Live Direct Marketing
ГоловнаБлогДоставність

DMARC-політика для холодних B2B-розсилок: від none до reject без втрати доставлюваності

12 липня 2026 · 8 хв читання · Гайд: Доставність

Якщо у вашому DMARC record стоїть p=none, домен технічно захищений лише на папері — звіти приходять, а спамери й далі можуть підробляти адресу відправника. Перехід на quarantine чи reject реально закриває цю діру, але зроблений різко він ламає доставлюваність саме тоді, коли йде активна холодна кампанія. Розберемо, чим відрізняються рівні політики і як пройти шлях безпечно.

Коротко
  • p=none лише збирає звіти, не блокує підроблені листи — це етап спостереження, а не захисту
  • Перехід на quarantine чи reject робіть тільки після кількох тижнів чистих DMARC-звітів без невідомих джерел відправки
  • DMARC policy reject vs quarantine: quarantine м'якше (лист у спам), reject жорсткіше (лист відхиляється повністю)
  • Помилка dmarc policy not enabled чи відсутній dmarc record — це відкрита ціль для фішингу під вашим доменом
  • Для доменів із активними cold email кампаніями LDM тримає окремі піддомени та поетапний rollout політики

Чому DMARC не зводиться до одного запису в DNS

DMARC (Domain-based Message Authentication, Reporting and Conformance) працює поверх SPF і DKIM: він каже поштовим серверам, що робити з листом, який не пройшов ці перевірки від імені вашого домену. Сам по собі dmarc record — це один TXT-запис у зоні _dmarc.вашдомен.com, але його реальна дія залежить від значення тега p= — policy.

Проблема в тому, що більшість гайдів радять одразу ставити p=reject «для безпеки», не пояснюючи, що це рішення без відкату вручну: якщо у вас є забутий сервіс розсилки, CRM-інтеграція чи маркетинговий інструмент, що надсилає листи від імені домену без коректного SPF/DKIM, reject просто відхилить ці листи мовчки. Для домену, який одночасно веде холодні B2B-кампанії, це критично — саме нові листи від незнайомих отримувачам відправників найчастіше потрапляють під підозру.

Три рівні політики: none, quarantine, reject

DMARC policy reject vs quarantine — не про «краще/гірше», а про різну жорсткість дії щодо листів, які провалили автентифікацію.

Як безпечно пройти шлях від none до reject

Правильна послідовність завжди починається зі збору даних, а не з жорсткої дії. Використовуйте dmarc policy checker або будь-який сервіс агрегації DMARC-звітів (є безкоштовні варіанти для малого об'єму пошти), щоб побачити повну картину джерел відправки за вашим доменом.

Тримайте p=none щонайменше 2-4 тижні для домену з помірним трафіком, довше — якщо у вас є сезонні розсилки чи рідко активні інтеграції (наприклад, бухгалтерський сервіс, що шле рахунки раз на квартал). За цей час у звітах мають з'явитися всі легітимні джерела: поштовий провайдер, CRM, платформа для cold email, транзакційні сервіси.

Коли всі легітимні джерела ідентифіковані та проходять SPF або DKIM alignment, переходьте на quarantine з pct=25, поступово піднімаючи відсоток до 100 протягом кількох тижнів. Тільки після стабільного quarantine без нових проблем варто переходити на reject — спочатку теж із частковим pct.

Що станеться, якщо DMARC взагалі не налаштований

Помилка dmarc policy not enabled (або повна відсутність запису _dmarc) означає, що домен не має жодного захисту від спуфінгу. Будь-хто може надіслати лист «від вашого імені» на будь-яку адресу, і без DMARC поштові сервери отримувача не мають чіткої інструкції, що з таким листом робити — рішення лишається на розсуд їхніх внутрішніх алгоритмів.

Для домену, що веде холодні кампанії, це подвійний ризик. По-перше, конкуренти чи шахраї можуть використати ваш бренд для фішингу партнерів — типова схема в Україні: підроблений лист нібито від постачальника з проханням змінити реквізити оплати. По-друге, відсутність DMARC сама по собі знижує довіру до домену в очах Gmail і Outlook, що погіршує доставлюваність навіть легітимних холодних листів, особливо якщо домен молодий і ще не напрацював репутацію.

Типові помилки при впровадженні

Найчастіша помилка — ставити p=reject одразу, «щоб не витрачати час на проміжні кроки». Наслідок: частина CRM-сповіщень, автоматичних відповідей чи листів через сторонні сервіси розсилки перестає доходити без жодного попередження, і власник домену дізнається про це тільки зі скарг клієнтів.

Друга поширена помилка — плутати DMARC record із SPF record: без коректно налаштованих SPF і DKIM для всіх джерел відправки (включно з платформою для холодних розсилок) навіть м'яка quarantine-політика почне блокувати легітимну пошту.

Як LDM веде домени клієнтів через цей перехід

Для клієнтів, які запускають активні холодні B2B-кампанії, ми радимо окремі піддомени для відправки (наприклад outreach.вашкомпанія.com) — це ізолює репутаційний ризик холодної пошти від основного корпоративного домену, де йдуть рахунки, договори та відповіді клієнтам.

Практичний чек-лист, яким ми користуємось під час впровадження DMARC для нових доменів: перевірити наявність і коректність dmarc records через dmarc policy checker, зібрати мінімум 2-3 тижні звітів на p=none, звірити всі джерела відправки з реальним списком інструментів компанії, і тільки потім переходити на quarantine з поступовим pct.

Приклад

Приклад DNS-запису для стартового моніторингового етапу: _dmarc.company.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@company.com; pct=100" — на цьому етапі ще нічого не блокується, лише збираються звіти про всі джерела відправки від імені домену.

Питання й відповіді

Скільки часу потрібно тримати DMARC на p=none перед переходом на quarantine?

Зазвичай 2-4 тижні достатньо для домену з передбачуваним трафіком, але якщо є сезонні чи квартальні розсилки (бухгалтерія, звітність), варто дочекатися хоча б одного такого циклу, щоб не пропустити легітимне джерело у звітах.

DMARC policy reject vs quarantine — що обрати для нового домену, який ще не мав історії відправки?

Для нового домену без напрацьованих SPF/DKIM почніть з none, потім quarantine з невеликим pct — reject одразу на молодому домені ризикований, бо навіть незначні помилки в налаштуванні заблокують усю пошту без попередження.

Що робити, якщо dmarc policy checker показує невідоме джерело відправки?

Спершу з'ясуйте, чи це легітимний сервіс (наприклад, забутий маркетинговий інструмент чи CRM-плагін) — якщо так, додайте його SPF-запис або налаштуйте DKIM-підпис; якщо джерело незрозуміле й підозріле, це сигнал потенційного спуфінгу вашого домену.

Чи впливає DMARC-політика напряму на open rate холодних листів?

Опосередковано так: коректний DMARC на reject-рівні підвищує довіру поштових провайдерів до домену загалом, що покращує потрапляння у Вхідні, а не у спам, і відповідно піднімає open rate холодних кампаній.

Що означає помилка dmarc policy not enabled в перевірочних сервісах?

Це означає, що для домену відсутній коректний _dmarc TXT-запис у DNS-зоні — домен не має жодного захисту від підробки адреси відправника, і це варто виправити навіть на рівні p=none як перший крок.

Чи можна мати різну DMARC-політику для основного домену й піддомену для розсилок?

Так, і це поширена практика: субдомен для холодних кампаній (наприклад outreach.company.com) може мати власний DMARC record, окремий від кореневого домену, що дозволяє незалежно керувати репутацією та швидкістю rollout політики.

Важливо: це не масова розсилка і не спам. Ми працюємо адресно: кожне повідомлення надсилається конкретному представнику конкретної компанії з легітимного ділового приводу, невеликими щоденними обсягами та з персоналізацією під отримувача. У кожному листі вказано відправника і працює відписка в один клік; відписки та стоп-листи застосовуються до всіх наступних кампаній без винятків.

Хочете застосувати це у своєму аутрічі?

Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.

Обговорити задачу