В мире email-рассылок есть три магических слова, без которых твои письма либо не дойдут, либо попадут в спам, либо вообще заблокируют твой домен. Эти слова — SPF, DKIM, DMARC. Если ты владелец сайта, SEO-шник, дорвейщик, вебмастер или просто системный админ, который отвечает за рассылки, без этих технологий сейчас никуда. Разберёмся по-человечески: что это, зачем, как настроить, какие грабли бывают и как их обойти.

Введение: Почему SPF, DKIM и DMARC — не пустой звук

Раньше было просто: отправил письмо — оно дошло. Но времена изменились. Спамеры, фишеры, массовые рассылки — всё это заставило почтовики (Gmail, Яндекс, Mail.ru и др.) ужесточить правила. Теперь, чтобы твои письма доходили до получателей, нужно доказывать, что это действительно ты их отправил, а не какой-то левый бот с поддельным адресом. Вот тут и вступают в игру SPF, DKIM и DMARC.

• SPF — говорит, с каких серверов разрешено отправлять письма от твоего домена.
• DKIM — подтверждает, что письмо не подделано и реально отправлено твоим сервером.
• DMARC — объединяет SPF и DKIM, задаёт политику обработки писем, которые не прошли проверки.

Если не настроишь — письма в спаме, домен в чёрном списке, а ты в пролёте. А если всё сделать правильно — письма доходят, репутация домена растёт, рассылка работает.

SPF, DKIM, DMARC: Простым языком, но по делу

Что такое SPF?

SPF (Sender Policy Framework) — это TXT-запись в DNS домена, которая говорит почтовым серверам: «Письма с этого домена можно принимать только с указанных IP или серверов». Если кто-то попытается отправить письмо с твоего домена, но с левого сервера — письмо завернут.

• SPF не защищает от подделки содержания письма, только от подделки адреса отправителя.
• SPF работает на уровне DNS — не надо ничего настраивать на почтовом сервере, кроме правильной DNS-записи.

Пример SPF-записи:


v=spf1 ip4:192.0.2.1 include:_spf.google.com -all


Расшифровка: разрешено отправлять письма с IP 192.0.2.1 и всех серверов, которые указаны в _spf.google.com. Всё остальное — в бан.

Что такое DKIM?

DKIM (DomainKeys Identified Mail) — это цифровая подпись письма. Почтовый сервер при отправке письма подписывает его приватным ключом (который никто не знает, кроме тебя), а получатель проверяет подпись через публичный ключ, который лежит в DNS домена.

• DKIM защищает от подделки содержания письма.
• Работает на уровне заголовков письма: подпись добавляется в каждый email.

Пример DKIM-записи:


default._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."


default — селектор, можно быть любым (часто используют mail, dkim, selector1 и т.д.).
p= — публичный ключ.

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) — это политика, которая говорит почтовикам, что делать с письмами, которые не прошли SPF или DKIM. Плюс, DMARC позволяет получать отчёты о том, кто, как и сколько отправляет писем от твоего домена.

• DMARC работает только если настроены SPF и/или DKIM.
• Позволяет указать степень строгости: ничего не делать, отправлять в спам, отклонять.

Пример DMARC-записи:


_dmarc IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]"


p=quarantine — письма, не прошедшие проверку, отправлять в спам.
rua=mailto: — куда слать отчёты.

Практика: Как настроить SPF, DKIM, DMARC

1. Настраиваем SPF

• Определи все серверы, которые отправляют письма от твоего домена (почтовики, SMTP-сервисы, сервисы рассылок).
• Составь SPF-запись и добавь её в DNS.

Пример для Google Workspace:


v=spf1 include:_spf.google.com ~all


Пример для Яндекс:


v=spf1 include:_spf.yandex.net ~all


~all — мягкое правило (softfail), -all — строгое (fail).

2. Настраиваем DKIM

• Сгенерируй ключи (можно через dkimcore.org или через свою почтовую систему).
• Публичный ключ добавь в DNS, приватный — на почтовый сервер.
• Проверь, что письма подписываются (заголовок DKIM-Signature в письме).

Пример генерации ключа на Linux:


openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key


3. Настраиваем DMARC

• Добавь DMARC-запись в DNS домена.
• Укажи политику (p=none — тест, p=quarantine — в спам, p=reject — отклонять).
• Добавь email для отчётов (rua=mailto:).

Пример для теста:


_dmarc IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]"


Кейсы: Плюсы, минусы, подводные камни

Позитивный кейс

Владелец интернет-магазина настроил SPF, DKIM, DMARC. После этого письма из рассылки почти перестали попадать в спам, увеличилась открываемость писем, снизилось количество жалоб на фишинг (кто-то пытался подделать письма от его домена).

Негативный кейс

SEO-шник настраивал рассылку для дорвея, забыл добавить сторонний SMTP-сервис в SPF. В итоге письма шли с сервера, не указанного в SPF — все письма улетали в спам или вообще не доходили. После добавления сервиса в SPF всё заработало.

Плюсы:

• Письма доходят до инбокса, а не в спам.
• Защита от подделки писем и домена.
• Улучшение репутации домена.
• Возможность получать отчёты о злоупотреблениях твоим доменом.

Минусы:

• Нужно следить за всеми сервисами, которые отправляют письма.
• Ошибки в настройке — письма не доходят вообще.
• Требует времени и внимания для поддержки.

Команды и примеры для быстрой диагностики

Проверить SPF:


nslookup -type=TXT yourdomain.com


Проверить DKIM:


nslookup -type=TXT default._domainkey.yourdomain.com


Проверить DMARC:


nslookup -type=TXT _dmarc.yourdomain.com


Проверить письмо на DKIM/SPF/DMARC:

• Отправь письмо на mail-tester.com и посмотри отчёт.
• Проверь заголовки письма (ищи Authentication-Results, DKIM-Signature, Received-SPF).

Бонус: Ошибки новичков, советы и мифы

Типичные ошибки:

• Забыли добавить все SMTP-сервисы в SPF.
• Слишком длинная SPF-запись (больше 10 include/lookup — не работает).
• DKIM-ключ не совпадает с тем, что на сервере.
• DMARC p=reject сразу — письма отвалились, клиенты жалуются.

Советы:

• Начинай с DMARC p=none — посмотри, кто реально шлёт письма от твоего домена.
• Постепенно ужесточай политику (quarantine, потом reject).
• Проверяй свои DNS-записи на mxtoolbox.com.
• Обновляй ключи DKIM раз в год (безопасность).
• Ведёшь рассылки с нескольких сервисов — все должны быть в SPF и подписывать DKIM.

Мифы:

• SPF и DKIM — это одно и то же. Нет, SPF — про серверы, DKIM — про подпись.
• DMARC не нужен, если есть SPF и DKIM. Наоборот, DMARC — это glue, который всё связывает и защищает.
• Один раз настроил — и забыл. Нет, сервисы меняются, ключи устаревают, домены добавляются.

Похожие решения:

• ARC (Authenticated Received Chain) — для пересылаемых писем (forward).
• BIMI — отображение логотипа отправителя (работает только с DMARC).
• Почтовые сервисы (Mailgun, SendGrid, Yandex, Gmail) помогают с настройкой, но всё равно надо разбираться!

Заключение: Итоги и рекомендации

Если ты хочешь, чтобы твои email-рассылки реально работали, а не улетали в спам или в никуда — SPF, DKIM и DMARC должны быть настроены на каждом домене, с которого ты шлёшь письма. Это не только вопрос доставки, но и репутации, безопасности, доверия к твоему бренду или проекту.

• Настрой SPF — укажи все серверы, которые могут отправлять письма.
• Подпиши письма DKIM — защити содержимое от подделки.
• Включи DMARC — контролируй политику и получай отчёты.

Не ленись проверять настройки, следи за отчётами, обновляй ключи. Не верь мифам, не экономь время на безопасности — иначе потом потратишь в разы больше на восстановление репутации и домена.

Полезные официальные ссылки:

• SPF RFC
• DKIM RFC
• Официальный сайт DMARC

Вопросы — в комменты. Удачных рассылок и чистых inbox’ов!

---

В этой статье собрана информация и материалы из различных интернет-источников. Мы признаем и ценим работу всех оригинальных авторов, издателей и веб-сайтов. Несмотря на то, что были приложены все усилия для надлежащего указания исходного материала, любая непреднамеренная оплошность или упущение не являются нарушением авторских прав. Все упомянутые товарные знаки, логотипы и изображения являются собственностью соответствующих владельцев. Если вы считаете, что какой-либо контент, использованный в этой статье, нарушает ваши авторские права, немедленно свяжитесь с нами для рассмотрения и принятия оперативных мер.

Данная статья предназначена исключительно для ознакомительных и образовательных целей и не ущемляет права правообладателей. Если какой-либо материал, защищенный авторским правом, был использован без должного упоминания или с нарушением законов об авторском праве, это непреднамеренно, и мы исправим это незамедлительно после уведомления. Обратите внимание, что переиздание, распространение или воспроизведение части или всего содержимого в любой форме запрещено без письменного разрешения автора и владельца веб-сайта. Для получения разрешений или дополнительных запросов, пожалуйста, свяжитесь с нами.