Как настроить SPF-записи: гайд по аутентификации email

Почему SPF важен (прямо сейчас)#

В феврале 2026 включился жёсткий энфорсмент аутентификации email от Gmail и Yahoo. Письма без правильно настроенных SPF-записей отклоняются как никогда часто.

Реальность: если SPF настроен неверно, ваши транзакционные письма (сбросы паролей, подтверждения, счета) тихо блокируются. Клиенты думают, что сервис сломан. Вы не знаете о проблеме, пока они не пожалуются.

Этот гайд проводит через настройку SPF за 15 минут.

Что такое SPF и как он работает#

SPF (Sender Policy Framework) — это DNS-запись, которая говорит: «эти серверы авторизованы отправлять почту от имени моего домена».

Какую проблему решает SPF#

Без SPF любой может отправить письмо, выглядящее как с вашего домена:

From: you@yourcompany.com
Reply-To: attacker@attacker.com

Письмо выглядит как от вашей компании (плохо для фишинга). SPF предотвращает это, валидируя, что отправляющий сервер действительно авторизован.

Как работает валидация SPF#

1. Письмо приходит в Gmail
2. Gmail проверяет: «какая SPF-запись у yourcompany.com?»
3. SPF-запись говорит: «авторизованы только mail.yourcompany.com и SendGrid»
4. Письмо пришло от: SendGrid (авторизован)
5. Результат: SPF проходит ✅

Теперь если attacker.com попытается отправить письмо, выдавая себя за yourcompany.com:

1. Письмо приходит в Gmail с сервера атакующего
2. Gmail проверяет: «есть ли сервер атакующего в SPF-записи yourcompany.com?»
3. Ответ: нет
4. Результат: SPF не проходит ❌

Формат и синтаксис SPF-записи#

SPF-запись — это DNS TXT-запись с конкретным синтаксисом:

v=spf1 [механизмы] [квалификатор]

Разберём:

• v=spf1: версия (всегда начинаем с этого)
• [механизмы]: задают авторизованные серверы
• [квалификатор]: как обрабатывать неавторизованные

Механизмы (часто используемые)

Механизм	Значение	Пример
include:	Включает SPF другого домена	include:_spf.google.com
ip4:	Авторизует конкретный IPv4	ip4:203.0.113.50
ip6:	Авторизует конкретный IPv6	ip6:2001:db8::1
mx	Авторизует MX-сервер	mx
ptr	Авторизует по reverse DNS	ptr (редко, избегайте)
a	Авторизует A-запись	a

Квалификаторы (как обрабатывать сбои)

Квалификатор	Значение	Когда использовать
+	Pass (разрешить)	Явно авторизован
-	Fail (отклонить)	Явно неавторизован
~	Soft fail (принять, но пометить)	Дефолт для неавторизованных
?	Neutral (без политики)	Редко используется

Реальный пример

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all

Что это значит:

• Включить SPF Google (Gmail)
• Включить SPF SendGrid
• Также авторизовать IP 203.0.113.50 (ваш офисный почтовый сервер)
• Soft fail (~all) для всех остальных (помечать как подозрительное, но не отклонять)

Шаг 1: Идентифицируйте все ваши email-сервисы#

Перед написанием SPF-записи перечислите каждый сервис, отправляющий письма от вашего имени:

Вопросы для ответа:

• Используете Google Workspace?
• Используете Microsoft 365?
• Используете SendGrid, Mailgun или другой email-сервис?
• Есть on-premises почтовые серверы?
• Используете сторонние приложения для отправки писем (Zapier, инструменты автоматизации)?

Запишите всё. Это ошибка №1 — забыть какой-то сервис, после чего его письма не проходят SPF.

Частые сервисы и их SPF-includes:

# Google Workspace
include:_spf.google.com

# Microsoft 365
include:spf.protection.outlook.com

# SendGrid
include:sendgrid.net

# Mailgun
include:mailgun.org

# Klaviyo
include:klavan.net

# HubSpot
include:hstsrv.net

Шаг 2: Соберите SPF include-записи#

Для каждого сервиса найдите официальную SPF-include-запись (из его документации, не с рандомных сайтов).

Официальные источники:

• Google Workspace: support.google.com
• Microsoft 365: learn.microsoft.com
• SendGrid: sendgrid.com/docs
• Mailgun: mailgun.com/docs

НЕ доверяйте посту в блоге или случайному сайту. Всегда брите официальный источник.

Шаг 3: Соберите SPF-запись#

Начните с:

v=spf1 [механизмы] ~all

Добавьте каждый include:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Добавьте IP-адреса:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all

Шаг 4: Опубликуйте в DNS#

Зайдите к DNS-провайдеру (Cloudflare, GoDaddy, Route 53 и т. д.) и:

1. Перейдите в DNS Records или TXT Records

2. Добавьте новую TXT-запись со значениями:

   • Имя: @ (или имя домена — зависит от провайдера)
   • Значение: ваша SPF-запись
   • TTL: 3600 (1 час, нормально для теста)

3. Сохраните и подождите 5–15 минут на распространение

Шаг 5: Протестируйте SPF-запись#

Используйте один из этих инструментов для проверки:

Бесплатные варианты:

• Nova Uptime Email Health Checker
• MXToolbox
• Zonemaster

На что смотрите:

• ✅ SPF-запись найдена
• ✅ Нет синтаксических ошибок
• ✅ Количество lookup'ов ≤ 10 (больше — сбой)

Шаг 6: Мониторьте со временем#

Опубликуйте с ~all (soft fail) изначально:

• Неделя 1: следите за доставкой
• Смотрите, проходят ли письма
• Проверяйте папку спама

Если через неделю всё в порядке, можно поменять на -all (hard fail):

v=spf1 include:_spf.google.com include:sendgrid.net -all

Частые ошибки SPF и как их избежать#

Ошибка 1: Превышение 10 DNS-запросов#

Спецификация SPF ограничивает DNS-запросы до 10. Если превысить — SPF возвращает PermError (постоянный сбой), и письма отклоняются.

Как исправить:

• Заменяйте include: на ip4: где возможно
• Используйте инструменты SPF flattening
• Консолидируйте email-сервисы (меньше сервисов = меньше includes)

Ошибка 2: Использование +all вместо -all или ~all

+all значит «принимать любого, кто заявляет, что он этот домен» — это сводит SPF на нет.

Правильное использование:

• ~all: soft fail (помечать как подозрительное, но доставлять)
• -all: hard fail (отклонять)

Используйте ~all сначала, потом переходите на -all после проверки.

Ошибка 3: Несколько SPF-записей#

Спецификация DNS позволяет только ОДНУ TXT-запись на имя. Если создать несколько SPF TXT-записей, DNS читает только первую — остальные игнорируются.

Правильный подход:

• Создавайте ОДНУ SPF-запись
• Комбинируйте в неё все механизмы:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all

НЕ три отдельные записи.

Ошибка 4: Опечатки в include#

include:sendgrid.com против include:sendgrid.net — один символ ломает всё.

Исправление:

• Копируйте из официальной документации, не печатайте вручную
• Проверьте DNS-инструментом после публикации

Ошибка 5: Забыли отправляющий сервис#

Добавили SPF SendGrid, но забыли про Klaviyo. Письма Klaviyo не проходят SPF.

Исправление:

• Проверьте ВСЕ сервисы, отправляющие почту
• Добавьте каждый

SPF vs DKIM vs DMARC#

SPF — одна часть аутентификации email. Для полной защиты нужны все три:

• SPF: «авторизован ли отправляющий сервер?»
• DKIM: «подлинно ли содержание (не подделано)?»
• DMARC: «оба прошли И домен совпадает?»

Nova Uptime автоматически мониторит все три. Проверьте здоровье почты через Email Health Checker от Nova Uptime.

Тестирование SPF в реальных сценариях#

После публикации SPF:

1. Отправьте тестовые письма со своего домена
2. Проверьте заголовки: ищите SPF: PASS или SPF: FAIL
3. Мониторьте папку спама: письма всё ещё в спаме? Проверьте DKIM/DMARC
4. Используйте инструменты проверки писем: пересылайте на временные email-сервисы, показывающие заголовки

Краткое резюме

1. Перечислите все email-сервисы
2. Возьмите официальные SPF-includes из каждого
3. Объедините в одну SPF-запись, начиная с ~all
4. Опубликуйте в DNS TXT-запись
5. Протестируйте email-инструментами проверки
6. Мониторьте 1 неделю
7. Меняйте на -all, если всё работает
8. Добавьте DKIM и DMARC для полной аутентификации

Репутация почты строится месяцами и рушится за дни. Правильный SPF — фундамент.

Мониторьте здоровье почты автоматически с Email Health Checker от Nova Uptime — он аудитирует SPF, DKIM, DMARC, MX-записи и статус в чёрных списках.

Похожие материалы

• Настройка и проверка SPF-записей — пошаговая настройка SPF для новичков
• Полный гайд по SPF, DKIM и DMARC — как SPF вписан в полный стек аутентификации
• Гайд по проверке и удалению из email-блэклистов — попадание в листинги из-за отсутствия SPF
• Настройка DMARC: от none до reject — настройка DMARC после готового SPF
• Гайд по Email Health Checker — комплексный аудит аутентификации
• Бесплатный SPF Checker — мгновенная валидация SPF-записи