Полное руководство по Email Health Checker — проверьте доставляемость email вашего домена

Кризис доставляемости email прямо сейчас#

Ваш бизнес зависит от email. Подтверждения клиентам, сбросы паролей, билинг-уведомления, ответы поддержки — все они должны надёжно доходить до Inbox. Но вот проблема: 34% легитимной деловой почты никогда не доходит до получателей. Они исчезают в спам-папках или сразу отклоняются, и вы об этом не знаете, пока не пожалуются клиенты.

Кризис аутентификации email 2026 года — реальность. Gmail, Yahoo, Microsoft и Apple Mail одновременно ввели жёсткие требования к аутентификации. Домены без правильно настроенных SPF, DKIM и DMARC сейчас отклоняются с беспрецедентной частотой. Одна некорректная DNS-запись может молча сломать всю вашу email-операцию — а вы не обнаружите проблему дни или недели.

Это исчерпывающее руководство покажет, как проверить здоровье email вашего домена, понять, что значат результаты, и починить проблемы до того, как они будут стоить вам клиентов.

---

Что такое здоровье email и почему это важно#

Экосистема аутентификации email#

Здоровье email — не вопрос «работает ли почтовый сервер». Это вопрос: доверяют ли принимающие серверы тому, что письма с вашего домена действительно от вас.

Когда вы отправляете email, принимающие серверы задают четыре критичных вопроса:

1. Авторизовано ли это письмо приходить с вашего домена? (SPF — Sender Policy Framework)
2. Не было ли письмо изменено в пути? (DKIM — DomainKeys Identified Mail)
3. Корректно ли SPF и DKIM выровнены с видимым отправителем? (DMARC)
4. Был ли ваш домен зарепортен за рассылку спама или вредоносного ПО? (статус blacklist)

Если хотя бы одна проверка не прошла, ваше письмо отклоняется, помещается в карантин или попадает в Promotions. Клиент его не увидит.

Реальная цена плохого здоровья email#

Здоровье email — не просто техническая проблема, это проблема выручки:

• E-commerce: один клиент, не получивший подтверждение заказа, думает, что платёж не прошёл. Делает chargeback. Расходы на поддержку растут.
• SaaS: напоминания об окончании trial не доходят. Trial молча истекает. Конверсия упущена.
• НКО: подтверждения донатов уходят в спам. Доноры думают, что донат не прошёл. Эффективность фандрайзинга падает.
• Финансовые сервисы: подтверждения платежей пропадают. Клиенты паникуют. Тикеты поддержки заваливают.

Снижение неаутентифицированной почты, доходящей до Gmail, на 65% после энфорсмента означает, что это не теория — это происходит сейчас.

---

Как работает аутентификация email: трёхстолповая система#

SPF (Sender Policy Framework) — слой авторизации#

SPF отвечает на вопрос: «Авторизован ли этот сервер отправлять для этого домена?»

Когда письмо приходит, принимающий сервер делает SPF-проверку:

1. Достаёт SPF-запись вашего домена из DNS
2. Извлекает IP отправляющего сервера
3. Проверяет, есть ли этот IP в списке авторизованных
4. Отклоняет письмо, если IP не авторизован

Пример SPF-записи:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all

Разбираем:

• v=spf1 — это SPF v1-запись (обязательно)
• include:_spf.google.com — Google Workspace авторизован отправлять для вашего домена
• include:sendgrid.net — SendGrid авторизован отправлять транзакционные письма
• ip4:203.0.113.50 — IP корпоративного почтового сервера авторизован
• -all — отклонять письма с любого другого сервера (hard fail)

SPF — НЕ шифрование. Он не скрывает контент письма. Только говорит принимающим серверам «этот IP авторизован для этого домена».

DKIM (DomainKeys Identified Mail) — слой целостности#

DKIM отвечает на вопрос: «Было ли письмо изменено после отправки?»

DKIM работает как цифровая подпись:

1. Ваш почтовый сервер подписывает каждое письмо криптографическим ключом
2. Подпись прикрепляется к заголовкам письма
3. Принимающие серверы достают ваш публичный DKIM-ключ из DNS
4. Они проверяют подпись — если письмо было изменено, проверка проваливается

DKIM тоже НЕ шифрование. Любой может прочитать контент. Но если кто-то поменяет тело или заголовки, подпись становится невалидной.

В отличие от SPF (одна DNS-запись), DKIM использует селекторы — на одном домене могут сосуществовать несколько DKIM-записей под разными именами селекторов. Типичные селекторы:

• default
• google (Google Workspace)
• selector1, selector2
• sendgrid, mailgun, s1, s2 (разные email-провайдеры)

Здесь застревает большинство пользователей — они не знают, какой селектор использует их email-провайдер.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) — слой энфорсмента#

DMARC отвечает на вопрос: «Должен ли я доверять этому письму на основе выравнивания SPF и DKIM?»

DMARC — клей, связывающий SPF и DKIM. Он энфорсит, что:

1. Письмо проходит SPF ИЛИ DKIM
2. Аутентифицированный домен совпадает с видимым отправителем (заголовок «From»)

У DMARC три политики энфорсмента:

• p=none — только мониторинг; не отклонять (тестовый режим)
• p=quarantine — в спам, если аутентификация не прошла
• p=reject — жёсткое отклонение; bounce

Большинство организаций начинают с p=none, потом переходят на p=quarantine, и наконец на p=reject, когда уверены в инфраструктуре.

Статус blacklist — слой репутации#

Ваш домен или отправляющий IP может попасть в blacklist'ы, если:

• Вы шлёте на невалидные адреса (высокий bounce rate)
• Пользователь жалуется на спам
• Аккаунт был скомпрометирован и использован для спам-кампаний
• Появились в публичных списках spam trap

Даже одна запись в blacklist может потопить доставляемость. Gmail, Yahoo, Outlook все консультируют эти списки перед приёмом почты.

---

Типичные ошибки конфигурации email, ломающие доставляемость#

Ошибка 1: несколько SPF-записей (они не складываются)#

Проблема: Вы думаете, что добавляете несколько SPF-записей, и создаёте отдельные TXT-записи на домене:

TXT-запись 1: v=spf1 include:_spf.google.com -all
TXT-запись 2: v=spf1 include:sendgrid.net -all

Почему падает: Спецификация DNS говорит, что на одно имя должна быть только ОДНА TXT-запись. При наличии нескольких SPF TXT-записей получатели читают только первую. Вторая игнорируется.

Как починить: Объедините всё в одну SPF-запись:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Ошибка 2: превышение лимита lookup'ов SPF#

Проблема: Каждое утверждение include: в SPF требует DNS-запроса. Спецификация SPF лимитирует это до 10 запросов в сумме. При превышении 10 SPF-проверка падает с «PermError», и письмо отклоняется.

Пример раздутой SPF-записи:

v=spf1 include:_spf.google.com include:sendgrid.net include:mailgun.org include:mailchimp.com include:klaviyo.com include:zendesk.com include:hubspot.com include:intercom.com include:amplitude.com include:mixpanel.com -all

Это 11 запросов. Письма будут отклоняться.

Как починить:

• Удалите include для сервисов, которыми больше не пользуетесь
• Замените include на явные IP, где возможно: ip4:203.0.113.50 вместо include:domain.com
• Используйте инструменты SPF-flattening для консолидации цепочек include

Ошибка 3: несовпадение селектора DKIM#

Проблема: Email-провайдер использует селектор s1, а вы проверяете DNS на селектор default:

# Провайдер подписывает этим селектором:
DKIM-Signature: v=1; a=rsa-sha256; s=s1; d=yourdomain.com...

# А вы опубликовали ключ под другим селектором:
s1._domainkey.yourdomain.com — (нет записи)
default._domainkey.yourdomain.com — публичный ключ из 40 символов

Почему падает: Селектор ДОЛЖЕН совпадать точно. Если ключи под разными селекторами, валидация DKIM молча падает — получатели не находят подходящий публичный ключ.

Как починить:

1. Проверьте документацию email-провайдера на корректное имя селектора
2. Опубликуйте публичный ключ под этим точным селектором
3. Протестируйте через Email Health Checker от Nova Uptime

Ошибка 4: использование +all вместо -all

Проблема: Ваша SPF-запись:

v=spf1 include:_spf.google.com +all

+all означает «принимать почту с ЛЮБОГО сервера». Это полностью обнуляет SPF и оставляет вас уязвимыми к спуфингу.

Как починить: Используйте -all (hard fail) или ~all (soft fail):

• -all — отклонять письма с неавторизованных серверов (рекомендуется, когда уверены)
• ~all — soft fail; принимать, но помечать как подозрительные (рекомендуется во время тестирования)

Ошибка 5: не настроены email-адреса DMARC rua и ruf

Проблема: Настроили DMARC, но не указали, куда слать отчёты:

v=DMARC1; p=none; # Нет rua и ruf!

Почему падает: DMARC-отчёты — это то, как вы узнаёте о провалах и атаках. Без rua (агрегированные отчёты) и ruf (форензик) вы летите вслепую.

Как починить:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensics@yourdomain.com

---

Пошагово: проверьте здоровье email прямо сейчас#

Шаг 1: перейдите на Email Health Checker от Nova Uptime#

Откройте инструмент Email Health Checker от Nova Uptime. Этот бесплатный инструмент проверяет аутентификацию email вашего домена без регистрации и оплаты.

Чекер просканирует ваш домен на:

• MX-записи — куда должна маршрутизироваться почта
• Конфигурацию SPF — политику авторизации
• DKIM-записи — конфигурацию цифровой подписи
• Политику DMARC — правила энфорсмента
• Статус blacklist — помечен ли ваш домен за спам

Шаг 2: введите имя домена#

Введите имя домена (например, yourbusiness.com) в чекер. Не указывайте www:// или https:// — только сам домен.

Нажмите «Check Email Health».

Шаг 3: разберитесь со своей оценкой#

Email Health Checker от Nova Uptime даёт:

• Общая оценка: A–F (A = отлично, F = критичные проблемы)
• Числовой балл: 0–100 (на основе взвешенных проверок)
• Разбивка по категориям:
  • MX-записи: 20% балла
  • SPF: 25% балла
  • DKIM: 20% балла
  • DMARC: 25% балла
  • Статус blacklist: 10% балла

Что значит каждая оценка:

• A (90–100): email настроен правильно. Доставляемость сильная.
• B (80–89): хорошая конфигурация, но возможны мелкие улучшения.
• C (70–79): значительные пробелы. Email может уходить в спам или отклоняться.
• D (60–69): критичные проблемы. Многие письма не пройдут аутентификацию.
• F (ниже 60): серьёзные проблемы. Ожидайте крупных провалов доставляемости.

Шаг 4: разберите конкретные находки#

Чекер показывает, что именно настроено и чего не хватает:

MX-записи — какие почтовые серверы получают почту для домена. Должна быть хотя бы одна MX-запись, обычно указывающая на email-провайдера.

SPF-запись — точная SPF-запись из DNS. Чекер проверяет:

• Существует ли запись?
• Синтаксически ли она корректна?
• Не превышает ли лимит 10 lookup'ов?
• Использует ли сильный энфорсмент (-all vs +all)?

DKIM-записи — настроены ли DKIM-селекторы. Чекер сканирует 50 типичных селекторов и сообщает, активен ли хоть один.

DMARC-запись — ваша политика DMARC. Чекер проверяет:

• Опубликована ли запись?
• Какова политика энфорсмента (p=none/quarantine/reject)?
• Настроены ли отчёты rua и ruf?

Статус blacklist — в каких крупных blacklist'ах есть ваш домен (если есть). Крупные списки:

• SURBL
• URIBL
• Spamhaus (SBL, PBL)
• SpamRATS

Шаг 5: получите рекомендации#

На основе результатов Nova Uptime даёт конкретные действенные рекомендации:

Если MX-записи отсутствуют:

«У вашего домена нет MX-записей. Email не может быть доставлен. Свяжитесь с email-провайдером или DNS-хостингом, чтобы добавить MX-записи».

Если SPF отсутствует:

«У вашего домена нет SPF-записи. Любой сервер может слать письма, выглядящие как с вашего домена. Добавьте SPF немедленно».

Если DKIM-селекторы не найдены:

«DKIM не настроен. Письма с вашего домена уязвимы к подмене. Проверьте документацию email-провайдера для корректного DKIM-селектора».

Если отсутствует DMARC:

«Политика DMARC не задана. Без DMARC SPF и DKIM не энфорсятся. Сначала настройте DMARC с p=none для мониторинга».

Если вы в blacklist:

«Ваш домен в [Имя Blacklist]. Доставка email серьёзно страдает. Откройте страницу запроса удаления, чтобы запросить delisting».

---

Что значат результаты здоровья email#

Что эти результаты на самом деле означают

Высокий балл (A или B)? Email настроен правильно. Сохраняйте это:

• Просматривайте DMARC-отчёты ежемесячно на провалы аутентификации
• Мониторьте DNS-записи на неожиданные изменения
• Тестируйте setup ежеквартально через Nova Uptime

Средний балл (C)? Есть пробелы, требующие внимания. Приоритеты:

1. Добавить отсутствующую SPF-запись (если её нет)
2. Добавить отсутствующие DKIM-записи (если их нет)
3. Настроить DMARC с p=none, чтобы начать мониторинг

Низкий балл (D или F)? Критичные проблемы. Чините немедленно:

1. Убедитесь, что MX-записи есть и указывают на правильный почтовый сервер
2. Добавьте/исправьте SPF и убедитесь, что не превышен лимит 10 lookup'ов
3. Добавьте DKIM с корректным селектором от вашего email-провайдера
4. Настройте DMARC для энфорсмента выравнивания
5. Если в blacklist — запросите удаление

Почему может быть хорошая оценка, но всё равно попадаете в спам

Аутентификация email не предотвращает спам. Она предотвращает спуфинг вашего домена. Даже с идеальным здоровьем email:

• Легитимные письма могут уходить в спам, если контент спамный (слишком много ссылок, определённые слова и т. д.)
• Имеет значение репутация отправляющего IP (если шлёте 10M писем, репутация строится со временем)
• Сторонние сервисы влияют на доставляемость (если используете shared IP для транзакционной почты)

Здоровье email — один слой многослойной системы. Также нужны:

• Чистые email-списки (удаляйте отбивающиеся адреса)
• Хорошие практики отправки (one-to-one персонализация, не bulk-бласты)
• Правильная гигиена списка (удаляйте неотзывчивых подписчиков)

---

Здоровье email и общая картина: SPF, DKIM и DMARC вместе#

Думайте об аутентификации email как о системе безопасности для вашего домена:

SPF — как проверка ID посетителя для подтверждения, что он представляет компанию, о которой говорит

• SPF проверяет, ОТКУДА приходит почта (IP сервера)
• Но не проверяет, КТО подписал письмо (уязвим к спуфингу заголовка FROM)

DKIM — как подпись посетителя в журнале посещений уникальным росчерком

• DKIM проверяет, что письмо не было изменено в пути
• Но не проверяет, совпадает ли имя с тем, чьё ID показано

DMARC — это охранник, проверяющий и ID, и подпись, а потом решающий, что делать

• DMARC требует, чтобы ID и подпись совпадали
• DMARC энфорсит политику (принять, карантин, отклонить) на основе результатов аутентификации

Все три вместе создают полную систему аутентификации, которая:

• Предотвращает спуфинг домена
• Предотвращает подмену письма
• Энфорсит политику отправки
• Включает мониторинг и отчётность

Если есть только SPF, атакующий может зарегистрировать attacker.com, настроить SPF, потом отправлять письма с From: yourcompany.com. SPF пройдёт (IP атакующего авторизован для attacker.com), но пользователи увидят имя вашей компании.

Только при энфорсменте DMARC это ловится.

---

Реальные примеры провалов здоровья email#

Пример 1: SaaS-компания, потерявшая регистрации trial#

SaaS-компания корректно настроила SPF и DKIM, но никогда не настраивала DMARC. Однажды письма стали уходить в спам и отклоняться чаще обычного.

Что произошло:

• Компания сменила email-провайдера (со SendGrid на Mailgun)
• Старый DKIM-селектор SendGrid остался в DNS
• Новый селектор Mailgun не добавили
• DMARC-проверка увидела рассинхрон аутентификации и начала отклонять письма
• Подтверждения регистрации trial исчезли
• Регистрации обвалились

Исправление:

• Обновили DNS, включив DKIM-селектор Mailgun
• Поставили DMARC на p=reject для энфорсмента выравнивания
• Доставляемость восстановилась за часы

Пример 2: НКО, теряющая донаты#

У НКО были все три (SPF, DKIM, DMARC), но кто-то отправил маркетинговую кампанию по 500K невалидных адресов — потому что список никогда не чистили.

Что произошло:

• 40% писем отбились
• Репутация домена потонула (высокий bounce — сигнал спама)
• Даже валидные письма донорам стали уходить в спам
• Подтверждения донатов исчезли
• Уровень донатов упал на 20%

Исправление:

• Почистили email-список (убрали отбивающиеся адреса)
• Использовали Email Health Checker от Nova Uptime для проверки конфигурации
• Восстановили репутацию, отправляя только активным подписчикам
• Уровень донатов восстановился за 3 недели

Пример 3: e-commerce-магазин, не знавший, что в blacklist#

У e-commerce-магазина была идеальная конфигурация SPF, DKIM и DMARC. Но утечка данных раскрыла email клиентов, которые использовали для спам-кампаний.

Что произошло:

• Домен попал в blacklist Spamhaus
• Все письма стали отбиваться
• Подтверждения заказов не приходили
• Клиенты думали, что покупки не прошли
• Тикеты поддержки заваливали
• Выручка обвалилась

Исправление:

• Закрыли уязвимость утечки данных
• Связались со Spamhaus и предоставили доказательство устранения
• Дождались delisting (24–48 часов)
• Внедрили энфорсмент SPF (p=reject) для предотвращения будущего спуфинга

---

Поддержание здоровья email (постоянное)#

Здоровье email — не разовая настройка. Требует постоянного мониторинга.

Ежемесячно: просматривайте DMARC-отчёты#

DMARC шлёт агрегированные и форензик-отчёты. Просматривайте на:

• Провалы аутентификации (сбои SPF или DKIM указывают на компрометацию или рассинхрон конфигурации)
• Попытки спуфинга (письма, не проходящие выравнивание DMARC, говорят, что кто-то спуфит домен)
• Паттерны (если провалы скачут в конкретный день, коррелируйте с деплоями или сбросами паролей)

Ежеквартально: запускайте полный аудит

Используйте Email Health Checker от Nova Uptime ежеквартально для проверки, что ничего не изменилось:

• Не повреждены ли DNS-записи
• Не прекратили ли работать DKIM-селекторы
• Не добавили ли новый отправляющий сервис без обновления SPF/DKIM
• Не появился ли домен в новых blacklist'ах

После любых инфраструктурных изменений:

Если вы:

• Добавляете нового email-провайдера (SendGrid → Mailgun)
• Меняете DNS-хостинг (GoDaddy → Cloudflare)
• Модифицируете маршрутизацию email
• Мигрируете серверы

Сразу запустите email health checker для проверки, что конфигурации всё ещё корректны.

Лучшие практики:

1. Держите DMARC на p=reject, когда уверены — не оставайтесь в режиме мониторинга p=none навсегда
2. Не накапливайте старые DKIM-селекторы — удаляйте селекторы для отключённых сервисов
3. Мониторьте репутацию отправителя — проверяйте, нет ли вашего домена/IP в публичных blacklist'ах
4. Тестируйте после каждого изменения — изменения DNS не мгновенны; проверяйте распространение через Nova Uptime
5. Документируйте email-инфраструктуру — знайте, какие сервисы отправляют от имени домена

---

Частые вопросы о здоровье email#

Q: почему Email Health Checker от Nova Uptime сканирует 50 DKIM-селекторов?#

DKIM уникален использованием селекторов — у одного домена может быть много DKIM-записей. Центрального реестра селекторов нет, поэтому Nova Uptime сканирует 50 самых распространённых, используемых крупными email-провайдерами (Google Workspace, SendGrid, Mailgun, Klaviyo, HubSpot и пр.).

Это избавляет от ручной проверки десятков селекторов. Результат: «Configured» (нашли хотя бы один) или «Not Found» (проверили все 50 типичных и не нашли).

Q: почему использовать Email Health Checker от Nova Uptime, а не MXToolbox?#

Оба проверяют здоровье email, но:

• MXToolbox: для продвинутых функций требуется платный план ($15–50/мес), UI устаревший, поддержка медленная, иногда неточные результаты
• Email Health Checker от Nova Uptime: полностью бесплатный, мгновенно обновляет результаты, включает проверку blacklist, показывает контекстные рекомендации, без регистрации

Q: можно ли улучшить балл здоровья email, если я в blacklist?#

Да, но это требует времени:

1. Устраните корневую проблему (остановите спам, закройте дыру безопасности, почистите список)
2. Запросите delisting у оператора blacklist (обычно 24–48 часов)
3. После delisting балл сразу улучшится

Q: что, если мой email-провайдер не публикует DKIM-записи?#

Некоторые email-провайдеры не требуют явной настройки DKIM — они обрабатывают это автоматически. Проверьте документацию провайдера:

• Google Workspace: DKIM включён автоматически; селектор обычно google
• Microsoft 365: DKIM можно включить в admin-портале
• SendGrid: DKIM требует ручной настройки с конкретным селектором
• Mailgun: DKIM требует CNAME-записи DNS

Если провайдер обрабатывает DKIM автоматически, чекер Nova Uptime его найдёт.

Q: как часто меняется здоровье email?#

Здоровье email может меняться, если:

• Меняете DNS-записи (изменения SPF, DKIM, DMARC применяются сразу)
• Отправляющий IP попадает в blacklist (может случиться внезапно при компрометации аккаунта)
• DNS неправильно настроен (распространяется глобально 24–48 часов)

Большинство проверок здоровья email стабильны. Перепроверяйте, только если делали инфраструктурные изменения или подозреваете проблему.

---

Итог: ваш план действий по здоровью email#

Здоровье email несложно. Идите по простому пути:

1. Проверьте текущее здоровье

• Зайдите на Email Health Checker от Nova Uptime
• Введите домен
• Запишите оценку и конкретные находки

2. Устраните любые критичные проблемы

• Балл F или D: сразу почините MX-записи и SPF
• Балл C: добавьте DKIM и DMARC
• Балл B или A: убедитесь, что DMARC-отчёты корректно отправляются

3. Настройте постоянный мониторинг

• Проверяйте здоровье email ежеквартально
• Просматривайте DMARC-отчёты ежемесячно
• Тестируйте после любых инфраструктурных изменений

4. Стройте репутацию отправителя

• Поддерживайте чистые email-списки
• Следуйте лучшим практикам отправки
• Мониторьте появление в blacklist

Время, инвестированное в здоровье email сейчас, предотвращает часы кризис-менеджмента позже. Один час на починку конфигурации email избавляет от дней тикетов «почему клиенты не получают наши письма?».

Репутация email строится месяцами и может быть разрушена за дни. Правильно настроенный домен с хорошим здоровьем email — фундамент, который её защищает.

---

Похожие материалы

• Обнаружение DKIM-селектора — не можете найти DKIM-селектор? Узнайте, как автоматическое обнаружение спасает часы догадок.
• DKIM объяснён: полный гайд — всё о DKIM-аутентификации и о том, как она защищает email.
• Как настроить SPF-записи — пошаговый гайд по настройке SPF.
• Гайд по настройке политики DMARC — настройка энфорсмента DMARC для предотвращения спуфинга.
• Гайд по проверке и удалению из email blacklist — ваш домен в blacklist? Узнайте, как проверить и удалиться.
• Чек-лист доставляемости email — полный чек-лист для попадания в Inbox.

---

Начните: Проверьте здоровье email бесплатно →