Введение

Ваши письма снова оказались в «Спаме»? Знакомая ситуация: вы старательно подготовили email-рассылку или отправляете клиентам важные письма (например, подтверждения заказов), но они так и не доходят до «Входящих». Вместо этого сообщения оседают в папке спама или вовсе блокируются почтовыми сервисами. Это не только обидно, но и бьёт по бизнесу – клиенты не получают информацию, падают открываемость и продажи. Хорошая новость: решение есть, и оно кроется в правильной настройке трёх ключевых технологий для почты – SPF, DKIM и DMARC. Эти аббревиатуры могут звучать пугающе, но дальше мы простым языком объясним, что они значат, зачем нужны и как их настроить шаг за шагом, чтобы ваши письма наконец начали доходить до адресатов, а не в спам.

Как перестать попадать в спам: настройка SPF, DKIM и DMARC

Прежде чем перейти к практике, давайте разберёмся в теории – что же такое SPF, DKIM и DMARC и почему без них ваши письма рискуют оказаться в спаме. Представим простую аналогию из мира обычной почты:

• SPF – это как список доверенных отправителей, своего рода белый список почтальонов, которым вы разрешаете доставлять письма от имени вашей компании.
• DKIM – это печать или подпись на каждом письме, гарантирующая его подлинность. Как восковая печать на конверте: получатель может проверить, что письмо действительно от вас и не подделано по дороге.
• DMARC – это ваши инструкции почтовому сервису, что делать с письмом, если оно не прошло проверки SPF/DKIM. Проще говоря, это политика: доставить такое письмо, пометить как спам или вовсе отклонить, плюс сообщить вам о попытке подделки.

SPF, DKIM и DMARC: что это и зачем нужны?

Что такое SPF?

SPF (Sender Policy Framework) – это текстовая запись в DNS вашего домена, в которой перечислены сервера и IP-адреса, имеющие право отправлять почту от имени вашего домена. Иными словами, SPF – это механизм, с помощью которого вы заявляете: «Вот список серверов, которым я доверяю отправку писем для моего домена». Если входящее письмо от вашего имени пришло не с одного из этих серверов, почтовый сервис получателя заподозрит подмену и может отвергнуть письмо или поместить его в спам.

Без настроенного SPF ваши письма, скорее всего, будут отмечаться как подозрительные и попадут в спам. Это связано с тем, что почтовые провайдеры (Gmail, Яндекс.Почта, Mail.ru и пр.) при приёме письма делают DNS-запрос: есть ли у домена отправителя SPF-запись и содержит ли она IP-адрес, с которого пришло письмо. Если такая запись есть и IP разрешён – письмо получает первый “зелёный свет”, подтверждая, что его отправили вы. Если же SPF-записи нет или в ней отсутствует нужный сервер – письмо помечается как возможная подделка. Таким образом, SPF помогает предотвратить спуфинг (подделку адреса отправителя) и слегка повышает уровень доверия к вашему письму со стороны фильтров.

Аналогия: Представьте, что вы отправляете бумажное письмо от компании через курьерскую службу. SPF – это список тех курьеров, которым вы доверяете отправку писем от вашей компании. Почтовое отделение у получателя проверяет удостоверение курьера: есть ли он в списке доверенных? Если да – письмо передадут адресату. Если нет – отправление сочтут подозрительным: вдруг мошенник пытается подделаться под вашу компанию?

Пример SPF-записи:

v=spf1 include:_spf.google.com ip4:123.45.67.89 -all

Посмотрим на строку из примера. v=spf1 — это версия (обязательная часть). Дальше перечисляются доверенные отправители: include:_spf.google.com — разрешаем серверам Google (например, если используете Gmail/Google Workspace), ip4:123.45.67.89 — конкретный IPv4 вашего сервера. Хвост -all задаёт политику для всех прочих: жёстко отклонять. На этапе теста можно поставить ~all — мягкий режим (часто уходит в спам, а не в жёсткий отказ). Итог: письмо «от вашего домена», пришедшее не через Google и не с IP 123.45.67.89, SPF не пройдёт и, скорее всего, будет отброшено как подделка.

Важный момент: у домена должна быть ровно одна SPF-запись. Если источников несколько (собственный SMTP, сервис рассылок и т. п.), перечисляйте их в одной строке через include/ip — дублирующие записи игнорируются. Помните и про ограничения: провайдеры обычно придерживаются лимита ~255 символов на TXT-фрагмент и не более 10 include/DNS-запросов, так что при большом числе служб запись придётся уплотнять.

Что такое DKIM?

DKIM (DomainKeys Identified Mail) — это цифровая подпись почтового сообщения. Она подтверждает, что письмо действительно отправлено вашим доменом и не было изменено по дороге.

Работает это на паре ключей: приватном и публичном. Приватный хранится у отправителя и подписывает каждое письмо — подпись попадает в заголовок DKIM-Signature и включает хэш части содержимого и техданных (идентификатор, домен, время и т. д.). Публичный ключ публикуется в DNS в TXT-записи — это открытый «образец печати».

Сервер получателя запрашивает публичный ключ из DNS, проверяет подпись и сопоставляет её с письмом и доменом. Всё сошлось — считаем письмо подлинным; нет — помечаем как неавторизованное или отклоняем, в зависимости от политики.

Без DKIM доверия к вам меньше: крупные почтовые провайдеры (Gmail, Outlook.com, Yahoo) ориентируются на наличие подписи, и её отсутствие легко тянет письма в спам. По сути, DKIM — вторая обязательная ступень после SPF.

Аналогия простая: фирменный бланк с подписью и печатью. Приватный ключ — «печать в сейфе», посторонний оттиск сделать не сможет. Публичный ключ — эталон подписи в открытом реестре. Получатель сверяет оттиск с эталоном: совпало — верим; подписи нет или она «хромает» — доверия нет.

Пример DKIM-записи: допустим, вы создали пару ключей с селектором “mail”. В DNS нужно добавить TXT-запись с именем mail._domainkey.yourdomain.com. Значение будет что-то вроде:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3...AQAB

где после p= идёт длинная строка – это и есть закодированный публичный ключ. Параметры: v=DKIM1 – версия протокола, k=rsa – используемый алгоритм (как правило RSA). Сам p=-блок может занимать сотни символов (ваш публичный ключ в формате Base64). После добавления этой записи почтовый сервис получателя будет знать, где найти ваш публичный ключ (по подстроке _domainkey в DNS вашего домена) и использовать его для проверки подписи в письме.

Несколько DKIM-ключей: вы можете иметь разные DKIM-ключи (с разными селекторами) для разных служб. Например, селектор mail – для вашего основного почтового сервера, news – для сервиса рассылок и т.д. В письме всегда указывается, какой селектор использован, и по нему получатель найдёт нужный ключ в DNS.

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) – на русском часто говорят «политика DMARC» – это надстройка над SPF и DKIM, определяющая, что делать с письмом, которое не прошло проверку этими методами. Если SPF – это список доверенных серверов, а DKIM – подпись, то DMARC – контролёр, который смотрит на результаты SPF/DKIM и принимает решение: доверять письму или нет. Кроме того, DMARC может сообщать владельцу домена о случаях, когда от его имени кто-то пытался отправлять письма.

DMARC-система тоже настраивается через DNS: вы публикуете TXT-запись с именем _dmarc.yourdomain.com, где указываете вашу политику. В этой политике есть три основных варианта действий для почтовых сервисов:

1. p=none – ничего особенного не делать, просто регистрировать факт. Иными словами, не применять санкций к письму, даже если оно не прошло SPF/DKIM. (По сути, режим мониторинга: вы получаете отчёты, о них ниже).
2. p=quarantine – помечать письмо как спам (карантин). Получатель, скорее всего, отправит такое письмо в папку «Спам», если оно не прошло проверки.
3. p=reject – отклонять письмо. В этом режиме сервер получателя вообще не будет доставлять письма, не прошедшие аутентификацию, – они отбросятся на этапе приёма.

Дополнительно в DMARC-записи обычно указывается адрес для отчётов (тег rua=). Почтовые сервисы будут слать вам агрегированные отчёты – обычно раз в сутки – со статистикой: сколько писем от вашего домена прошло/не прошло проверки, откуда они шли и т.д. Благодаря этим отчётам вы, во-первых, узнаете, не пытается ли кто-то злоупотреблять вашим доменом (рассылать фейковые письма), а во-вторых, видите, все ли ваши собственные письма проходят SPF/DKIM корректно.

Важно понимать: DMARC опирается на SPF и DKIM. Перед тем как применять политику, почтовый провайдер сначала проверяет SPF и DKIM для входящего письма. Но мало просто пройти SPF/DKIM – нужно ещё, чтобы домен в этих проверках совпадал с доменом в поле “From” письма (это и называется выравнивание, alignment). Только если хотя бы один метод (SPF или DKIM) прошёл и домен совпал, DMARC считает письмо авторизованным. Если же оба метода не прошли или не совпали по домену, тогда письмо считается неавторизованным, и к нему применяется ваша DMARC-политика. Например, если злоумышленник отправит письмо с поддельным адресом info@yourdomain.com через свой сервер: SPF не пройдёт (IP не в списке), DKIM подписи у него вашей нет – DMARC получателя увидит, что проверка провалена, и, согласно политике, поместит письмо в спам или отвергнет (либо ничего не сделает, если стоит p=none).

Таким образом, DMARC защищает ваших получателей от фишинга и спама, рассылаемых от имени вашего домена. Вы фактически говорите почтовым провайдерам: «Если письмо от моего домена не подтверждено SPF/DKIM – не верьте ему!». Это спасает вашу репутацию: клиенты не получат поддельные письма от вашего имени, а вы будете получать отчёты о таких попытках.

Аналогия: DMARC – это как инструкция для почтальона на случай сомнительного письма. Представьте, что вы официально уведомили все почтовые отделения: «Если придёт письмо якобы от нашей компании, но курьер не из нашего доверенного списка и подпись на письме неправильная, то: 1) либо отправьте письмо обратно (reject), 2) либо положите в отдел “Недостоверные” (quarantine), 3) или всё-таки доставьте, но сообщите нам о происшествии (none + отчёт)». В реальной жизни, конечно, почтовое отделение обычно само решает, что делать с подозрительным письмом. Но в мире электронной почты вы можете самостоятельно задать такой сценарий – это и есть политика DMARC.

Пример DMARC-записи:

v=DMARC1; p=none; rua=mailto:postmaster@yourdomain.com; pct=100

Здесь p=none означает, что пока никаких санкций к «провалившим проверку» письмам применяться не будет – мы просто собираем статистику. rua=mailto:postmaster@yourdomain.com – адрес, на который будут приходить агрегированные отчёты DMARC. pct=100 – указывает, что политика применяется ко всем письмам (100%). Можно задать меньший процент, если хотите выборочно применять правила (например, pct=50 – тогда политика затронет только половину неподошедших писем, остальным повезёт). Начинать часто рекомендуют с p=none – чтобы аккуратно собрать данные и убедиться, что легитимные письма не режутся. Затем, когда вы видите, что всё настроено верно и чужих рассылок от вашего имени нет, можно переключить p=quarantine (помещать в спам) или сразу p=reject (жёстко блокировать). Также можно указать опцию ruf= для получения форенсик-отчётов (детальных по каждому случаю), но многие провайдеры их не шлют, и для начала это не нужно.

Как настроить SPF, DKIM и DMARC: пошаговое руководство

Теперь, когда понятна теория, перейдём к практике. Настройка сводится к добавлению специальных DNS-записей для вашего домена. Обычно управлять DNS-записями можно через панель регистратора домена или хостинг-провайдера. Вам понадобятся права администратора на ваш домен. Рассмотрим настройку каждого механизма по очереди.

Настройка SPF (шаг за шагом)

1. Составьте список отправителей. Для начала определите, какие серверы и сервисы отправляют почту от имени вашего домена. Это может быть ваш собственный почтовый сервер (SMTP на вашем хостинге), сервис корпоративной почты (например, Яндекс 360 или Google Workspace), сервисы рассылок (Mailchimp, SendPulse и т.п.), сервер интернет-магазина, который шлёт уведомления, и др. Запишите все источники – их домены или IP-адреса.
2. Откройте управление DNS вашего домена. Зайдите в панель управления у вашего DNS-хостинга или регистратора домена. Вам нужен раздел управления DNS-записями (DNS Records). Обычно там уже есть записи типа A, MX и пр. Если не уверены, где это найти, обратитесь к документации вашего провайдера – раздел может называться «DNS Zone Editor», «Управление зоной» и т.д.
3. Создайте новую TXT-запись для SPF. В интерфейсе добавления записи укажите:Пример: вы пользуетесь Яндекс 360 для корпоративной почты и шлёте транзакционные письма с вашего сайта. Предположим, сайт на IP 11.22.33.44. Тогда значение SPF может быть таким:Здесь ip4:11.22.33.44 – ваш сервер, а include:_spf.yandex.net разрешает всем серверам Яндекса слать письма от имени вашего домена (Яндекс предоставил этот include для пользователей своего почтового сервиса). -all значит, что больше никто не должен отправлять. Если вдруг позже вы подключите ещё какой-то сервис, нужно будет дополнить эту же запись, а не создавать новую.
   • Имя (Host, Name): обычно это символ @ (означает сам домен). В некоторых панелях может требоваться явно ввести название вашего домена, а где-то поле можно оставить пустым – суть в том, чтобы запись относилась к самому домену.
   • Тип записи: TXT.
   • Значение (Value): здесь вписывается строка, начинающаяся с v=spf1. Далее перечисляются разрешённые отправители. Используйте конструкцию для каждого типа источника:
     • a – если отправка идёт с основного IP адреса сайта (A-записи домена).
     • mx – если отправка идёт через почтовые серверы, указанные в MX-записях.
     • ip4:X.X.X.X – если есть конкретный IPv4-адрес отправителя (например, вашего сервера). Можно указать несколько через пробел.
     • ip6:XXXX – аналогично для IPv6 адресов (если применимо).
     • include:domain – если вы используете сторонний сервис, укажите его домен для включения его SPF-политики. Например, include:_spf.google.com для Gmail, include:spf.sendpulse.com для сервиса SendPulse и т.д. (Обычно в документации сервиса рассылок написано, что именно добавить в SPF).
     • В конце добавьте механизм -all или ~all – политика для остальных (не перечисленных) серверов. Рекомендуется -all (строгое отклонение), но на этапе теста можно поставить ~all (мягкое).
4. Сохраните запись и дождитесь применения. Нажмите «Сохранить» (Save/Apply). Обратите внимание: изменения DNS не мгновенны. Обновление SPF-записи может занять несколько часов, а иногда до 24-48 часов (в редких случаях до 72 часов) – зависит от TTL и провайдера DNS. Обычно пару часов достаточно. Вы можете проверить, применилась ли запись, с помощью специальных утилит, о них расскажем ниже.
5. Убедитесь, что SPF настроен правильно. После обновления DNS стоит проверить, что запись работает и не содержит ошибок. Как проверить – см. раздел «Проверка настроек» далее, но в кратце: используйте онлайн-инструменты вроде MXToolbox или команду nslookup/dig для вашего домена на тип TXT. Вы должны увидеть свою SPF строку. Также можно отправить тестовое письмо самому себе на Gmail/Яндекс и в заголовках письма найти строку Received-SPF: pass – это будет значить, что SPF сработал.

Настройка DKIM (шаг за шагом)

Настройка DKIM чуть сложнее, так как требует генерации ключей и настройки вашего почтового сервера или сервисов. Но многие популярные сервисы делают половину работы за вас.

1. Сгенерируйте пару ключей (DKIM). Вам нужен приватный и публичный ключ. Способ генерации зависит от того, где и как вы отправляете почту:
   • Если вы пользуетесь сторонним сервисом для почты (например, Google Workspace, Яндекс 360, Mailchimp и т.д.), обычно в настройках этого сервиса есть раздел «Аутентификация», «DKIM» или «Подпись домена». Там можно либо сразу получить публичный ключ, либо нажать кнопку «Включить DKIM», и сервис сгенерирует ключи за вас. Следуйте инструкциям сервиса – они предоставят текст DNS-записи (публичный ключ) и возможно укажут имя селектора.
   • Если вы администрируете собственный почтовый сервер (Postfix, Exim и др.), то придётся сгенерировать ключи самостоятельно. В Linux это можно сделать, например, командой OpenSSL (как в руководствах: openssl genrsa -out private.key 1024 и затем openssl rsa -in private.key -pubout -out public.key). Приватный ключ вы сохраните на сервере, а содержимое public.key – будете публиковать в DNS.
   • Выберите селектор для ключа. Селектор – это просто название, идентифицирующее ключ. Можно назвать, например, mail или dkim или по дате (202308 и т.п.). Если сервис предлагает селектор по умолчанию (например, Google использует google или буквенно-цифровой селектор, Яндекс – mail), возьмите его. От селектора зависит имя DNS-записи.
2. Добавьте TXT-запись с публичным ключом в DNS. После получения публичного ключа, его нужно разместить. Делаем новую запись:Пример:После сохранения, ваша DNS-запись станет хранилищем эталонной подписи. Любой сервер, получив письмо от вас, будет искать эту запись, чтобы проверить подпись.
   • Имя: <selector>._domainkey – вместо <selector> подставьте выбранное имя. Например, если селектор mail, имя будет mail._domainkey (полностью mail._domainkey.yourdomain.com). Если провайдер дал вам конкретное имя – используйте его.
   • Тип: TXT.
   • Значение: сама строка DKIM-ключа. Начинается с v=DKIM1; k=rsa; p= и далее длинный набор символов (ваш публичный ключ). Вставьте строку полностью, ничего не убирая и не добавляя. Некоторые панели требуют обернуть его в кавычки "..." – смотрите по ситуации, обычно это делается автоматически.
   • TTL: стандартный (можно оставить по умолчанию или 1 час/две, если есть опция).
3. Настройте почтовый сервер на подпись исходящих писем. Этот шаг может отличаться в деталях:
   • Если используете облачный сервис (Gmail, Яндекс и др.), то после добавления DNS-записи обычно достаточно нажать кнопку «Включить DKIM» или аналог – сервис проверит существование записи и начнёт подписывать письма. Например, в Google Workspace вы после добавления ключа возвращаетесь в админ-консоль и нажимаете «Начать авторизацию домена» (Enable email signing).
   • Если свой сервер – убедитесь, что в его конфигурации прописан путь к приватному ключу и селектор. Для Postfix, к примеру, это делается через дополнительный фильтр (opendkim), где вы указываете: для домена yourdomain.com использовать селектор mail и приватный ключ private.key. После перезапуска сервера новые письма должны получать DKIM-подпись.
4. Дождитесь распространения DNS. Как и с SPF, нужно подождать некоторое время, чтобы запись стала видна всем. Обычно достаточно пару часов. Важно: до публикации DNS-записи не включайте DKIM-подписывание в сервисе, иначе ваши письма будут содержать подпись, которую получатель не сможет проверить (он не найдёт ключ в DNS) – и такие письма могут отвергаться. Сначала DNS, потом активация.
5. Проверьте, что DKIM работает. Самый простой тест – отправить письмо на какой-нибудь почтовый ящик, например, на Gmail или Яндекс, и посмотреть служебные заголовки. Как это сделать:
   • В Gmail откройте письмо, нажмите «Еще» (три точки) –> «Показать оригинал» (Show Original). В новом окне в блоке “Authentication-Results” вы увидите результат: обычно там будет что-то вроде dkim=pass header.i=@yourdomain.com если всё в порядке. А ниже будет сам заголовок DKIM-Signature – длинный набор символов. Если dkim=pass – значит Gmail нашёл вашу DNS-запись и успешно проверил подпись.
   • В Яндекс.Почте откройте письмо, нажмите «Еще» –> «Свойства письма». В тексте найдите строку DKIM-Signature и Authentication-Results. Аналогично, убедитесь, что для DKIM указан pass.
   • Можно воспользоваться онлайн-инструментами: например, DKIM Core Validator или MXToolbox DKIM Checker. Они позволяют ввести ваш домен и селектор и подтвердить, что DNS-запись доступна и корректна.
   • Наконец, есть сервисы-проверки типа mail-tester.com: вы отправляете на сгенерированный адрес тестовое письмо, а сервис выдаёт отчёт, прошли ли SPF/DKIM, и общий «спам-скор». Для базовой проверки достаточно и первого способа.

Настройка DMARC (шаг за шагом)

Настраивать DMARC имеет смысл после того, как SPF и DKIM уже функционируют. Сама настройка проще остальных – нужно добавить одну запись.

1. Определитесь с политикой. Решите, как строго вы хотите обращаться с письмами, не прошедшими SPF/DKIM. Рекомендуется начать с p=none (режим сбора отчётов без вмешательства). Затем, когда убедитесь, что всё настроено верно и видите по отчётам, что посторонних отправителей нет, можно переключиться на quarantine или reject. Также подготовьте адрес электронной почты, на который вы хотите получать отчёты. Лучше использовать адрес на вашем домене (например, postmaster@вашдомен или специальный dmarc@вашдомен). Либо можно указать несколько адресов, в формате rua=mailto:addr1@domain,mailto:addr2@domain.
2. Создайте TXT-запись для DMARC. В DNS-зоне добавляем запись:Пример начальной записи:Здесь sp=none означает применить такую же политику для субдоменов (если у вас есть, например, подпочты вроде @news.yourdomain.com). Можете его добавить чтобы явно указать, что поддомены тоже пока не трогаем. Если их нет – не обязательно.
   • Имя (Host): _dmarc (провайдер сам подставит ваш домен, получится _dmarc.yourdomain.com).
   • Тип: TXT.
   • Значение (Value): строка с параметрами политики. Обязательные: v=DMARC1; p=<policy>; rua=mailto:<your-report-email>. Не забудьте v=DMARC1 – версия протокола DMARC. Далее p= и один из вариантов (none, quarantine или reject). После укажите rua=mailto:... с вашим email для отчётов. Можно через точку с запятой добавить pct= если хотите задать процент выборочно. Также часто указывают aspf= и adkim= для настройки строгости совпадения домена по SPF/DKIM (по умолчанию “relaxed”, можно не трогать).
3. Сохраните и подождите распространения. Как обычно, запись должна вступить в силу.
4. Проверьте корректность записи. Используйте онлайн-проверку DMARC (например, сервис dmarcian или MXToolbox DMARC Checker) – они покажут, правильно ли сформирована запись. В принципе, если вы через пару дней начнёте получать на почту XML-файлы с отчётами от крупных почтовых служб, значит DMARC работает! В этих отчётах будет указано, сколько писем от вашего домена прошло/не прошло проверки, какие IP их отправляли и как применялась политика.
5. Анализируйте отчёты и корректируйте. Поскольку сначала вы поставили p=none, никакие письма не блокируются. Зато вы получаете данные. Посмотрите через несколько дней отчёты: нет ли незнакомых источников отправки? Все ли ваши легитимные письма проходят SPF/DKIM? Если что-то не проходит – это сигнал исправить SPF/DKIM настройки. Часто в отчётах видно, если, скажем, какой-то сервис не включён в SPF. Исправьте и продолжайте мониторинг. Когда будете уверены, что только авторизованные сервисы шлют почту, а посторонних нет – поменяйте p=quarantine или p=reject, чтобы усилить защиту. (Можно сначала на quarantine – письма начнут идти в спам, но не пропадут вовсе; а через пару недель, если всё чисто, ставить reject, блокировать окончательно).

Совет: DMARC-отчёты приходят в формате XML, читать которые неудобно вручную. Существуют бесплатные инструменты для их обработки: онлайн-панели (например, dmarcian, DMARC Analyzer) или опенсорс утилиты, которые красиво отображают статистику. Если объём писем у вас небольшой, можно и вручную просматривать – часто там всего несколько строк.

Как проверить, что всё работает корректно

После настройки всех трёх механизмов, обязательно убедитесь, что они действительно функционируют. Вот чек-лист и инструменты для проверки:

• Проверка DNS-записей: Используйте веб-сервисы вроде MXToolbox (разделы SPF Record Lookup, DKIM Lookup, DMARC Lookup) или аналогичные. Для SPF и DMARC достаточно ввести домен, для DKIM – домен и селектор. Эти инструменты покажут найденную запись и укажут на ошибки, если они есть. Например, MXToolbox сразу предупредит, если у SPF-записи синтаксическая ошибка или нарушен лимит include. Также можно воспользоваться утилитой командной строки:
  • nslookup -type=TXT yourdomain.com – покажет все TXT-записи, где вы увидите SPF и возможно DKIM/DMARC.
  • nslookup -type=TXT selector._domainkey.yourdomain.com – покажет конкретную DKIM-запись по селектору.
  • nslookup -type=TXT _dmarc.yourdomain.com – проверка DMARC.
    Аналогично через dig в Linux/Mac (dig txt yourdomain.com). Убедитесь, что возвращаются именно те значения, что вы задавали.
• Отправка тестовых писем: Это самый наглядный способ. Отправьте письмо с вашего домена на пару популярных почтовых сервисов – например, на Gmail и на Mail.ru или Яндекс.Почту. Затем посмотрите заголовки полученного письма:
  • В Gmail через «Show Original» найдите блок Authentication-Results. Вы должны увидеть там что-то вроде:
    spf=pass smtp.mailfrom=yourdomain.com; dkim=pass header.i=@yourdomain.com; dmarc=pass
    Это идеальный случай: и SPF, и DKIM прошли, DMARC подтвердился. Gmail также может показывать в интерфейсе «mailed-by: yourdomain.com» и «signed-by: yourdomain.com» рядом с адресом отправителя – это признак, что домен авторизован.
    • Если видите spf=fail или dkim=fail – нужно разбираться: либо DNS не обновился, либо опечатка в записях, либо письмо пришло с сервера, не указанного в SPF, либо DKIM-подпись не прикрепилась. Проверьте настройки заново.
    • Если SPF/DKIM pass, а dmarc=fail – вероятно, проблемы с выравниванием домена. Убедитесь, что From: вашего письма – именно ваш домен. Например, если вы отправляете через внешний сервис, он мог поставить свой технический домен в MAIL FROM. Нужно настроить SPF alignment (как правило, использовать свой домен в Return-Path) или DKIM alignment (подписывать именно вашим доменом, а не доменом сервиса). Эти тонкости лучше решить, следуя документации сервиса, или на первых порах оставить p=none, чтобы не мешало доставке.
  • В Яндексе и Mail.ru аналогично проверьте заголовки. Mail.ru часто в самом верху письма показывает значок и надпись вроде «Письмо откуда-то проверено, DKIM подпись ок». Яндекс в «Свойствах письма» покажет результаты.
  • Если у вас что-то не проходит и не можете понять причину – воспользуйтесь сервисом mail-tester.com. Он после отправки выдаст детальный отчёт с разделами SPF, DKIM, DMARC – где наглядно покажет, прошло или нет, и что именно он видит/не видит.
• Мониторинг репутации и спама: Даже с правильными настройками стоит периодически контролировать, не попадают ли ваши письма в спам. Следите за метриками рассылок: процентом открытий, жалобами на спам. Если внезапно открываемость упала – проверьте, не истёк ли DKIM-ключ (они иногда меняются), не сломалась ли SPF-запись (например, коллега случайно добавил вторую SPF-запись и всё испортилось). Регулярно просматривайте DMARC-отчёты: они помогут выявить проблемы. Правильно настроенные SPF, DKIM и DMARC значительно снизят риск спама, но не дают 100% гарантии – содержание письма и репутация домена тоже важны. Поэтому комплексный подход: и техническая настройка, и качественный контент письма – залог успеха.

Итоги и призыв к действию

В современном мире email-маркетинга SPF, DKIM и DMARC – не роскошь, а необходимость. Без них ваши важные сообщения либо вовсе не дойдут до клиентов, либо окажутся в спаме, и все усилия на рассылку пропадут зря. Мы разобрали, что означают эти три аббревиатуры и как они работают простыми словами. Подытожим ключевые моменты:

• SPF – это список доверенных серверов для вашего домена, своего рода паспорт отправителя. Защищает от подделки адреса и говорит почтовым службам: «Я – настоящий». Настраивается добавлением TXT-записи с перечислением всех ваших почтовых источников.
• DKIM – это цифровая подпись писем. Гарантирует целостность и подлинность письма. Настраивается генерацией ключей и публикацией открытого ключа в DNS. Ваши письма начинают «подписываться» невидимой печатью, которую проверяют фильтры.
• DMARC – это политика домена, объединяющая SPF и DKIM. Она указывает, что делать, если письмо не прошло SPF/DKIM, и шлёт вам отчёты. Это ваш конечный щит против злоумышленников, который повышает доверие почтовых провайдеров к вашему домену.

Настройка всех трёх протоколов требует немного времени и внимания, зато результат того стоит. Ваши письма будут восприниматься почтовыми сервисами гораздо лучше. Крупнейшие почтовые провайдеры мира уже требуют такую настройку: например, Gmail и Yahoo для массовых рассылок требуют DMARC-политику, иначе почта просто не будет доставляться. Это говорит о многом – индустрия двигается к тотальному внедрению SPF/DKIM/DMARC, чтобы очистить наши ящики от спама и фишинга. Настроив их у себя, вы не только повысите доставляемость, но и защитите репутацию своего бренда в глазах клиентов.

Позитивный финал: Представьте, что ваши письма наконец без препятствий доходят до адресатов. Клиенты видят ваши сообщения в своих «Входящих», доверяют им и охотно читают. Ни одно письмо больше не потеряется по дороге. SPF, DKIM и DMARC – это ваши союзники в достижении этой цели. Теперь, когда вы вооружены знаниями, самое время применить их на практике. Проверьте настройки своего домена и внедрите SPF, DKIM, DMARC уже сегодня – ваши подписчики и ваш бизнес скажут вам спасибо! 🚀