SPF, DKIM и DMARC — это три DNS-записи, которые определяют, попадут ли ваши письма во входящие или в спам. С 2024 года Google требует эти стандарты аутентификации от всех массовых отправителей — их игнорирование означает, что ваши письма попадут в спам или будут отклонены. Это руководство покажет вам настройку шаг за шагом.
Что такое аутентификация email и почему это важно?
Аутентификация email — это набор технических стандартов, позволяющих провайдерам проверить, действительно ли письмо пришло от указанного домена отправителя. Проблема: оригинальный протокол email (SMTP) не имеет встроенной проверки отправителя. Любой может технически отправить письмо с любым адресом отправителя.
Три стандарта аутентификации решают эту проблему разными способами:
| Стандарт | Механизм защиты | От чего |
|---|---|---|
| SPF | Белый список авторизованных серверов | Спуфинг с несанкционированных серверов |
| DKIM | Криптографическая подпись сообщения | Изменение при передаче |
| DMARC | Политика при сбоях аутентификации | Несанкционированное использование домена |
С февраля 2024 года Google требует, чтобы все отправители, рассылающие более 5 000 писем в день на Gmail, настроили SPF, DKIM и DMARC. Microsoft следует в 2025 году. Для холодных писем эти стандарты больше не являются опциональными — они обязательны.
Настройка SPF — шаг за шагом
Что такое SPF-запись?
SPF-запись — это TXT-запись в вашем DNS, которая перечисляет серверы, авторизованные отправлять письма от вашего имени.
Базовая структура SPF-записи
v=spf1 include:_spf.google.com ~all
| Элемент | Значение |
|---|---|
v=spf1 | Версия протокола SPF (всегда одинакова) |
include:domain.com | Авторизует все серверы указанного провайдера |
ip4:1.2.3.4 | Авторизует отдельный IPv4-адрес |
~all | Soft Fail: пометить другие серверы как подозрительные |
-all | Hard Fail: отклонить другие серверы |
SPF-записи для наиболее распространённых провайдеров
| Провайдер | SPF-запись |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
Важнейшее правило: Допускается только одна SPF-запись на домен. Если вы используете несколько провайдеров email, объедините их в одной записи:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
Настройка DKIM — цифровая подпись
Как работает DKIM
DKIM (DomainKeys Identified Mail) использует пару ключей: закрытый ключ на вашем почтовом сервере и открытый ключ в вашем DNS. Каждое исходящее письмо подписывается закрытым ключом. Принимающий сервер читает открытый ключ из DNS и проверяет подпись.
Настройка DKIM в Google Workspace
- Откройте Google Admin Console (admin.google.com)
- Перейдите в Приложения → Google Workspace → Gmail → Аутентификация email
- Выберите ваш домен
- Нажмите "Создать новую запись" (рекомендуется 2048 бит)
- Добавьте TXT-запись в ваш DNS (Имя:
google._domainkey, Тип: TXT) - Подождите 15-30 минут, затем нажмите "Начать аутентификацию DKIM"
Настройка DMARC — политика
Модель поэтапного внедрения DMARC
Никогда не начинайте с жёсткой политики:
| Фаза | Запись | Значение | Продолжительность |
|---|---|---|---|
| Фаза 1 | p=none | Только мониторинг | 2-4 недели |
| Фаза 2 | p=quarantine; pct=25 | 25% подозрительных в спам | 2 недели |
| Фаза 3 | p=quarantine; pct=100 | Все подозрительные в спам | 2-4 недели |
| Фаза 4 | p=reject | Отклонять подозрительные | Постоянно |
Настройка DMARC-записи
Фаза 1 (начало):
Имя: _dmarc.вашдомен.ru
Тип: TXT
Значение: v=DMARC1; p=none; rua=mailto:dmarc@вашдомен.ru; fo=1
Частые ошибки и как их избежать
- Несколько SPF-записей: Допускается только одна. Объедините всё в одну запись.
- DMARC до SPF и DKIM: Сначала настройте SPF и DKIM, затем DMARC с
p=none. - Слишком много DNS-запросов в SPF: Лимит — 10. Минимизируйте директивы
include:. - Неправильный статус прокси в Cloudflare: TXT-записи должны быть в режиме "DNS only".
- Начало сразу с
p=reject: Всегда начинайте сp=noneи анализируйте отчёты.
Проверка с помощью инструментов
- MXToolbox (mxtoolbox.com): Отдельные проверки для SPF, DKIM и DMARC
- Google Admin Toolbox (toolbox.googleapps.com): Проверяет все DNS-записи за один шаг
- mail-tester.com: Отправьте реальное письмо и получите оценку спама от 0 до 10
Цель: 9/10 или выше на mail-tester.com.
Часто задаваемые вопросы
Что такое SPF и зачем он нужен?
SPF — это DNS-запись, которая указывает, какие серверы могут отправлять письма от имени вашего домена. Без SPF провайдеры не могут проверить ваши письма и часто отправляют их в спам.
В чём разница между DKIM и SPF?
SPF проверяет авторизацию сервера; DKIM подписывает письмо криптографически. Они дополняют друг друга.
Что будет, если неправильно настроить DMARC?
Неправильно настроенный DMARC с политикой "reject" может привести к отклонению всех ваших писем. Всегда начинайте с p=none и меняйте политику только после анализа отчётов в течение 2-4 недель.
Сколько времени занимает применение изменений DNS?
Распространение DNS может занять от 15 минут до 48 часов; типично — 1-4 часа.
Нужны ли SPF, DKIM и DMARC для холодных писем?
Да, все три обязательны. Без правильной аутентификации ваши письма, скорее всего, попадут в спам.