Без SPF, DKIM и DMARC большая часть писем с вашего домена рискует попасть в «Спам». Эти три записи — не опция, а минимум настройки для любой почты на собственном домене (info@yourdomain.ru). Без них даже письмо клиенту, ответившему на вашу заявку, может не дойти. Разбираем, что делает каждая из трёх записей, и пошагово настраиваем их в DNS.

Зачем нужны SPF, DKIM, DMARC

В 2010-х спамеры массово рассылали письма от чужих доменов: получатель видел «info@your-bank.com», но реально письмо отправлялось с непонятного сервера. Чтобы остановить это, почтовые системы (Gmail, Я.Почта, Mail.ru) ввели обязательные проверки подлинности отправителя.

Теперь, когда ваш сервер отправляет письмо, почтовый сервер получателя проверяет:

  1. SPF: «А этот сервер вообще имеет право отправлять почту от этого домена?»
  2. DKIM: «Подпись письма соответствует ключу, опубликованному в DNS этого домена?»
  3. DMARC: «Что делать, если предыдущие две проверки не прошли?»

Если хотя бы одна проверка не пройдена — письмо в «Спам» или вовсе отброшено. Поэтому настройка SPF/DKIM/DMARC — обязательный шаг при подключении почты на домене.

SPF — список разрешённых отправителей

SPF (Sender Policy Framework) — это TXT-запись в DNS, в которой перечислены серверы, имеющие право отправлять почту от имени вашего домена.

Как выглядит SPF

Стандартная SPF-запись:

example.ru   TXT   "v=spf1 include:_spf.yandex.net ~all"

Расшифровка:

  • v=spf1 — версия SPF
  • include:_spf.yandex.net — разрешить отправку с серверов, перечисленных в SPF Яндекса
  • ~all — все остальные серверы — мягкий fail (письма помечаются подозрительными, но не отбрасываются)

Параметры SPF

Можно добавлять несколько источников через пробел:

Параметр Что делает
include:домен.ru Разрешить серверы, перечисленные в SPF этого домена
ip4:1.2.3.4 Разрешить конкретный IP
ip4:1.2.3.0/24 Разрешить подсеть
a Разрешить серверы, упомянутые в A-записях домена
mx Разрешить серверы, перечисленные в MX-записях
~all Soft fail — пометить остальное как подозрительное
-all Hard fail — отбросить остальное
?all Нейтрально — без рекомендации

Готовые SPF для популярных сервисов

  • Yandex 360: "v=spf1 include:_spf.yandex.net ~all"
  • Mail.ru для бизнеса: "v=spf1 redirect=_spf.mail.ru"
  • Google Workspace: "v=spf1 include:_spf.google.com ~all"
  • Yandex + Unisender: "v=spf1 include:_spf.yandex.net include:_spf.unisender.com ~all"
  • Yandex + сервер сайта: "v=spf1 include:_spf.yandex.net a:mail.yourdomain.ru ~all"

Важные правила SPF

  • Только одна SPF-запись на домен. Если у вас несколько отправителей — объединяйте через include в одну запись.
  • Максимум 10 lookup’ов. Каждый include считается за один. Если превысить — SPF не сработает.
  • ~all лучше -all для старта. Hard fail (-all) может отрезать легитимную почту, если что-то забыли. Soft fail (~all) безопаснее.

DKIM — криптографическая подпись писем

DKIM (DomainKeys Identified Mail) — это система, при которой почтовый сервер подписывает каждое письмо приватным ключом, а в DNS публикуется публичный ключ для проверки. Получатель проверяет подпись и понимает: письмо точно от того, кому принадлежит этот домен, и не было изменено в пути.

Как выглядит DKIM-запись

mail._domainkey.example.ru   TXT   "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4..."

Расшифровка:

  • mail._domainkey.example.ru — поддомен с селектором (mail) и стандартным префиксом _domainkey
  • v=DKIM1 — версия DKIM
  • k=rsa — алгоритм (RSA — стандарт)
  • p=... — публичный ключ (длинная строка из 200-500 символов)

Где взять DKIM-ключ

Сами вы DKIM-ключ не генерируете — его создаёт почтовый сервис, через который отправляется почта. Шаги:

  1. Подключите домен к почтовому сервису (Yandex 360, Mail.ru для бизнеса, Google Workspace).
  2. В админке сервиса найдите раздел «DKIM» — обычно в настройках домена или безопасности.
  3. Активируйте DKIM — сервис сгенерирует ключ.
  4. Сервис покажет TXT-запись для добавления в DNS. Имя записи (mail._domainkey, default._domainkey, yandex._domainkey — зависит от сервиса) и значение (длинная строка).
  5. Добавьте запись в DNS. В панели регистратора или хостинга — создайте TXT-запись с именем и значением, которые дал сервис.
  6. Подождите обычно 1-24 часа для DNS-распространения, затем в админке сервиса нажмите «Проверить DKIM».

Пример DKIM для Yandex 360

Пример: mail._domainkey → значение с ключом p=MIGfMA0… (даёт админка Я.360).

DMARC — политика для непрошедших проверки писем

DMARC (Domain-based Message Authentication, Reporting & Conformance) — это запись, которая говорит почтовикам: «Если письмо не прошло SPF или DKIM, делай вот это». Без DMARC решение остаётся за почтовиком и может быть непредсказуемым.

Как выглядит DMARC

_dmarc.example.ru   TXT   "v=DMARC1; p=quarantine; rua=mailto:postmaster@example.ru"

Расшифровка:

  • _dmarc.example.ru — стандартное имя записи (поддомен _dmarc)
  • v=DMARC1 — версия
  • p=quarantine — политика: помещать в спам
  • rua=mailto:postmaster@example.ru — куда присылать отчёты о попытках подделки

Параметры политики (p=)

Значение Что делать с непрошедшим письмом
none Ничего, только присылать отчёты (для тестирования)
quarantine Помещать в спам
reject Отбрасывать без доставки

Рекомендованная стратегия настройки DMARC

Не начинайте сразу с reject — рискуете отрезать легитимную почту. Идите поэтапно:

  1. обычно 1-2 недели: p=none с rua. Собираете отчёты, смотрите, какие серверы пытаются отправлять от вашего имени.
  2. обычно 2-4 недели: p=quarantine. Подозрительные письма идут в спам, легитимные продолжают доходить.
  3. После: p=reject. Полная защита от подделки.

Дополнительные параметры DMARC

  • pct=100 — применять политику к 100% непрошедших (можно поставить 50 для постепенного ужесточения)
  • sp=quarantine — политика для поддоменов
  • aspf=r или aspf=s — режим SPF проверки (relaxed/strict)
  • adkim=r или adkim=s — режим DKIM проверки
  • ruf=mailto:... — отчёты о конкретных непрошедших письмах (большой объём, обычно не нужно)

Пошаговая настройка SPF + DKIM + DMARC для Yandex 360

На примере самого популярного российского почтовика. Для Mail.ru и Google процесс аналогичен — отличаются только значения.

  1. Подключить домен к Yandex 360 на 360.yandex.ru/business.
  2. Подтвердить владение: TXT yandex-verification: … в DNS → «Проверить» через обычно 1–30 минут.
  3. MX: example.ru MX 10 mx.yandex.net — старые MX от хостинга удалите.
  4. SPF: "v=spf1 redirect=_spf.yandex.net" или с include для рассыльщиков.
  5. DKIM: в админке включить → скопировать TXT для mail._domainkey → проверить через обычно 1–24 часа.
  6. DMARC: старт p=none, через 2 недели — p=quarantine.

Шаг 7. Проверить настройку

Бесплатные онлайн-проверщики:

  • MXToolBox — комплексная проверка SPF, DKIM, DMARC, MX, NS
  • Mail-tester — отправляете письмо на временный адрес, получаете оценку 0-10
  • DMARCian — проверка DMARC-настроек

Цель — оценка mail-tester 9-10 из 10. Если меньше — что-то настроено неправильно, проверщики покажут детали.

Типичные проблемы

«Я настроил SPF/DKIM, а письма всё равно в спаме»

Скорее всего, нет PTR-записи на IP сервера-отправителя. PTR настраивается у владельца IP (обычно у хостинга), не в вашей DNS-зоне. Обратитесь в техподдержку хостинга с просьбой настроить PTR на ваш почтовый домен.

«DMARC reject отрезал нужную почту»

Видимо, какой-то ваш сервис (например, форма обратной связи на сайте) отправляет письма с сервера, не упомянутого в SPF. Поставьте политику обратно на quarantine, разберитесь с легитимным отправителем, добавьте в SPF, потом возвращайте reject.

«Несколько SPF-записей»

Так нельзя — только одна SPF-запись на домен. Если их несколько (например, при подключении нового сервиса), объедините в одну через include.

«DKIM не работает спустя сутки»

Проверьте имя записи — частая ошибка: вместо mail._domainkey.example.ru люди пишут просто mail._domainkey без указания домена в DNS-панели. У большинства хостингов нужно либо указать полное имя, либо именно префикс без домена — почитайте инструкцию вашего хостинга.

Что делать дальше

  1. Проверьте оценку через Mail-tester. Должна быть 9+/10.
  2. Раз в неделю первый месяц — смотрите DMARC-отчёты на postmaster@yourdomain.ru.
  3. Через месяц — переключите DMARC с quarantine на reject для максимальной защиты.
  4. Если будете подключать рассыльщик (Unisender, MailChimp) — добавьте его в SPF.
  5. Если меняете почтовый сервис — обновите MX, SPF и DKIM. DMARC может остаться без изменений.

Подробнее про настройку корпоративной почты на собственном домене — в гайде «Корпоративная почта на собственном домене». Базовая теория DNS — в Pillar-гайде «DNS простыми словами».

Удобный хостинг с готовыми шаблонами для SPF/DKIM в DNS-панели — например, Beget: при подключении Я.Почты или Mail.ru на домен ему даже не нужно вручную копировать значения, можно выбрать сервис из списка. Альтернативы — Timeweb, SpaceWeb. Сравнение в статье «Как выбрать хостинг».

Часто задаваемые вопросы

Зачем нужны SPF, DKIM и DMARC?

Без них 60-80% писем с вашего домена попадают в Спам. Эти 3 записи доказывают почтовикам получателей, что письма реально от вас, а не подделка. Современные почтовые системы (Gmail, Я.Почта, Mail.ru) обязательно проверяют все три.

В чём разница между SPF и DKIM?

SPF — список серверов, которым разрешено отправлять почту от вашего имени (защита от спуфинга). DKIM — криптографическая подпись каждого письма для проверки отправителя и неизменности контента. Оба нужны для надёжной защиты.

Что такое DMARC?

DMARC — это запись, которая говорит почтовикам, что делать с письмами, не прошедшими SPF/DKIM. Варианты: none (только отчёты), quarantine (в спам), reject (отбросить). Без DMARC решение остаётся за почтовиком и непредсказуемо.

Как настроить SPF для нескольких отправителей?

Только одна SPF-запись на домен — иначе не сработает. Объедините всех отправителей через include в одну строку: v=spf1 include:_spf.yandex.net include:_spf.unisender.com ~all. Лимит — 10 lookup'ов.

Где взять DKIM-ключ?

Не генерируете сами — его создаёт почтовый сервис. В админке Я.360, Mail.ru или Google Workspace найдите раздел DKIM, активируйте, скопируйте показанную TXT-запись и добавьте в DNS. Через 1-24 часа в админке нажмите «Проверить».

Какую политику DMARC выбрать?

Не сразу reject — рискуете отрезать легитимную почту. Идите поэтапно: 2 недели p=none (только отчёты), 2-4 недели p=quarantine (в спам), потом p=reject (полная защита). Между этапами анализируйте отчёты.

Письма всё равно в спаме после настройки SPF/DKIM. В чём дело?

Скорее всего, нет PTR-записи на IP сервера-отправителя. PTR настраивается у владельца IP (обычно у хостинга), не в вашей DNS-зоне. Обратитесь в техподдержку хостинга с просьбой настроить PTR на ваш почтовый домен.

Похожие материалы

Что будем искать? Например,что такое хостинг

Минуту внимания
Мы используем файлы cookies, чтобы обеспечивать правильную работу нашего веб-сайта, а также работу функций социальных сетей и анализа сетевого трафика.