DMARC Alignment (Выравнивание) — это критический механизм проверки подлинности электронной почты, требующий, чтобы домен, который видит получатель в поле From:, совпадал с доменом, указанным в технических заголовках Return-Path (для SPF) или в криптографической подписи (для DKIM). Если это условие не выполняется, письмо может быть отклонено политикой DMARC, даже если технически SPF и DKIM настроены верно.
Почему ваши письма попадают в спам при «зеленых» галочках
Знакомая ситуация? Системный администратор клянется на серверной стойке, что настройка dmarc, SPF и DKIM выполнена идеально. Валидаторы показывают зеленые галочки. А отдел продаж воет, потому что коммерческие предложения летят в папку «Спам» или вообще блокируются с ошибкой email rejected per dmarc policy.
Я сам набил на этом шишку пару лет назад. Мы подключили новую CRM, прописали IP-адреса в SPF, а доставляемость рухнула. Проблема оказалась не в наличии записей, а в их «геометрии» — точнее, в выравнивании. DMARC — это своего рода светофор для почты. Он говорит серверам Google или Яндекс: «Если проверки провалены, делай с письмом вот это». Но дьявол кроется в том, как именно эти проверки проходят.
Давайте разбираться, как работает этот механизм, почему он ломается при использовании сторонних рассыльщиков и как настроить dmarc так, чтобы спать спокойно.
Анатомия проблемы: SPF и DKIM Alignment
Чтобы письмо прошло проверку DMARC (получило статус Pass), должно выполниться одно из двух условий (или оба сразу):
- SPF Alignment: Домен в адресе отправителя (Header From) совпадает с доменом в Return-Path (адрес, куда возвращаются ошибки доставки).
- DKIM Alignment: Домен в адресе отправителя совпадает с доменом, которым подписано письмо (тег d= в заголовке DKIM-Signature).
Главная головная боль — SPF Misalignment. Когда вы шлете письма через Mailchimp, SendGrid или Zendesk, эти сервисы часто подставляют свой домен в Return-Path для обработки отскоков (баунсов). Технически проверка SPF проходит (IP сервиса разрешен), но проверка dmarc по части SPF проваливается, так как домены не совпадают. И вот тут нас спасает DKIM.
3 способа исправить ошибки Alignment (без покупки дорогого софта)
Если вы видите в отчетах dmarc failed, не паникуйте. Обычно это решается архитектурно, а не переписыванием DNS сутками напролет.
1. Полагайтесь на DKIM (Ваше спасение)
DMARC устроен лояльно: ему достаточно прохождения хотя бы одного протокола. Если SPF не выровнен из-за особенностей рассыльщика, настройте dkim dmarc выравнивание. В большинстве сервисов (тот же Google Workspace или ActiveCampaign) это делается через добавление CNAME-записей в DNS. Письмо подписывается вашим ключом, домены совпадают — DMARC Pass получен. То есть… я хотел сказать, это самый надежный метод для облачных сервисов.
2. Субдомены для сторонних сервисов
Вместо того чтобы разрешать CRM слать с основного корпоративного домена, делегируйте ей субдомен. Например, notifications.company.com. В DMARC есть режимы проверки: строгий (strict) и мягкий (relaxed). По умолчанию используется aspf=r (relaxed), который считает субдомен и основной домен совпадением.
3. SPF Flattening («Сплющивание» записи)
Еще одна частая причина проблем — лимит в 10 DNS-запросов. Если вы добавили include:google.com, include:sendgrid.net и еще пару сервисов, ваша dmarc запись для домена останется валидной, а вот SPF сломается с ошибкой PermError. Решение — заменять include на прямые IP-адреса. Это называется Flattening.
Таблица: Сравнение методов выравнивания
Метод Сложность Стоимость Эффективность Настройка DKIM (CNAME) Низкая Бесплатно Высокая (решает 90% проблем) Использование субдоменов Средняя Бесплатно Высокая (изолирует репутацию) Покупка выделенного IP Высокая от $30/мес Средняя (требует «прогрева») SPF Flattening (скрипты) Средняя Бесплатно / $ Критична при большом кол-ве сервисов
Автоматизация мониторинга через Make (бывший Integromat)
Читать XML-отчеты глазами — занятие для людей с лишним временем. Крупные SaaS-платформы для аналитики стоят денег, но мы можем собрать свой мониторинг практически бесплатно. Make.com не анализирует DMARC «из коробки», но позволяет построить логику обработки.
Сценарий 1: Парсинг отчетов (DMARC XML Parser)
Почтовые гиганты (Google, Yahoo, Mail.ru) ежедневно шлют архивы с отчетами на адрес, указанный в теге rua вашей dmarc записи.
- Trigger: Мониторинг Gmail на наличие писем с темой «Report Domain:» и вложениями .zip или .gz.
- Action: Распаковка архива.
- XML Parse: Преобразование отчета в JSON. Нас интересуют поля source_ip, count и блок policy_evaluated (где видно, прошел ли SPF/DKIM).
- Router:Если disposition=none (письмо доставлено) — пишем в сводную Google Таблицу.
Если spf=fail И dkim=fail — шлем алерт в Telegram. «Внимание! С IP такого-то идут попытки подмены домена».
Сценарий 2: Контроль здоровья DNS
Раз в сутки запускайте проверку вашей TXT записи. Если количество механизмов include превышает 9 (оставляем один про запас) — отправляйте уведомление админу. Это убережет от ситуации, когда маркетинг подключил новый сервис и случайно «положил» всю почту.
Хотите научиться лидогенерации для вашего b2b бизнеса? Подпишитесь на наш Telegram-канал
Актуальные требования 2024-2025 (Google & Yahoo)
Рынок меняется. Если раньше dmarc policy p=none (только мониторинг) считалась нормой годами, то теперь гайки закручиваются. С 2024 года Google и Yahoo требуют обязательного наличия DMARC для всех, кто отправляет более 5000 писем в день. Отсутствие записи гарантирует проблемы с инбоксом.
Кроме того, растет популярность BIMI (Brand Indicators for Message Identification). Это когда рядом с вашим письмом отображается логотип бренда. Красиво, повышает доверие, но требует:
- DMARC политики p=reject или p=quarantine (100%).
- Наличия VMC-сертификата (Verified Mark Certificate), который стоит приличных денег.
Но даже без логотипа строгая политика защищает ваш бренд от фишинга. Злоумышленники просто не смогут отправить письмо от вашего имени — сервер получателя увидит dmarc rejected и отбросит подделку.
Лидогенерация и репутация домена: неочевидная связь
Зачем вообще возиться с этими записями бизнесу? Все просто. В B2B продажах email остается основным каналом коммуникации. Холодные рассылки, переписка с партнерами, отправка счетов — все это держится на репутации домена.
Если вы не настроили аутентификацию (dkim dmarc spf настройка проигнорирована), ваши письма для алгоритмов Google выглядят подозрительно. Доставляемость падает, Open Rate снижается, менеджеры звонят «в холодную» без предварительного прогрева письмом. В итоге стоимость привлечения клиента (CAC) растет.
Грамотная техническая база — это фундамент лидогенерации. Агентство Лидконнект (Leadconnect.ru) всегда начинает работу с аудита именно этих параметров. Бессмысленно писать гениальные скрипты продаж, если письмо с ними лежит в папке «Спам».
Частые вопросы (FAQ)
Как проверить DMARC запись онлайн?
Существует множество бесплатных инструментов. Введите в поиске «проверка dmarc онлайн» или используйте сервисы вроде MXToolbox, Dmarcian или Google Admin Toolbox. Вам нужно ввести домен, и сервис покажет текущую политику и наличие ошибок синтаксиса.
Что означает dmarc policy not enabled?
Это значит, что у вас либо вообще нет TXT-записи _dmarc в DNS, либо в ней указана политика p=none (что технически является режимом мониторинга, а не защиты). Почтовики видят запись, но не защищают домен от подделки. Для начала это нормально, но цель — перейти к p=reject.
Где найти dmarc запись для почтового сервера Yandex или Mail.ru?
Запись создается не для сервера, а для вашего домена. Она универсальна. Стандартный вид: v=DMARC1; p=none; rua=mailto:dmarc@вашдомен.ru. Если вы используете Яндекс 360 или VK WorkSpace (Mail.ru), вам все равно нужно добавить эту запись в DNS-панель вашего регистратора домена (Reg.ru, Nic.ru и т.д.).
В чем разница между dmarc quarantine и reject?
Политика p=quarantine указывает почтовому серверу получателя отправлять подозрительные письма (не прошедшие проверку) в папку «Спам». Политика p=reject — самая строгая: такие письма вообще не будут доставлены, они блокируются на входе.
Как добавить записи dmarc, если у меня несколько отправителей?
Вам не нужно создавать несколько DMARC записей (это ошибка!). Запись всегда одна на домен. Вам нужно настроить SPF (добавив IP всех сервисов через include) и DKIM для каждого сервиса отдельно. DMARC сам соберет результаты проверок от всех источников.
Что такое теги rua и ruf?
rua — это адрес, куда приходят агрегированные отчеты (XML) раз в сутки. Это безопасно и полезно. ruf — это адрес для forensic-отчетов (подробности о каждой ошибке сбоя). ruf использовать стоит с осторожностью, так как это может раскрывать персональные данные и поддерживается не всеми провайдерами.