SPF, DKIM и DMARC — настройка

SPF, DKIM и DMARC — три механизма аутентификации почты. Все три прописываются в DNS вашего домена. Без них cold-email рассылки попадают в спам у Gmail, Outlook и большинства корпоративных провайдеров — даже если SMTP-аккаунт прогрет идеально.

SPF — кому разрешено отправлять

SPF (Sender Policy Framework) — TXT-запись в DNS, которая перечисляет IP-адреса и серверы, имеющие право отправлять почту от имени вашего домена. Если письмо приходит от домена example.com, но IP отправителя не указан в SPF example.com — это сигнал спуфинга.

Пример SPF-записи для Gmail Workspace:

v=spf1 include:_spf.google.com ~all

Для Amazon SES:

v=spf1 include:amazonses.com ~all

Для нескольких провайдеров одновременно:

v=spf1 include:_spf.google.com include:amazonses.com ~all

Важно: можно иметь только одну SPF-запись на домен, а внутри неё перечислять include через пробел. Две SPF записи — это ошибка, многие провайдеры отбрасывают такие письма.

DKIM — криптоподпись писем

DKIM (DomainKeys Identified Mail) — каждое исходящее письмо подписывается приватным ключом, а публичный ключ публикуется в DNS. Получатель проверяет подпись и убеждается что письмо действительно от вашего домена и не было изменено в пути.

DKIM настраивается на стороне SMTP-провайдера. Для Gmail Workspace включается в Admin Console → Apps → Gmail → Authenticate email. Получаете строку для DNS вида:

google._domainkey.example.com TXT v=DKIM1; k=rsa; p=MIIBIjANB...

После добавления DNS-записи кнопка «Start authentication» в Gmail Admin начнёт подписывать исходящие письма автоматически.

DMARC — что делать при несоответствии

DMARC (Domain-based Message Authentication, Reporting & Conformance) — политика, которая говорит провайдерам что делать, если письмо не прошло SPF или DKIM. Также включает отчёты на ваш email о подозрительных отправлениях.

Минимальная DMARC-запись:

_dmarc.example.com TXT v=DMARC1; p=none; rua=mailto:[email protected]

Параметры политики:

• p=none — только мониторинг, ничего не блокировать. Используйте на старте, чтобы получать отчёты и не сломать легитимные письма
• p=quarantine — подозрительные письма в спам
• p=reject — подозрительные письма отбрасывать. Финальное состояние, переход на reject делайте после нескольких недель quarantine без проблем

Проверка

В Postigo есть встроенные валидаторы: SPF Checker, MX Checker. Также рекомендуем mxtoolbox.com и mail-tester.com для дополнительной проверки.

В Gmail при получении тестового письма откройте «Show original» — увидите блок Authentication-Results, в нём должно быть spf=pass, dkim=pass, dmarc=pass. Если хотя бы одно «fail» — настройка ещё не закончена.

Сколько ждать после изменения DNS

DNS-записи распространяются от 5 минут до 48 часов в зависимости от провайдера и TTL. На практике большинство провайдеров видит изменения за 1-4 часа. Не запускайте рассылку сразу после изменения DNS — подождите хотя бы час и проверьте через mxtoolbox.