DMARC (Domain-based Message Authentication, Reporting and Conformance) — это подпись, которая позволяет принимающему серверу решить, что делать с письмом. DMARC использует DKIM и SPF. Если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Если же сообщение успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC сообщение пройдет успешно. DMARC добавляется только после того, как настроены записи SPF и DKIM.

DMARC – являться стандартом Интернета RFC 7489, который позволяет владельцам доменов предотвращать использование своих доменных имен подделывателями электронной почты. До изобретения DMARC, было очень легко использовать чужое доменное имя в адресе From.

Пример записи DMARC

Синтаксис DMARC

• v – версия, всегда принимает значение «v=DMARC1» (обязательный параметр);
• p – правило для домена (обязательный параметр). Может принимать значения none, quarantine и reject где:
  • p=none – не делает ничего, кроме подготовки отчетов;
  • p=quarantine – добавляет письмо в спам;
  • p=reject – отклоняет письмо.
    

• sp отвечает за субдомены и может принимать такие же значения, как и p.
• aspf и adkim – позволяют проверять соответствие записям и могут принимать значения r и s, где r — relaxed (более мягкая проверка), а s — strict (строгое соответствие).
• pct отвечает за кол-во писем, подлежащих фильтрации, указывается в процентах, например, «pct=20» будет фильтровать 20% писем.
• rua – позволяет отправлять ежедневные отчеты на email, пример: «rua=mailto:postmaster@your.tld», также можно указать несколько email через запятую без пробелов.
• ruf – отчеты для писем, не прошедших проверку DMARC.
• fo служит для генерации отчетов, если один из механизмов сломается.
  • fo=0 (используется по умолчанию) – присылать отчет, если не пройден ни один этап аутентификации;
  • fo=1 – присылать отчет, если не пройден хотя бы один этап аутентификации;
  • fo=d – присылать отчет, если не пройдена аутентификация DKIM;
  • fo=s – присылать отчет, если не пройдена аутентификация SPF.