No dmarc record found как исправить

Когда вы используете различные онлайн-инструменты для проверки записи DMARC домена, вы можете столкнуться с одной из ошибок:

«No DMARC record found»

«DMARC record not found»

«Missing DMARC record»

«Unable to find DMARC record»

«No DMARC record published»

«Hostname returned a missing or invalid DMARC record»

«DMARC policy not enabled»

Любое из этих или подобных сообщений означает одно: проверка DMARC показывает, что ваш домен не защищен и подвергается спуфинговым атакам. Любой злоумышленник, использующий спуфинг, может отправлять вредоносные электронные письма с использованием вашего домена, что потенциально может нанести ущерб вашему бренду после попадания в почтовые ящики ваших клиентов.

Чтобы исправить это, вам нужно начать внедрять DMARC, который является ратифицированным отраслевым стандартом для проверки подлинности электронной почты, для вашего домена.

Что такое DMARC

DMARC расшифровывается как «Domain-based Message Authentication, Reporting & Conformance». Это протокол проверки подлинности электронной почты со встроенными функциями отчетности и применения политик. DMARC построен на основе двух других широко распространенных протоколов электронной почты, SPF и DKIM. DMARC проверяет результаты, возвращаемые SPF и DKIM, и определяет, проходит ли входящая электронная почта аутентификацию или нет, и, в зависимости от политики, указанной в записи DMARC, предпринимает определенные действия для предотвращения попыток злонамеренной подделки.

Вот визуальное представление о том, как работает DMARC, с сайта dmarc.org:

См. официальную спецификацию DMARC здесь: DMARC RFC7489.

Что такое запись DMARC

Запись DMARC — это запись типа TXT, опубликованная для домена в DNS владельцем или администратором домена. Когда принимающему почтовому серверу необходимо проверить входящую электронную почту по DMARC, он будет искать запись DMARC в домене, извлеченную из адреса электронной почты отправителя.

Запись DMARC определяет политику DMARC, которая применяется, когда электронная почта не проходит аутентификацию DMARC с использованием тега p, например, none (никаких действий), quarantine (переместить в спам) или reject (полностью отклонить электронное письмо).

Он также должен указать список получателей сводных отчетов DMARC, используя тег rua. Таким образом, эти получатели смогут анализировать эти отчеты, выявлять потенциальные проблемы в инфраструктуре электронной почты и устранять их, если таковые имеются.

Вот пример записи DMARC:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected];

Приведенная выше запись DMARC предписывает помещать в карантин сообщения электронной почты, не прошедшие проверку подлинности, сводные отчеты DMARC следует отправлять на адрес [email protected], а отчеты судебной экспертизы следует отправлять на адрес [email protected]

Как исправить «No DMARC Record Found»

Эту проблему легко исправить: нужно создать DMARC-запись с соответствующими настройками, опубликовать ее в DNS, а затем проверить.

Вот 3 шага, чтобы исправить «No DMARC Record Found».

1. Создать запись DMARC

Прежде чем мы сможем его опубликовать, используйте наш бесплатный DMARC record generator, чтобы создать запись DMARC.

2 вещи, чтобы отметить здесь. Во-первых, если вы внедряете DMARC впервые, скорее всего, вам нужно установить политику на none (p=none), что переводит DMARC в режим мониторинга. Это никоим образом не влияет на ваши потоки электронной почты, но позволяет вам получать отчеты DMARC, которые дают представление о вашем статусе аутентификации электронной почты.

Во-вторых, вы можете запросить у DMARC отправку сводных отчетов на почтовый ящик, к которому у вас есть доступ, указав тег rua на этот почтовый ящик. Если вы используете DMARCLY’s dashboard для создания такой записи DMARC, она также настроит для вас почтовый ящик. Таким образом, вам не нужно беспокоиться о настройке почтового ящика и его обслуживании.

2. Опубликовать запись DMARC

DMARC работает, публикуя запись в DNS, чтобы она была доступна для принимающих почтовых серверов. После создания записи вам необходимо войти в панель управления DNS-провайдера домена, чтобы добавить запись.

Например, если ваш домен domain.com размещен на Cloudflare, вам необходимо войти в Cloudflare.

Вот несколько ссылок на руководства по добавлению записи DMARC с различными службами DNS:

• Как добавить запись DMARC в Cloudflare
• Как добавить запись DMARC в Namecheap
• Как добавить запись DMARC в GoDaddy
• Как добавить запись DMARC в cPanel

3. Проверьте запись DMARC

После публикации записи вы можете использовать нашу бесплатную онлайн-проверку DMARC, чтобы убедиться, что она действительно находится в DNS и доступна для всех.

Оповещение «Нет записи DMARC» или «Запись DMARC не найдена» свидетельствует об отсутствии самого эффективного и мощного механизма email аутентификации DMARC на вашем домене.

Домен без DMARC политики reject как голый человек посреди улицы.

Хенрик Шэк

Это значит, что злоумышленники могут рассылать электронные письма с домена, указанного в поле отправителя, так как по умолчанию SMTP-сервер не имеет защиты от поддельных адресов в поле «От».

Если вам знакома проблема и вы хотите немедленного ее решения, используйте любой бесплатный сканер домена для проверки вашего домена и продолжайте читать инструкцию дальше.

Как DMARC и проверка подлинности электронной почты помогают бороться со скамом и спуфингом

Чтобы не допустить спуфинг, все домены должны иметь систему проверки подлинности электронной почты. Вероятно, вы слышали про механизмы SPF и DKIM. Но SPF и DKIM не могут самостоятельно справиться с олицетворением домена и предотвратить спуфинг.

Тут на помощь приходит DMARC (Domain-based Message Authentication, Reporting & Conformance).

Он сочетает механизмы DKIM и SPF и обеспечивает 100% защиту от атак на домен.

DMARC защитит вас от фишинговых атак. Фишинг — это попытка обманом получить конфиденциальную информацию. Выдавая себя за официальных лиц, хакеры манипуляциями вынуждают своих жертв к определенным действиям.

(это на всякие случай )))) — автор

Итак, как исправить и добавить отсутствующую запись DMARC?

Вы можете получить указанное далее сообщение с инструментом для проверки DMARC:

• Нет записи DMARC

• Пропала запись DMARC

• Запись DMARC отсутствует

• Запись DMARC не найдена

• Нет опубликованной записи DMARC

• Политика DMARC не включена

• Невозможно найти запись DMARC

В зависимости от вашей конечной цели, у вас два выбора:

Вариант 1: Просто избавиться от назойливого сообщения «Нет записи DMARC», не разобравшись в важности DMARC и любой защиты электронной почты от спуфинга.

Все очень просто. Технически решить проблему «Запись DMARC не найдена» можно, добавив в соответствии с инструкциями DMARC запись TXT DNS в субдомен dmarc.yourdomain.com.

Можно добавить вот такую простую основную запись DMARCv=DMARC1; p=none; rua=mailto:chtovikhotite@washdomen.ru — и все.

Отсутствующая запись DMARC успешно добавлена. Поздравляем.

Но данная запись не спасет вас от спуфинга и атак с изменением авторства.

Вариант 2: Получить полную защиту от спуфинга и атак с изменением авторства.

Для обеспечения 100% защиты необходимо понять механизмы системы DMARC и принципы ее работы. Достичь абсолютной защиты от фишинговых атак сложно. Необходимы усердие и время (более 2 месяцев в зависимости от сложности вашего email инфраструктуры).

Сложно, так как при неверной настройке будут отклоняться не только отправленные с вашего домена поддельные электронные письма хакеров, но и настоящие письма. Это типа защищенная папка, доступа к которой нет ни у кого, даже у вас (папка очень безопасна, но бесполезна, если у меня самого нет к ней доступа).

3 шага для исправления проблемы «Запись DMARC не найдена»

Опубликуйте запись SPF

Используйте любой бесплатный генератор запсией SPF, чтобы добавить запись на DNS. Запись SPF выглядит следующим образом:

v=spf1 include:spf.easydmarc.com include:amazonses.com ip4:198.105.215.71/32 -al

Настройте DKIM-аутентификацию

Теперь необходимо настроить ваш почтовый сервер. Для этого используйте генератор записей DKIM проверки подлинности DKIM. Этот автоматизированный скрипт поможет вам настроить ваш почтовой сервер Linux с DKIM.

Для сохранения правильного синтаксиса воспользуйтесь генератором записи DKIM.

Опубликуйте DMARC запись

Итак, мы готовы настроить запись DMARC. Используйте генератор записей DMARC и опубликуйте генерированную запись на вашем DNS.

Настоятельно рекомендую вести политику отслеживания (p=none). После успешных результатов отслеживания система сама предложит изменить опубликованную политику. Не используйте в начале политику p=reject , если не уверены в правильности настройки и видимости инфраструктуры электронной почты.

Необходимо отметить, что ни SPF, ни DKIM не в состоянии самостоятельно предотвратить отправку киберпреступниками электронных писем с вашего домена.

Учтите, что только запись DMARC с политикой “p=reject” является мощнейшей системой проверки подлинности электронной почты, соответствующей промышленным стандартам.

Однако достичь “p=reject” сложно, так как ее наличие в DNS без надлежащего отслеживания может привести к отклонению допустимых электронных адресов.

Если вы читаете этот блог, скорее всего, вы сталкивались с одной из следующих распространенных подсказок:

• Нет записи DMARC 
• Записей DMARC не найдено 
• Запись DMARC пропала
• Запись DMARC не найдена 
• Записей DMARC не опубликовано 
• Политика DMARC не включена
• Не могу найти запись DMARC

В любом случае, это означает, что ваш домен не настроен в соответствии с наиболее известным и популярным стандартом аутентификации электронной почты — Domain-based Message Authentication, Reporting, and Conformance или DMARC. Давайте рассмотрим, что это такое:

Для того чтобы узнать, как исправить проблему «Запись DMARC не найдена», давайте узнаем, что такое DMARC. DMARC — это наиболее широко используемый в настоящее время стандарт аутентификации электронной почты, который разработан для того, чтобы дать владельцам доменов возможность указать принимающим серверам, как они должны обрабатывать сообщения, не прошедшие проверку подлинности. Это, в свою очередь, помогает защитить домен от несанкционированного доступа и атак, подменяющих электронную почту. DMARC использует популярные стандартные протоколы аутентификации для проверки входящих и исходящих сообщений вашего домена.

Защитите свой бизнес от атак типа «выдача себя за другое лицо» и подделки с помощью DMARC.

Знаете ли вы, что электронная почта — это самый простой способ, которым злоумышленники могут злоупотреблять вашим брендом?

Используя ваш домен и выдавая себя за ваш бренд, хакеры могут рассылать вредоносные фишинговые электронные письма вашим собственным сотрудникам и клиентам. Поскольку SMTP не оснащен безопасными протоколами против фальшивых полей «From», злоумышленник может подделывать заголовки электронной почты для отправки мошеннических электронных сообщений с вашего домена. Это не только поставит под угрозу безопасность вашей организации, но и нанесет серьезный вред репутации вашего бренда.

Подделка электронной почты может привести к BEC (Business Email Compromise), потере ценной информации компании, несанкционированному доступу к конфиденциальным данным, финансовым потерям и негативно отразиться на имидже вашего бренда. Даже после внедрения SPF и DKIM для вашего домена вы не сможете предотвратить выдачу злоумышленниками вашего домена за свой. Вот почему вам необходим протокол аутентификации электронной почты, такой как DMARC, который проверяет подлинность писем с помощью обоих упомянутых протоколов и указывает принимающим серверам ваших клиентов, сотрудников и партнеров, как реагировать, если письмо получено от неавторизованного источника и не прошло проверку подлинности. Это обеспечивает максимальную защиту от атак с использованием точного домена и помогает вам полностью контролировать домен вашей компании.

Кроме того, с помощью эффективного стандарта аутентификации электронной почты, такого как DMARC, вы можете повысить скорость доставки электронной почты, расширить охват и повысить уровень доверия.

Добавление пропущенной записи DMARC для вашего домена

При проверке записи DMARC домена с помощью онлайн-инструментов может быть раздражающе и запутанно наткнуться на подсказки «Имя хоста вернуло недостающую или недействительную DMARC-запись».

Для исправления проблемы «Запись DMARC не найдена» для вашего домена все, что вам нужно сделать, это добавить запись DMARC для вашего домена. Добавление записи DMARC — это, по сути, публикация текстовой (TXT) записи в DNS вашего домена, в строке _dmarc.example.com поддомен в соответствии со спецификациями DMARC. Запись TXT DMARC в вашей DNS может выглядеть примерно так:

v=DMARC1; p=none; rua=mailto:[email protected]

И Вуаля! Вы успешно разрешили запрос «Запись DMARC не найдена», так как ваш домен теперь настроен с помощью DMARC аутентификации и содержит запись DMARC.

Но достаточно ли этого? Ответ — нет. Простое добавление записи DMARC TXT в вашу DNS может разрешить недостающую DMARC-запрос, но этого просто недостаточно, чтобы смягчить атаки подражания и подделки.

Я исправил ошибку «Запись DMARC не найдена», что дальше?

После того как вы опубликовали DMARC-запись на своем домене, важно убедиться, что опубликованная запись действительна.

• Проверьте свою запись DMARC с помощью инструмента проверки записи DMARC. Это бесплатно!
• DMARC использует идентификаторы SPF и/или DKIM для проверки полномочий отправляющих доменов. Убедитесь, что у вас есть действительная и опубликованная запись SPF/DKIM для вашего домена. Проверьте это здесь.
• Время от времени отслеживайте результаты проверки доменов и аутентификации, чтобы отслеживать доставляемость электронной почты.

Реализуйте DMARC правильный путь с PowerDMARC

PowerDMARC поможет вашей организации достичь 100% соответствия DMARC путем согласования стандартов аутентификации, а также поможет вам перейти от мониторинга к правоприменению в кратчайшие сроки, решая проблему «запись DMARC не найдена» в кратчайшие сроки! Кроме того, наша интерактивная и удобная в использовании приборная панель автоматически генерирует:

• Агрегированные отчеты (RUA) для всех зарегистрированных вами доменов, которые упрощены и преобразованы в удобочитаемые таблицы и графики из сложного формата XML файла для вашего понимания.
• Судебно-медицинские заключения (RUF) с шифрованием

Чтобы смягчить проблему «запись DMARC не найдена», все, что вам нужно сделать, это:

• Создайте свою бесплатную запись DMARC с помощью PowerDMARC и легко выберите желаемую политику DMARC.

Политика DMARC может быть установлена на :

• p=none (DMARC настроен только на мониторинг, при этом письма, не прошедшие аутентификацию, все равно будут доставлены в почтовые ящики ваших получателей, однако вы будете получать сводные отчеты, информирующие вас о результатах аутентификации)
• p=карантин (DMARC установлен на уровне исполнения, при этом письма, не прошедшие аутентификацию, будут доставляться в ящик для спама, а не в папку входящих сообщений получателя)
• p=отклонить (DMARC установлен на максимальный уровень применения, при котором письма, не прошедшие аутентификацию, будут либо удалены, либо вообще не доставлены)

Почему PowerDMARC?

PowerDMARC — это единая SaaS-платформа аутентификации электронной почты, которая объединяет все лучшие практики аутентификации электронной почты, такие как DMARC, SPF, DKIM, BIMI, MTA-STS и TLS-RPT, под одной крышей. Мы обеспечиваем оптимальную видимость вашей экосистемы электронной почты с помощью подробных сводных отчетов и помогаем вам автоматически обновлять изменения на панели управления без необходимости обновлять DNS вручную.

Мы настраиваем решения для вашего домена и работаем с ними полностью в фоновом режиме, начиная с настройки и заканчивая мониторингом. Мы поможем вам правильно внедрить DMARC, чтобы избежать атак на выдачу себя за другое лицо!

Надеюсь, мы помогли вам исправить ошибку «Запись DMARC не найдена»! Зарегистрируйтесь в PowerDMARC, чтобы получить бесплатную пробную DMARC-запись для вашего домена уже сегодня!

Если вы видите запись «DMARC не найдена», запись «DMARC не опубликована» или запись «DMARC отсутствует», это означает, что в домене отсутствует самый эффективный и мощный механизм идентификации электронной почты, такой как DMARC.

Чтобы предотвратить спуфинг электронной почты (практика злоумышленников маскироваться под конкретного пользователя или подключенного к сети устройства с целью похищения данных), все домены должны иметь систему авторизации электронной почты. Наверное, вы слышали о механизмах SPF и DKIM. Но дело в том, что ни SPF, ни DKIM сами по себе не могут остановить заимствование вашего домена и не могут предотвратить спуфинг электронной почты. DMARC (Domain-based Message Authentication, Reporting & Conformance) приходит на помощь. Он сочетает в себе механизмы SPF и DKIM и обеспечивает 100% защиту от атак.

DMARC может защищать от фишинг атак. Фишинг — это мошенническая попытка получить конфиденциальную информацию. Выдавая себя за правомерного индивида, хакеры манипулируют жертвами для выполнения определенных действий. По данным Verizon Data Breach Investigations Report 2018, Фишинг и претекстинг составляют 93% нарушений. 80% всех нарушений связаны с учетными данными DBIR.

Итак, как исправить и добавить отсутствующую запись DMARC?

Возможно, вы получили упомянутое ниже  с помощью какого-нибудь инструмента проверки DMARC:

• No DMARC record

• No DMARC record found

• DMARC record is missing

• DMARC record not found

• No DMARC record published

• DMARC policy not enabled

• Unable to find DMARC record

В зависимости от того, чего вы хотите достичь. Есть 2 возможных варианта.

Вариант 1: Просто избавьтесь от раздражающего сообщения “No DMARC record”, не понимая реальной ценности DMARC и любой защиты от спуфинга электронной почты.

Ответ очень прост. Технически исправление “Записи DMARC Не найдено” буквально означает добавление записи DNS TXT в субдомен _dmarc.yourdomain.com в соответствии со спецификацией DMARC. 

Простую запись DMARC можно рассмотреть на следующем примере:

v=DMARC1; p=none; rua=mailto:whateveryoulike@yourdomain.com

Получилось! Недостающая запись DMARC была успешно добавлена.

Поздравляю, но этой записи недостаточно, чтобы остановить спуфинг и атаки с изменением авторства.

Вариант 2: Обеспечьте 100% защиту от атак с изменением авторства и спуфинга. 

Чтобы добиться 100%  защиты, вам нужно понять механизм системы DMARC и то, как она работает. Трудно добиться 100% защиты от спуфинга электронной почты; это требует усердия и некоторого времени (обычно более 2 месяцев и зависит от того, насколько сложна ваша инфраструктура электронной почты).

Сложность в том, что, если ваша конфигурация неверна, то не только поддельные электронные письма, отправленные хакерами с вашего домена, но и ваши действительные электронные письма могут быть отклонены. Это как иметь защищенную папку, к которой никто не может получить доступ, и даже вы не можете получить к ней доступ (папка очень безопасна, но она бесполезна, если даже пользователь не может получить к ней доступ).

Процесс начинается с простого ввода базовой записи DMARC.

3 шага для устранения проблемы “No DMARC record found” 

1. Опубликуйте  запись SPF.

Используйте бесплатный генератор SPF записи EasyDMARC или любой другой, чтобы создать свою запись и опубликовать сгенерированную запись в вашем DNS.

Запись SPF выглядит следующим образом.

v=spf1 include:spf.easydmarc.com include:amazonses.com ip4:198.105.215.71/32  -all

2. Настройте идентификацию DKIM.

Далее вам нужно настроить свой почтовый сервер. Для этого вы можете использовать бесплатный генератор DKIM записи EasyDMARC для идентификации DKIM. Вот автоматический скрипт, который поможет вам настроить почтовый сервер Linux с помощью DKIM.

Для  правильного синтаксиса необходимо использовать  генераторы записей DKIM.

3. Опубликуйте запись DMARC.

Наконец готовы настроить запись  DMARC. Используйте бесплатный генератор DMARC записи EasyDMARC и опубликуйте сгенерированную запись в свой DNS.Во-первых, настоятельно рекомендуется иметь политику мониторинга (p=none). После получения успешных результатов мониторинга система предложит вам изменить опубликованную политику.

Не используйте политику p=reject в самом начале, если вы не уверены, что у вас есть правильная конфигурация и видимость в вашей почтовой инфраструктуре.

Очень важно подчеркнуть, что ни SPF, ни DKIM сами по себе не могут помешать киберпреступникам отправлять электронные письма с использованием вашего домена.

Имейте в виду, что только запись DMARC с политикой “p=reject” является самой мощной и стандартной в отрасли системой идентификации электронной почты. Однако добиться “p=reject” трудно, потому что размещение его в DNS без надлежащего мониторинга может привести к тому, что ваши действительные электронные письма будут отклонены.

Вы можете легко определить и устранить свои проблемы, автоматизировав свои отчеты с помощью EasyDMARC. Вот пример вышеупомянутых агрегированных отчетов DMARC:

Эти статьи помогут вам настроить DMARC-записи от различных провайдеров DNS:

• GoDaddy DNS

• Cloudflare DNS

• AWS DNS

• Azure DNS

Подводя итог, можно сказать, что настроить идентификацию электронной почты довольно просто, но профессионалы сделают это быстрее и качественнее.

Если вы видите “запись DMARC не найдено”, “запись DMARC не опубликован” или “запись DMARC отсутствует”, то вы уже находитесь на правильном пути, чтобы настроить аутентификацию вашей электронной почты.

Аутентификация эл. почты позволяет получателя эл. почты распознавать (идентифицировать) отправителя эл. почты. В этом смысле, DMARC один из самых лучших отраслевых решении, чтобы защищать ваш бизнес домен от фишинга или мошенничества с эл. почтой.

Три основных протокола для аутентификации эл. почты

1. SPF

Во-первых, SPF определяет происхождение, которое позволяет отправить эл. письмо для точного домена.

2. DKIM

Во-вторых, DKIM использует Public/Private Key (открытый/закрытый ключ) криптографический механизм, чтобы аутентифицировать отправителя и проверять защищенность эл. почты.

3. DMARC

В-третьих, и самый главный, DMARC позволяет владельцам доменов публиковать политику о том, как они хотели бы обрабатывать сообщения эл. почты из этого домена в случае неудачной проверки подлинности SPF или DKIM.

Три шага, чтобы исправить проблему “запись DMARC не найдена”

1. Публиковать запись SPF

Используйтесь любой бесплатный SPF запись генератор и публикуйте генерированный запись в ваш DNS.

Запись SPF выглядит как:

v=spf1 include:spf.example.ru include:example.ru ip4:98.105.215.79/32  -all

2. Настройте DKIM аутентификацию

Потом, вам нужно конфигурировать ваш почтовый сервер. Для этого вы можете использовать бесплатно DKIM запись генератор для DKIM аутентификации.

3. Публикуйте DMARC запись

В конце концов, вы готовы настроить ваш DMARC запись. Используйте любой бесплатный DMARC запись генератор и публикуйте генерированный запись в ваш DNS.

Сначала рекомендуется иметь политику мониторинга. После удачных результатов мониторинга можете поменять опубликованную политику.

Не используйте p=reject политику вначале, пока вы не убедитесь, что у вас правильные конфигурации и обзор в инфраструктуре эл. почты.

Очень важно подчеркнуть, что ни SPF ни DKIM одиночно не могут предотвращать киберпреступникам отправлять эл. письма употребляя ваш домен.

Запомните что только запись DMARC с политикой «p = reject» является самой мощной и стандартной отраслевой системой аутентификации электронной почты. Тем не менее, добиться «p = reject» сложно, потому что его размещение в DNS без надлежащего мониторинга может привести к отклонению ваших совершенно правильных электронных писем.

More Information About Dmarc Record Published

If you are encountering this error of No DMARC Record found, this means that your domain does not have a published DMARC record. DMARC Records are published via DNS as a text(TXT) record. They will let receiving servers know what they should do with non-aligned email received from your domain.

Domain-based Message Authentication, Reporting, and Conformance (DMARC) is a mechanism for improving mail handling by mail-receiving organizations. The ultimate purpose of DMARC, according to RFC-7489 is to provide a “mechanism by which email operators leverage existing authentication and policy advertisement technologies to enable both message-stream feedback and enforcement of policies against unauthenticated email. Email originating organizations utilize DMARC in order to express domain-level distribution policies/preferences for message validation, disposition, and reporting.

How DMARC Works:

DMARC adoption has risen dramatically and has a positive or negative impact on your email deliverability. All of the major email providers support DMARC. By some measures, 80% of mailboxes worldwide are protected by DMARC.

DMARC dramatically improves on SPF and DKIM by letting you:

• Monitor, detect and fix real world problems with your SPF and DKIM configuration
• See the email volumes you’re delivering to inboxes
• Identify threat emails pretending to come your domain. (Spoofing)
• Control the delivery of your email and defend against spoofing attacks.

How do I set it up?

It only takes a few minutes to get started with DMARC and you’ll see immediate benefits. The first thing you need to do is add a simple DNS record to enable DMARC reporting. If you would like MxToolBox to handle your DMARC reporting for you, just add this simple text (TXT) record to your domain’s DNS.

Setup DMARC Deliverability Report

What is DMARC Authentication?

To pass DMARC authentication, a message must both Pass and Align for either SPF or DKIM. Even if a message passed authentication for both SPF and DKIM, it could still fail DMARC authentication if one of them does not “align.” There are two ways to pass DMARC authentication:

SPF Passes, meaning the message was delivered from an IP address published in the SPF policy of the the SMTP envelope “mail from:” (mfrom) domain, and also

SPF Aligns, meaning the <From:> header visible to the end user matches the domain used to authenticate SPF. (e.g. the envelope “mail from:” domain)

-OR-

DKIM Passes, meaning the message was correctly signed by the d= domain in the DKIM header, and also

DKIM Aligns, meaning the <From:> header visible to the end user matches the d= domain in the DKIM header.

What is alignment again?

When a message is aligned, the end user recipient knows who really sent the message.

SPF and DKIM are only authentication mechanisms. Passing SPF or DKIM authentication only means the receiving organization can identify the real sending domain. But typically, the end user receiving the message never sees this domain. Instead, they see the “From:” address in the email header.

So it’s possible for a message to pass both SPF and DKIM authentication, but still trick the end user to thinking it came from someone else (i.e. spoofing). When a message is aligned, the friendly domain visible in the email client matches the domain used to authenticate with SPF or DKIM.

What DMARC Policy should I publish?

If a message fails DMARC authentication, the receiving organization should honor the “disposition” you publish in your DMARC policy. This is the p= value in your DMARC record: