Как безопасно перейти на DMARC p=reject
Поэтапный план ужесточения DMARC от none к quarantine и reject, не заблокировав собственную легитимную почту.
DMARC p=reject — это цель: получатели отбрасывают почту, не прошедшую аутентификацию, и спуфинг вашего домена прекращается. Но прыгнете слишком рано — заблокируете свою же почту. Делайте поэтапно.
Этап 1 — мониторинг (p=none)
Начните с p=none и адресом rua. Доставку не меняете, но начинаете собирать сводные отчёты — кто шлёт от вашего домена.
Этап 2 — найдите всех отправителей
Читайте отчёты 2–4 недели. Выпишите все легитимные источники — приложение, ESP, поддержка, биллинг — и убедитесь, что каждый проходит SPF и DKIM с выравниванием (alignment).
Отправляйте письма, которые доходят до «Входящих»
API и визуальный редактор, SPF/DKIM/DMARC из коробки, аналитика и тёплые IP. Бесплатный тариф — 200 писем в месяц, без карты.
Этап 3 — quarantine, затем reject
Перейдите на p=quarantine; pct=25, наблюдайте, поднимите процент до 100. Когда ничего легитимного не падает — ставьте p=reject. Спуфить вас больше нельзя.
Продолжайте следить
Новые сервисы, шлющие от вашего домена, упадут под reject — продолжайте читать отчёты. Sendersy аутентифицирует с alignment по умолчанию и не ломает ваш DMARC. Добавьте домен бесплатно.
Строит инфраструктуру отправки Sendersy. Десять лет занимается доставляемостью, SPF/DKIM/DMARC и репутацией IP.
Читайте также
SPF, DKIM и DMARC: полная настройка аутентификации почты
Пошаговая настройка записей SPF, DKIM и DMARC, чтобы письма проходили проверку в Gmail, Outlook, Mail.ru и Яндексе.
Доставляемость email: 12 способов попасть во «Входящие»
Практический чек-лист по доставляемости: аутентификация, гигиена базы, контент и репутация — простым языком.