Без SPF, DKIM и DMARC большая часть писем с вашего домена рискует попасть в «Спам». Эти три записи — не опция, а минимум настройки для любой почты на собственном домене (info@yourdomain.ru). Без них даже письмо клиенту, ответившему на вашу заявку, может не дойти. Разбираем, что делает каждая из трёх записей, и пошагово настраиваем их в DNS.
Зачем нужны SPF, DKIM, DMARC
В 2010-х спамеры массово рассылали письма от чужих доменов: получатель видел «info@your-bank.com», но реально письмо отправлялось с непонятного сервера. Чтобы остановить это, почтовые системы (Gmail, Я.Почта, Mail.ru) ввели обязательные проверки подлинности отправителя.
Теперь, когда ваш сервер отправляет письмо, почтовый сервер получателя проверяет:
- SPF: «А этот сервер вообще имеет право отправлять почту от этого домена?»
- DKIM: «Подпись письма соответствует ключу, опубликованному в DNS этого домена?»
- DMARC: «Что делать, если предыдущие две проверки не прошли?»
Если хотя бы одна проверка не пройдена — письмо в «Спам» или вовсе отброшено. Поэтому настройка SPF/DKIM/DMARC — обязательный шаг при подключении почты на домене.
SPF — список разрешённых отправителей
SPF (Sender Policy Framework) — это TXT-запись в DNS, в которой перечислены серверы, имеющие право отправлять почту от имени вашего домена.
Как выглядит SPF
Стандартная SPF-запись:
example.ru TXT "v=spf1 include:_spf.yandex.net ~all"
Расшифровка:
v=spf1— версия SPFinclude:_spf.yandex.net— разрешить отправку с серверов, перечисленных в SPF Яндекса~all— все остальные серверы — мягкий fail (письма помечаются подозрительными, но не отбрасываются)
Параметры SPF
Можно добавлять несколько источников через пробел:
| Параметр | Что делает |
|---|---|
include:домен.ru |
Разрешить серверы, перечисленные в SPF этого домена |
ip4:1.2.3.4 |
Разрешить конкретный IP |
ip4:1.2.3.0/24 |
Разрешить подсеть |
a |
Разрешить серверы, упомянутые в A-записях домена |
mx |
Разрешить серверы, перечисленные в MX-записях |
~all |
Soft fail — пометить остальное как подозрительное |
-all |
Hard fail — отбросить остальное |
?all |
Нейтрально — без рекомендации |
Готовые SPF для популярных сервисов
- Yandex 360:
"v=spf1 include:_spf.yandex.net ~all" - Mail.ru для бизнеса:
"v=spf1 redirect=_spf.mail.ru" - Google Workspace:
"v=spf1 include:_spf.google.com ~all" - Yandex + Unisender:
"v=spf1 include:_spf.yandex.net include:_spf.unisender.com ~all" - Yandex + сервер сайта:
"v=spf1 include:_spf.yandex.net a:mail.yourdomain.ru ~all"
Важные правила SPF
- Только одна SPF-запись на домен. Если у вас несколько отправителей — объединяйте через include в одну запись.
- Максимум 10 lookup’ов. Каждый include считается за один. Если превысить — SPF не сработает.
- ~all лучше -all для старта. Hard fail (-all) может отрезать легитимную почту, если что-то забыли. Soft fail (~all) безопаснее.
DKIM — криптографическая подпись писем
DKIM (DomainKeys Identified Mail) — это система, при которой почтовый сервер подписывает каждое письмо приватным ключом, а в DNS публикуется публичный ключ для проверки. Получатель проверяет подпись и понимает: письмо точно от того, кому принадлежит этот домен, и не было изменено в пути.
Как выглядит DKIM-запись
mail._domainkey.example.ru TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4..."
Расшифровка:
mail._domainkey.example.ru— поддомен с селектором (mail) и стандартным префиксом _domainkeyv=DKIM1— версия DKIMk=rsa— алгоритм (RSA — стандарт)p=...— публичный ключ (длинная строка из 200-500 символов)
Где взять DKIM-ключ
Сами вы DKIM-ключ не генерируете — его создаёт почтовый сервис, через который отправляется почта. Шаги:
- Подключите домен к почтовому сервису (Yandex 360, Mail.ru для бизнеса, Google Workspace).
- В админке сервиса найдите раздел «DKIM» — обычно в настройках домена или безопасности.
- Активируйте DKIM — сервис сгенерирует ключ.
- Сервис покажет TXT-запись для добавления в DNS. Имя записи (mail._domainkey, default._domainkey, yandex._domainkey — зависит от сервиса) и значение (длинная строка).
- Добавьте запись в DNS. В панели регистратора или хостинга — создайте TXT-запись с именем и значением, которые дал сервис.
- Подождите обычно 1-24 часа для DNS-распространения, затем в админке сервиса нажмите «Проверить DKIM».
Пример DKIM для Yandex 360
Пример: mail._domainkey → значение с ключом p=MIGfMA0… (даёт админка Я.360).
DMARC — политика для непрошедших проверки писем
DMARC (Domain-based Message Authentication, Reporting & Conformance) — это запись, которая говорит почтовикам: «Если письмо не прошло SPF или DKIM, делай вот это». Без DMARC решение остаётся за почтовиком и может быть непредсказуемым.
Как выглядит DMARC
_dmarc.example.ru TXT "v=DMARC1; p=quarantine; rua=mailto:postmaster@example.ru"
Расшифровка:
_dmarc.example.ru— стандартное имя записи (поддомен _dmarc)v=DMARC1— версияp=quarantine— политика: помещать в спамrua=mailto:postmaster@example.ru— куда присылать отчёты о попытках подделки
Параметры политики (p=)
| Значение | Что делать с непрошедшим письмом |
|---|---|
none |
Ничего, только присылать отчёты (для тестирования) |
quarantine |
Помещать в спам |
reject |
Отбрасывать без доставки |
Рекомендованная стратегия настройки DMARC
Не начинайте сразу с reject — рискуете отрезать легитимную почту. Идите поэтапно:
- обычно 1-2 недели:
p=noneс rua. Собираете отчёты, смотрите, какие серверы пытаются отправлять от вашего имени. - обычно 2-4 недели:
p=quarantine. Подозрительные письма идут в спам, легитимные продолжают доходить. - После:
p=reject. Полная защита от подделки.
Дополнительные параметры DMARC
pct=100— применять политику к 100% непрошедших (можно поставить 50 для постепенного ужесточения)sp=quarantine— политика для поддоменовaspf=rилиaspf=s— режим SPF проверки (relaxed/strict)adkim=rилиadkim=s— режим DKIM проверкиruf=mailto:...— отчёты о конкретных непрошедших письмах (большой объём, обычно не нужно)
Пошаговая настройка SPF + DKIM + DMARC для Yandex 360
На примере самого популярного российского почтовика. Для Mail.ru и Google процесс аналогичен — отличаются только значения.
- Подключить домен к Yandex 360 на 360.yandex.ru/business.
- Подтвердить владение: TXT
yandex-verification: …в DNS → «Проверить» через обычно 1–30 минут. - MX:
example.ru MX 10 mx.yandex.net— старые MX от хостинга удалите. - SPF:
"v=spf1 redirect=_spf.yandex.net"или с include для рассыльщиков. - DKIM: в админке включить → скопировать TXT для
mail._domainkey→ проверить через обычно 1–24 часа. - DMARC: старт
p=none, через 2 недели —p=quarantine.
Шаг 7. Проверить настройку
Бесплатные онлайн-проверщики:
- MXToolBox — комплексная проверка SPF, DKIM, DMARC, MX, NS
- Mail-tester — отправляете письмо на временный адрес, получаете оценку 0-10
- DMARCian — проверка DMARC-настроек
Цель — оценка mail-tester 9-10 из 10. Если меньше — что-то настроено неправильно, проверщики покажут детали.
Типичные проблемы
«Я настроил SPF/DKIM, а письма всё равно в спаме»
Скорее всего, нет PTR-записи на IP сервера-отправителя. PTR настраивается у владельца IP (обычно у хостинга), не в вашей DNS-зоне. Обратитесь в техподдержку хостинга с просьбой настроить PTR на ваш почтовый домен.
«DMARC reject отрезал нужную почту»
Видимо, какой-то ваш сервис (например, форма обратной связи на сайте) отправляет письма с сервера, не упомянутого в SPF. Поставьте политику обратно на quarantine, разберитесь с легитимным отправителем, добавьте в SPF, потом возвращайте reject.
«Несколько SPF-записей»
Так нельзя — только одна SPF-запись на домен. Если их несколько (например, при подключении нового сервиса), объедините в одну через include.
«DKIM не работает спустя сутки»
Проверьте имя записи — частая ошибка: вместо mail._domainkey.example.ru люди пишут просто mail._domainkey без указания домена в DNS-панели. У большинства хостингов нужно либо указать полное имя, либо именно префикс без домена — почитайте инструкцию вашего хостинга.
Что делать дальше
- Проверьте оценку через Mail-tester. Должна быть 9+/10.
- Раз в неделю первый месяц — смотрите DMARC-отчёты на postmaster@yourdomain.ru.
- Через месяц — переключите DMARC с quarantine на reject для максимальной защиты.
- Если будете подключать рассыльщик (Unisender, MailChimp) — добавьте его в SPF.
- Если меняете почтовый сервис — обновите MX, SPF и DKIM. DMARC может остаться без изменений.
Подробнее про настройку корпоративной почты на собственном домене — в гайде «Корпоративная почта на собственном домене». Базовая теория DNS — в Pillar-гайде «DNS простыми словами».
Удобный хостинг с готовыми шаблонами для SPF/DKIM в DNS-панели — например, Beget: при подключении Я.Почты или Mail.ru на домен ему даже не нужно вручную копировать значения, можно выбрать сервис из списка. Альтернативы — Timeweb, SpaceWeb. Сравнение в статье «Как выбрать хостинг».
Часто задаваемые вопросы
Зачем нужны SPF, DKIM и DMARC?
Без них 60-80% писем с вашего домена попадают в Спам. Эти 3 записи доказывают почтовикам получателей, что письма реально от вас, а не подделка. Современные почтовые системы (Gmail, Я.Почта, Mail.ru) обязательно проверяют все три.
В чём разница между SPF и DKIM?
SPF — список серверов, которым разрешено отправлять почту от вашего имени (защита от спуфинга). DKIM — криптографическая подпись каждого письма для проверки отправителя и неизменности контента. Оба нужны для надёжной защиты.
Что такое DMARC?
DMARC — это запись, которая говорит почтовикам, что делать с письмами, не прошедшими SPF/DKIM. Варианты: none (только отчёты), quarantine (в спам), reject (отбросить). Без DMARC решение остаётся за почтовиком и непредсказуемо.
Как настроить SPF для нескольких отправителей?
Только одна SPF-запись на домен — иначе не сработает. Объедините всех отправителей через include в одну строку: v=spf1 include:_spf.yandex.net include:_spf.unisender.com ~all. Лимит — 10 lookup'ов.
Где взять DKIM-ключ?
Не генерируете сами — его создаёт почтовый сервис. В админке Я.360, Mail.ru или Google Workspace найдите раздел DKIM, активируйте, скопируйте показанную TXT-запись и добавьте в DNS. Через 1-24 часа в админке нажмите «Проверить».
Какую политику DMARC выбрать?
Не сразу reject — рискуете отрезать легитимную почту. Идите поэтапно: 2 недели p=none (только отчёты), 2-4 недели p=quarantine (в спам), потом p=reject (полная защита). Между этапами анализируйте отчёты.
Письма всё равно в спаме после настройки SPF/DKIM. В чём дело?
Скорее всего, нет PTR-записи на IP сервера-отправителя. PTR настраивается у владельца IP (обычно у хостинга), не в вашей DNS-зоне. Обратитесь в техподдержку хостинга с просьбой настроить PTR на ваш почтовый домен.









