SPF, DKIM и DMARC: полное руководство по аутентификации email

Три столпа доверия к email#

Каждое отправленное вами письмо проверяется принимающим сервером, прежде чем попасть в чей-то Inbox. Проверка сводится к одному вопросу: действительно ли это письмо от того, от кого оно якобы пришло?

Три DNS-протокола отвечают на этот вопрос: SPF, DKIM и DMARC. Каждый закрывает свой аспект аутентификации, а вместе они образуют фундамент доставляемости email. Если хотя бы один отсутствует или настроен неправильно, ваши письма рискуют быть отфильтрованы, помещены в карантин или отклонены.

Это руководство объясняет, что делает каждый протокол, как они работают вместе и как проверить вашу настройку.

---

SPF: кому разрешено отправлять?#

Что делает SPF#

SPF (Sender Policy Framework) — это DNS TXT-запись, в которой перечислены почтовые серверы, авторизованные отправлять email от имени вашего домена. Когда принимающий сервер получает письмо, якобы пришедшее с yourcompany.com, он сверяется с SPF-записью, чтобы убедиться, что отправляющий сервер находится в списке одобренных.

Как работает SPF#

1. Вы публикуете SPF-запись в DNS своего домена (например, v=spf1 include:_spf.google.com -all)
2. Кто-то отправляет письмо с вашего домена
3. Принимающий сервер запрашивает вашу SPF-запись
4. Сравнивает IP отправляющего сервера со списком авторизованных
5. Если IP авторизован — SPF проходит. Если нет — не проходит

Ключевые понятия SPF#

• Механизм include: — ссылается на SPF-запись другого домена. Используется, чтобы авторизовать сторонние сервисы вроде Google Workspace или SendGrid.
• -all против ~all — -all (hard fail) говорит получателям отклонять неавторизованных отправителей. ~all (soft fail) предлагает помечать их как подозрительные, но не отклонять. Используйте -all для более сильной защиты.
• Лимит 10 DNS-запросов — SPF-запись может вызвать максимум 10 DNS-запросов. Превышение лимита приводит к полному провалу SPF. Это частая проблема для доменов с большим числом email-сервисов.

Типичные ошибки SPF#

• Забыть добавить новый email-сервис в SPF-запись
• Превышение лимита 10 запросов из-за подключения слишком многих сервисов
• Использование +all, которое авторизует всех (фактически отключает SPF)
• Несколько SPF-записей (на домен разрешена только одна)

Проверьте конфигурацию SPF бесплатным SPF Checker.

---

DKIM: было ли письмо изменено?#

Что делает DKIM#

DKIM (DomainKeys Identified Mail) добавляет криптографическую подпись к каждому исходящему письму. Эта подпись доказывает две вещи: письмо пришло с вашего домена, и его содержимое не было изменено в пути.

Как работает DKIM#

1. Ваш почтовый сервер генерирует пару публичный/приватный ключ
2. Публичный ключ публикуется как DNS TXT-запись по адресу selector._domainkey.yourdomain.com
3. При отправке письма ваш сервер подписывает хеш заголовков и тела письма приватным ключом
4. Подпись добавляется как заголовок DKIM-Signature в письмо
5. Принимающий сервер получает ваш публичный ключ из DNS и проверяет подпись
6. Если подпись совпадает — письмо аутентифицировано и не было изменено

Ключевые понятия DKIM#

• Селекторы — у каждого DKIM-ключа есть имя селектора (например, google, s1 или default). Это позволяет домену иметь несколько DKIM-ключей для разных email-сервисов.
• Ротация ключей — лучшая практика — периодически ротировать DKIM-ключи. Селекторы делают это возможным без перерыва в работе.
• Область подписи — DKIM подписывает определённые заголовки и тело. Mailing-листы, изменяющие письма, могут ломать DKIM-подписи.

Типичные ошибки DKIM#

• Включить DKIM у email-провайдера, но забыть добавить DNS-запись
• Использовать слишком короткий ключ (минимум 1024 бита, рекомендуется 2048 бит)
• Не настроить DKIM для всех отправляющих сервисов (каждому нужен свой селектор)

Проверьте настройку DKIM бесплатным DKIM Checker.

---

DMARC: что должно произойти при провале проверок?#

Что делает DMARC#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) связывает SPF и DKIM политикой. Он говорит принимающим серверам, что делать, когда письмо не проходит аутентификацию, и предоставляет механизм отчётов, чтобы вы видели, кто отправляет email от имени вашего домена.

Как работает DMARC#

1. Вы публикуете DMARC-запись в DNS по адресу _dmarc.yourdomain.com
2. Принимающий сервер получает письмо с вашего домена
3. Он проверяет SPF и DKIM
4. Проверяет, «выровнен» ли результат с доменом в From
5. Если выравнивание не удаётся, он следует вашей DMARC-политике: none (только мониторинг), quarantine (в спам) или reject (полная блокировка)
6. Он отправляет агрегированные отчёты на адрес, указанный в вашей DMARC-записи

Ключевые понятия DMARC#

• Выравнивание — SPF alignment означает, что домен envelope sender совпадает с доменом заголовка From. DKIM alignment означает, что подписывающий домен совпадает с доменом From. Хотя бы один должен совпадать, чтобы DMARC прошёл.
• Прогрессия политики — начните с p=none, чтобы мониторить, не влияя на доставку. Перейдите к p=quarantine, когда уверены, что легитимная почта проходит. Вырастите до p=reject для максимальной защиты.
• Отчёты (rua) — тег rua указывает, куда отправлять агрегированные DMARC-отчёты. Эти отчёты показывают всю email-активность на вашем домене, включая неавторизованных отправителей.

Типичные ошибки DMARC#

• Сразу прыгать на p=reject без предварительного мониторинга (блокирует легитимную почту от неправильно настроенных сервисов)
• Не настроить адрес rua для отчётов (летаете вслепую)
• Забывать, что сторонним сервисам нужен SPF/DKIM alignment, а не просто проход SPF/DKIM

Проверьте политику DMARC бесплатным DMARC Checker.

---

Как все три работают вместе

SPF, DKIM и DMARC дополняют друг друга, а не дублируют:

Протокол	Отвечаемый вопрос	Что доказывает
SPF	Авторизован ли этот сервер?	Отправляющий сервер одобрен
DKIM	Подлинное ли это письмо?	Письмо не было изменено
DMARC	Что делать при провале?	Неавторизованные письма обрабатываются правильно

Письмо, прошедшее все три проверки, имеет максимальные шансы попасть в Inbox. Письмо, не прошедшее любую из проверок, может быть отфильтровано, помещено в карантин или отклонено — в зависимости от политики принимающего сервера.

Идеальная конфигурация

• SPF: опубликован со всеми легитимными отправляющими сервисами, заканчивается на -all
• DKIM: настроен для каждого сервиса, отправляющего email от вашего имени
• DMARC: установлен в p=reject (минимум p=quarantine) с включённой отправкой отчётов rua

---

Проверка вашей настройки

Запустите все три проверки разом через Email Health Checker, который оценивает SPF, DKIM, DMARC, MX-записи и статус в blacklist за один проход. Для более глубокого изучения отдельных протоколов используйте специализированные чекеры:

• SPF Checker — детальный анализ SPF-записи
• DKIM Checker — обнаружение и валидация DKIM-ключей
• DMARC Checker — оценка политики и рекомендации

Для постоянного мониторинга мониторинг здоровья email от Nova Uptime регулярно проверяет вашу настройку аутентификации и оповещает при любых изменениях — чтобы вы ловили рассинхрон конфигурации до того, как он повлияет на доставляемость.

---

Похожие материалы

• Полный гайд по Email Health Checker — полный разбор анализа здоровья email
• Как проверить риск Inbox перед отправкой холодных писем — оценка риска Inbox перед отправкой
• DKIM объяснён: полный гайд — глубокое погружение в DKIM
• Гайд по настройке политики DMARC — пошаговая настройка DMARC
• Настройка SPF-записей — гайд по настройке SPF-записи
• 10 бесплатных email- и доменных инструментов — все доступные бесплатные инструменты
• Мой email в blacklist? — проверка статуса blacklist и снятие записей