Postigo
Начать
Аутентификация электронной почты простыми словами: SPF, DKIM, DMARC и BIMI

Аутентификация электронной почты простыми словами: SPF, DKIM, DMARC и BIMI

folder Email-инфраструктура calendar_today Мар 16, 2026 schedule 12 мин чтения
Brand protection DMARC BIMI Email security SPF DKIM email deliverability

Email authentication explained simply refers to a set of technical standards – specifically SPF, DKIM, DMARC, and BIMI – that verify the legitimacy of an email sender and the integrity of the message, significantly improving email deliverability and protecting against spoofing and phishing attacks. These protocols work together to build trust with receiving mail servers and, in the case of BIMI, with recipients directly through visual branding.

Email является фундаментальным каналом связи для бизнеса, обеспечивая все: от торговых рассылок и поддержки клиентов до критически важных транзакционных оповещений. Однако его открытая природа делает его уязвимым для злоупотреблений. Без надлежащих мер безопасности любой может отправить электронное письмо, выдавая себя за ваш бренд, что приведет к фишинговым атакам, жалобам на спам и серьезному ущербу для вашей репутации отправителя. Именно здесь аутентификация Email становится незаменимой, служа цифровым паспортом и проверкой безопасности для ваших исходящих сообщений.

Понимание и внедрение этих протоколов больше не является необязательным; это критически важный компонент любой успешной стратегии Email-маркетинга или холодных рассылок. Пренебрежение ими может привести к тому, что ваши легитимные электронные письма попадут в папки со спамом или, что еще хуже, будут полностью отклонены крупными Email-провайдерами, такими как Gmail, Outlook и Yahoo.

Что такое аутентификация Email и почему она важна для доставляемости?

Аутентификация Email — это технический процесс, который позволяет почтовым серверам проверять, что входящее электронное письмо действительно отправлено тем отправителем, за которого оно себя выдает, и что его содержимое не было изменено во время передачи. Думайте об этом как о многоуровневой системе безопасности для ваших Email. Когда Email-сервер получает сообщение, он выполняет ряд проверок по опубликованным DNS-записям вашего домена, чтобы подтвердить его подлинность.

Основная цель аутентификации Email — борьба со спамом, фишингом и подделкой Email. Когда ваши электронные письма должным образом аутентифицированы, принимающие серверы доверяют вашим сообщениям. Это доверие напрямую приводит к улучшению доставляемости Email, гарантируя, что ваши кампании попадут во входящие, а не будут помечены как подозрительные. Для маркетологов и специалистов по продажам более высокая доставляемость означает лучшие показатели открытий, CTR и, в конечном итоге, более высокий ROI от их Email-усилий. Без надежной аутентификации даже идеально составленные электронные письма могут страдать от высоких показателей отказов и плохого размещения во входящих.

SPF объяснение: как работает Sender Policy Framework

Sender Policy Framework (SPF) — это первая линия защиты в аутентификации Email. Его основная цель — предотвратить использование вашего домена неавторизованными отправителями для отправки электронных писем. SPF работает, позволяя владельцам доменов публиковать список авторизованных почтовых серверов, которым разрешено отправлять Email от имени их домена.

Когда принимающий почтовый сервер получает электронное письмо, он проверяет SPF-запись домена отправителя в DNS. Если IP-адрес отправляющего сервера совпадает с одним из указанных в SPF-записи, Email проходит SPF-аутентификацию. Если нет, Email не проходит проверку, что сигнализирует о потенциальной подделке.

Пример SPF-записи и проверка

SPF-запись — это TXT-запись, добавляемая в DNS-настройки вашего домена. Она указывает, каким почтовым серверам разрешено отправлять Email для вашего домена.

Вот распространенный пример SPF-записи:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all

Давайте разберем эту SPF-запись:

  • v=spf1: Указывает используемую версию SPF (всегда SPFv1).
  • include:_spf.google.com: Авторизует почтовые серверы Google (например, для Gmail или Google Workspace) для отправки Email от вашего имени.
  • include:sendgrid.net: Авторизует почтовые серверы SendGrid для отправки Email для вашего домена.
  • ip4:192.0.2.1: Авторизует конкретный IP-адрес (192.0.2.1) для отправки Email для вашего домена.
  • ~all: Это механизм "отказа".
    • -all (Hard Fail): Любой сервер, явно не указанный, *не* авторизован, и Email должен быть отклонен. Это самая строгая политика, но она может быть рискованной, если не все отправители учтены.
    • ~all (Soft Fail): Любой сервер, явно не указанный, *вероятно*, не авторизован, но Email все равно должен быть принят (хотя он может быть помечен как спам). Это более мягкая и распространенная отправная точка.
    • ?all (Neutral): Политика не указана; Email может быть авторизован или нет. Это не обеспечивает никакой защиты.

Ключевая рекомендация: Всегда стремитесь к -all, как только вы убедитесь, что все ваши легитимные источники отправки включены в вашу SPF-запись. Наличие нескольких операторов include является обычным явлением, но помните, что SPF-записи имеют ограничение в 10 поисков, что может быть проблемой для сложных настроек.

Чтобы проверить вашу настройку SPF, вы можете использовать онлайн SPF-чекер, такой как Postigo. Этот инструмент проанализирует SPF-запись вашего домена и выявит любые потенциальные проблемы или неправильные настройки, которые могут повлиять на доставляемость.

Нужно проверить email-список перед отправкой?

Postigo предлагает бесплатные инструменты валидации email, проверки MX и доставляемости — без регистрации.

Попробовать бесплатно →

DKIM объяснение: цифровая подпись ваших Email

DomainKeys Identified Mail (DKIM) добавляет еще один уровень безопасности, предоставляя криптографическую подпись, которая проверяет отправителя и гарантирует, что содержимое Email не было изменено во время передачи. В то время как SPF аутентифицирует отправляющий сервер, DKIM аутентифицирует *само сообщение* Email.

Как работает DKIM:

  1. Когда Email покидает ваш сервер, генерируется уникальная цифровая подпись на основе частей Email (таких как заголовок и тело) с использованием закрытого ключа.
  2. Эта подпись встраивается в заголовок Email.
  3. DNS-записи вашего домена содержат открытый ключ, соответствующий закрытому ключу.
  4. Принимающий почтовый сервер использует этот открытый ключ для расшифровки подписи и проверки ее соответствия содержимому Email. Если они совпадают, DKIM проходит проверку. Если нет, Email может быть помечен.

Этот процесс гарантирует, что Email действительно был отправлен с вашего домена и что его содержимое не было изменено неавторизованной третьей стороной, защищая от атак типа "человек посередине".

Пример DKIM-записи и проверка

DKIM-запись также является TXT-записью в вашем DNS, но она использует "селектор" для различения нескольких DKIM-ключей для одного и того же домена (например, если вы используете разные службы отправки).

Вот типичный формат DKIM-записи:

selector._domainkey.yourdomain.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDn1s...[long string of characters]...IDAQAB"
  • selector: Уникальное имя (например, s1, google, default), выбранное вашим поставщиком услуг Email.
  • _domainkey: Фиксированная часть имени хоста для DKIM-записей.
  • v=DKIM1: Указывает версию DKIM.
  • k=rsa: Указывает используемый криптографический алгоритм (RSA является стандартом).
  • p=...: Это открытый ключ, длинная строка символов, которую принимающий сервер использует для проверки подписи.

Примечание по реализации: Обычно вы генерируете DKIM-ключи через своего поставщика услуг Email (например, Postigo, SendGrid, Amazon SES, Gmail SMTP для пользовательских доменов). Они предоставят селектор и строку открытого ключа для добавления в ваш DNS.

Чтобы проверить DKIM, отправьте Email с вашего настроенного домена на службу, такую как [email protected], или просто проверьте заголовки Email в клиенте, таком как Gmail или Outlook. Ищите DKIM: pass или DKIM: 'PASS' в результатах аутентификации.

DMARC объяснение: обеспечение вашей политики безопасности Email

Domain-based Message Authentication, Reporting, and Conformance (DMARC) основывается на SPF и DKIM, предоставляя политику для того, как принимающие почтовые серверы должны обрабатывать электронные письма, которые не прошли аутентификацию, и механизм для сообщения об этих сбоях владельцу домена. DMARC — это уровень принудительного исполнения, который действительно дает владельцам доменов возможность контролировать безопасность своих Email.

Как работает DMARC:

  1. Принимающий сервер проверяет входящее электронное письмо на соответствие SPF и DKIM. Соответствие означает, что домен "From" в заголовке Email совпадает с доменом, используемым для проверки SPF и DKIM.
  2. Если и SPF, и DKIM проходят проверку и соответствуют, Email проходит DMARC.
  3. Если один или оба не проходят проверку или не соответствуют, DMARC-запись указывает, какое действие предпринять:
    • p=none: Режим мониторинга. Не предпринимать никаких действий, но отправлять отчеты. Идеально для первоначальной настройки.
    • p=quarantine: Отправлять электронные письма, которые не прошли DMARC, в папку спама/нежелательной почты получателя.
    • p=reject: Полностью блокировать электронные письма, которые не прошли DMARC. Это самая строгая политика.
  4. DMARC также позволяет владельцам доменов получать агрегированные (rua) и судебные (ruf) отчеты, подробно описывающие сбои аутентификации, предоставляя бесценную информацию о потенциальных попытках подделки и проблемах с доставкой легитимных Email.

Внедрение DMARC значительно повышает защиту вашего бренда от фишинга и улучшает доставляемость, четко сообщая принимающим серверам, как обрабатывать неаутентифицированную почту с вашего домена.

Пример DMARC-записи и проверка

DMARC-запись — это TXT-запись, размещенная по адресу _dmarc.yourdomain.com.

Вот пример DMARC-записи на начальной стадии мониторинга:

_dmarc.yourdomain.com TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100; adkim=r; aspf=r"

Давайте разберем теги DMARC-записи:

  • v=DMARC1: Указывает версию DMARC.
  • p=none: Политика для неаутентифицированных Email. none — для мониторинга. Другие варианты — quarantine и reject.
  • rua=mailto:[email protected]: Адрес Email для получения агрегированных отчетов, которые суммируют результаты аутентификации DMARC.
  • ruf=mailto:[email protected]: (Необязательно) Адрес Email для получения судебных отчетов, которые предоставляют более подробную информацию об отдельных сбоях.
  • pct=100: Процент Email, к которым применяется политика DMARC. 100 означает все Email. Полезно для постепенного внедрения (например, pct=10).
  • adkim=r (relaxed) / adkim=s (strict): Режим соответствия для DKIM. relaxed более снисходителен.
  • aspf=r (relaxed) / aspf=s (strict): Режим соответствия для SPF. relaxed более снисходителен.

Стратегия внедрения DMARC: Начните с p=none и отслеживайте отчеты в течение нескольких недель или месяцев. Это позволит вам определить все легитимные источники отправки. Как только вы будете уверены, переходите к p=quarantine (возможно, сначала с pct=10), а затем к p=reject для максимальной защиты. Настоятельно рекомендуются службы мониторинга DMARC для анализа и визуализации сложных отчетов.

BIMI объяснение: отображение логотипа вашего бренда во входящих

Brand Indicators for Message Identification (BIMI) — это новейший стандарт аутентификации Email, разработанный для визуального представления вашего бренда во входящих сообщениях получателя. BIMI позволяет логотипу вашего бренда отображаться рядом с вашими аутентифицированными электронными письмами в поддерживаемых Email-клиентах (таких как Gmail, Yahoo, Apple Mail), создавая последовательный и заслуживающий доверия визуальный опыт для получателей.

В то время как SPF, DKIM и DMARC работают за кулисами для проверки подлинности, BIMI предоставляет ощутимую выгоду конечному пользователю. Он сигнализирует получателям, что Email является легитимным и от проверенного отправителя, потенциально увеличивая показатели открытий и формируя узнаваемость бренда. Некоторые исследования показали, что BIMI может увеличить показатели открытий на 10% и более, так как получатели с большей вероятностью доверяют Email с узнаваемым логотипом.

Пример BIMI-записи и требования к настройке

BIMI также использует TXT-запись в вашем DNS, обычно по адресу default._bimi.yourdomain.com.

Вот пример BIMI-записи:

default._bimi.yourdomain.com TXT "v=BIMI1; l=https://yourdomain.com/path/to/logo.svg; a=https://yourdomain.com/path/to/vmc.pem"

Давайте разберем теги BIMI-записи:

  • v=BIMI1: Указывает версию BIMI.
  • l=https://yourdomain.com/path/to/logo.svg: URL, указывающий на логотип вашего бренда в формате SVG. SVG-файл должен соответствовать определенным требованиям (например, квадратное соотношение сторон, небольшой размер файла).
  • a=https://yourdomain.com/path/to/vmc.pem: URL, указывающий на ваш Verified Mark Certificate (VMC). Это критически важное требование для большинства крупных почтовых провайдеров для отображения вашего логотипа.

Ключевые требования BIMI:

  1. Принудительное применение DMARC: Вы должны иметь политику DMARC, установленную на p=quarantine или p=reject с pct=100. Это обеспечивает высокий уровень безопасности Email до отображения вашего логотипа.
  2. Verified Mark Certificate (VMC): VMC — это цифровой сертификат, выданный доверенным центром сертификации (CA), который подтверждает ваше право собственности на логотип и ваш бренд. Получение VMC обычно включает строгий процесс проверки и ежегодные расходы, часто от 1000 до 1500 долларов в год.
  3. Торговая марка: Ваш логотип обычно должен быть зарегистрированной торговой маркой в юрисдикциях, где вы хотите, чтобы BIMI отображался.
  4. SVG-логотип: Логотип должен быть в формате Scalable Vector Graphics (SVG), соответствующем определенным техническим стандартам.

BIMI — это последний шаг в комплексной стратегии аутентификации Email, предлагающий значительное визуальное преимущество в переполненной папке входящих.

Сравнение SPF, DKIM, DMARC и BIMI: краткое руководство

Хотя каждый протокол служит своей цели, они образуют надежную, взаимосвязанную систему для безопасности Email и идентификации бренда. Вот сравнение:

Характеристика SPF (Sender Policy Framework) DKIM (DomainKeys Identified Mail) DMARC (Domain-based Message Authentication, Reporting, and Conformance) BIMI (Brand Indicators for Message Identification)
Основная цель Авторизует отправляющие серверы по IP-адресу. Проверяет целостность сообщения и личность отправителя с помощью цифровой подписи. Применяет политики SPF/DKIM и предоставляет отчеты о сбоях аутентификации. Отображает логотип вашего бренда рядом с аутентифицированными Email во входящих.
Что проверяет Авторизован ли отправляющий IP владельцем домена? Неизменено ли содержимое Email и легитимен ли домен отправителя? Проходят ли SPF и DKIM проверку И соответствуют ли они домену "From"? Какое действие предпринять, если нет? Применяется ли DMARC и есть ли проверенный логотип?
Тип записи DNS TXT-запись DNS TXT-запись (с селектором) DNS TXT-запись (по адресу _dmarc.yourdomain.com) DNS TXT-запись (по адресу default._bimi.yourdomain.com)
Влияние на доставляемость Важно для предотвращения подделки и улучшения размещения во входящих. Критически важно для проверки целостности сообщения и доверия отправителю, что способствует доставляемости. Критически важно для обеспечения аутентификации, получения видимости в потоках Email и максимизации доставляемости. Повышает доверие к бренду и узнаваемость, потенциально увеличивая показатели открытий (до 10%+).
Сложность настройки Низкая до средней (управление включениями) Средняя (генерация ключей, добавление селекторов) Средняя до высокой (внедрение политики, анализ отчетов) Высокая (принудительное применение DMARC, VMC, специфические требования к SVG)
Стоимость Бесплатно Бесплатно Бесплатно (базовая настройка), Платно (службы мониторинга DMARC ~$50-500/месяц) Платно (VMC ~$1000-1500/год, регистрация торговой марки)
Зависимости Нет Нет (но лучше всего работает с SPF) Требует работающих реализаций SPF и DKIM. Требует DMARC с p=quarantine или p=reject.

Как проверить настройку аутентификации Email

После настройки ваших SPF, DKIM, DMARC и BIMI-записей, проверка крайне важна для обеспечения правильной работы всего и защиты ваших Email. Неправильные настройки могут привести к значительным проблемам с доставляемостью, фактически сводя на нет преимущества этих протоколов.

Вот пошаговый подход к проверке настройки аутентификации Email:

  1. Проверьте свои DNS-записи:
    • Используйте онлайн-инструменты поиска DNS (такие как команды dig или nslookup, или веб-сервисы), чтобы убедиться, что ваши TXT-записи для SPF, DKIM, DMARC и BIMI опубликованы правильно и видны по всему миру.
    • Для SPF используйте SPF-чекер Postigo для анализа вашей записи на наличие синтаксических ошибок, слишком большого количества поисков или других проблем.
    • Для DKIM убедитесь, что открытый ключ введен правильно, без лишних пробелов или символов.
    • Для DMARC подтвердите наличие записи поддомена _dmarc.
    • Для BIMI проверьте, существует ли запись поддомена _bimi и указывает ли она на ваш SVG-логотип и VMC.
  2. Отправьте тестовые Email:
    • Отправляйте Email с вашего аутентифицированного домена различным поставщикам Email (Gmail, Outlook, Yahoo и т. д.) и специализированным службам тестирования аутентификации Email.
    • Рекомендуемые тестовые службы:
      • [email protected]: Предоставляет подробный отчет о результатах SPF, DKIM и DMARC.
      • mail-tester.com: Дает комплексную оценку и разбивку факторов доставляемости, включая аутентификацию.
      • email-tester.com: Еще один хороший вариант для проверки статуса аутентификации.
  3. Проверьте заголовки Email:
    • После отправки тестового Email откройте его в своем Email-клиенте (например, Gmail, Outlook) и просмотрите исходное сообщение или детали заголовка.
    • Ищите строки типа Authentication-Results: или X-Authentication-Results:.
    • Вы должны увидеть spf=pass, dkim=pass и dmarc=pass для вашего домена. Если вы видите fail, softfail или none, значит, есть проблема.
  4. Мониторинг отчетов DMARC:
    • Если вы настроили агрегированные (rua) отчеты в своей DMARC-записи, вы начнете получать ежедневные XML-файлы. Используйте службу отчетов DMARC (существует множество бесплатных и платных вариантов) для анализа этих отчетов в удобочитаемые дашборды.
    • Эти отчеты покажут вам, сколько Email отправляется с вашего домена, какие из них проходят/не проходят SPF и DKIM, и какие IP-адреса их отправляют. Это бесценно для выявления неавторизованных отправителей и уточнения ваших конфигураций SPF/DKIM.
  5. Проверьте отображение BIMI:
    • Отправьте тестовое Email на адрес Gmail или Yahoo. Если ваша настройка BIMI верна и DMARC применен, ваш логотип должен появиться рядом с именем отправителя в списке входящих.
    • Убедитесь, что ваш SVG-логотип соответствует всем техническим спецификациям и что ваш VMC действителен.

Постоянно проверяя свои записи безопасности Email и отслеживая отчеты, вы можете гарантировать, что ваша аутентификация Email остается надежной, защищая ваш бренд и максимизируя вашу доставляемость. Postigo также предлагает инструмент отчета о доставляемости Email, который предоставляет всесторонний обзор вашей Email-инфраструктуры, включая аутентификацию.

Ключевые выводы

Внедрение SPF, DKIM, DMARC и BIMI больше не является лучшей практикой, а является фундаментальным требованием для любого бизнеса, полагающегося на Email. Эти протоколы совместно обеспечивают аутентификацию, безопасность и визуальную надежность ваших Email, напрямую влияя на вашу доставляемость и репутацию бренда. Приоритетом является создание DMARC с принудительной политикой для получения полного контроля над вашей Email-экосистемой и рассмотрение BIMI для повышения видимости бренда во входящих.

Готовы запустить email-кампанию?

Начните с 500 бесплатных писем. AI-персонализация, SMTP-ротация и аналитика в реальном времени.

Начать бесплатно →

Похожие статьи

SMTP Relay vs Direct Sending: Which Is Better for Cold Email?

SMTP-ретранслятор против прямой отправки: что лучше для холодных писем?

Мар 16, 2026
DNS Records for Email: The Complete Guide to MX, SPF, DKIM, and DMARC

DNS-записи для электронной почты: полное руководство по MX, SPF, DKIM и DMARC

Мар 16, 2026
How to Set Up Multiple Domains for Cold Email Without Getting Banned

Как настроить несколько доменов для холодных писем, чтобы избежать бана

Мар 16, 2026

Готовы масштабировать рассылки?

Начните отправлять персонализированные холодные письма с AI-автоматизацией. Бесплатный пробный период, карта не нужна.

Начать бесплатно arrow_forward