедиться, что каждый из них покрыт SPF или DKIM;
— включить DMARC на организационном домене с мониторингом;
— только потом переводить политику на более жёсткую.

DMARC полезен не для галочки, а для контроля над доменом. Если отчёты не читаются, запись в DNS превращается в декорацию.