Nova Uptime
Бесплатный инструмент

Бесплатная проверка SPF-записи

Проверьте SPF-запись вашего домена бесплатно — без регистрации. Оцените строгость политики, количество DNS-запросов, включённых отправителей и получите.

Как это работает

1

Опубликуйте DNS-запись

Add a TXT record to your DNS that lists all servers authorized to send email for your domain.

2

Получатель проверяет

When your email arrives, the receiver looks up your SPF record and verifies the sending server is authorized.

3

Прошло или нет

If the server matches, SPF passes. If not, the email may be marked as spam or rejected based on your policy.

Что такое SPF и зачем он нужен

SPF (Sender Policy Framework) — это стандарт RFC 7208, описывающий, какие серверы имеют право отправлять почту от имени вашего домена. Без SPF любой может подделать поле From и отправить письмо, выглядящее как ваше — фишинг, мошенничество и подделка бренда.

SPF-запись публикуется как TXT-запись в DNS. Принимающие почтовые серверы (Gmail, Outlook, Yahoo и корпоративные шлюзы) запрашивают её при получении письма и сверяют IP отправителя со списком. Если совпадения нет — письмо помечается, отправляется в спам или отбрасывается, в зависимости от вашей политики.

Анатомия SPF-записи

Типичная SPF-запись выглядит так: `v=spf1 ip4:192.0.2.0/24 include:_spf.google.com include:sendgrid.net mx ~all`. Разберём элементы.

v=spf1 include:_spf.google.com include:mailgun.org ip4:203.0.113.10 ~all
  • v=spf1`v=spf1` — обязательный префикс версии. Должен быть первым.
  • ip4: / ip6:`ip4:` и `ip6:` — явные IP-адреса или CIDR-диапазоны, имеющие право отправлять почту.
  • include:`include:` — делегирует SPF-проверку другому домену. Каждый `include:` считается одним DNS-запросом из лимита в 10.
  • a / mx`a` и `mx` — разрешают отправку с IP, на которые указывают A-записи или MX-записи домена.
  • Квалификаторы перед механизмами: `+` (pass, по умолчанию), `-` (hardfail), `~` (softfail), `?` (neutral). Финальный `all` определяет поведение для всего, что не подошло выше.

Самые частые ошибки SPF

Превышение лимита в 10 DNS-запросов

Каждый `include:` (и каждый вложенный в него) считается. Sendgrid + Google Workspace + Mailchimp + транзакционный провайдер — вы уже за лимитом. Принимающие серверы возвращают `permerror` и игнорируют SPF.

Несколько SPF-записей в одном домене

У домена должна быть ровно одна SPF-запись. Несколько TXT-записей с `v=spf1` — ошибка конфигурации, ведущая к `permerror`. Объедините все источники в одну запись.

Использование `+all`

`+all` означает «любой может отправлять как я». Эквивалент отсутствия SPF. Никогда не используйте это в продакшене — это открытая дверь для фишинга.

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Забытые поддомены

У каждого поддомена своя SPF-запись. Если их нет, поддомены остаются без защиты. Для поддоменов, не отправляющих почту, опубликуйте `v=spf1 -all`, чтобы блокировать спуфинг.

Опечатки в include

Опечатка в имени include-домена приводит к тому, что DNS-запрос возвращается пустым. Технически SPF продолжает работать, но один из ваших отправителей не авторизован. Проверяйте записи через `dig` после каждого изменения.

Настройка SPF за 5 шагов

Шаг 1. Соберите все источники отправки

Перечислите всех, кто отправляет почту от имени вашего домена: основной почтовый сервер (Google Workspace, Microsoft 365), маркетинговые рассылки (Mailchimp, Brevo), транзакционные сервисы (SendGrid, Postmark), CRM, системы тикетов. Без полного списка SPF либо слишком строг, либо дырявый.

Шаг 2. Получите SPF-инструкции от каждого провайдера

У каждого провайдера в документации есть рекомендуемое значение include или ip4. Например, Google использует `include:_spf.google.com`, SendGrid — `include:sendgrid.net`, Mailgun — `include:mailgun.org`.

Шаг 3. Соберите единую запись

Объедините все механизмы в одну строку: `v=spf1 include:_spf.google.com include:sendgrid.net include:mailgun.org ~all`. Не превышайте 10 DNS-запросов.

Шаг 4. Опубликуйте как TXT-запись в DNS

В панели DNS-провайдера (Cloudflare, GoDaddy, Namecheap) добавьте TXT-запись с именем `@` (или вашим доменом) и значением SPF. TTL — 3600 секунд, чтобы изменения распространялись быстро.

Шаг 5. Проверьте и мониторьте

Используйте бесплатный SPF-чекер Nova Uptime для проверки записи. Включите DMARC с `rua=`, чтобы получать отчёты о реальных результатах SPF на принимающих серверах. Перепроверяйте после каждого изменения.

Лимит в 10 DNS-запросов: подробнее

RFC 7208 чётко устанавливает лимит: SPF-проверка должна выполнить не более 10 DNS-запросов. Превышение приводит к `permerror`, и принимающий сервер игнорирует SPF полностью — что эквивалентно его отсутствию.

Каждый `include:`, `a:`, `mx:`, `exists:` и `redirect=` считается. Вложенные include тоже считаются. Например, `include:_spf.google.com` сам по себе включает несколько вложенных запросов — итого 4–5.

Решения: SPF flatten (заменить include на их фактические IP), удалить неиспользуемых провайдеров, перейти на ip4:/ip6: для статичных серверов. Сервисы вроде EasyDMARC и dmarcian автоматически делают flatten и поддерживают актуальность.

SPF, DKIM и DMARC: триада аутентификации

SPF — лишь один из трёх столпов. DKIM подписывает каждое письмо криптографически, DMARC связывает SPF и DKIM воедино и определяет, что делать с провалившимися проверками. Только все три вместе обеспечивают полноценную защиту от подделки.

Требования Gmail и Yahoo с февраля 2026

С февраля 2026 Gmail и Yahoo требуют, чтобы массовые отправители (5 000+ писем в день) имели валидные SPF и DKIM, а также DMARC с политикой минимум `p=none`. Без этого письма попадают в спам или отбрасываются. SPF — обязательный минимум.

Связанные инструменты и гайды

FAQ

Что такое SPF-запись?
SPF-запись (Sender Policy Framework) — это DNS TXT-запись, которая перечисляет, какие почтовые серверы авторизованы отправлять письма от имени вашего домена. Это помогает предотвратить подделку писем и улучшает доставляемость.
Чем -all отличается от ~all в SPF?
Механизм «-all» (hard fail) указывает получателям отклонять письма с неавторизованных серверов. Механизм «~all» (soft fail) помечает их как подозрительные, но всё равно доставляет. «-all» обеспечивает более надёжную защиту от подделки.
Что такое лимит в 10 DNS-запросов?
SPF-записи могут вызвать максимум 10 DNS-запросов при оценке. Каждый механизм «include:», «a:», «mx:» и «redirect=» считается одним запросом. Превышение этого лимита вызывает постоянную SPF-ошибку (permerror), что вредит доставляемости.
Можно ли иметь несколько SPF-записей?
Нет. Наличие нескольких SPF TXT-записей на одном домене недопустимо по RFC 7208 и вызывает постоянную ошибку. Если вы используете несколько сервисов отправки, объедините их в одну SPF-запись с помощью механизмов «include:».
Сколько времени занимает распространение изменений SPF?
DNS-изменения обычно распространяются за 1–48 часов в зависимости от значения TTL ваших DNS-записей. Можно понизить TTL перед изменениями, чтобы ускорить распространение.
Чем отличается ~all от -all в SPF?
Оба квалификатора управляют тем, как принимающие серверы относятся к почте от неперечисленных отправителей. `~all` (softfail) говорит получателям, что письмо подозрительное, но всё равно его принять — обычно с маршрутизацией в спам. `-all` (hardfail) — отбрасывать сразу. Начните с `~all`, пока убеждаетесь, что все легитимные отправители учтены, затем переходите на `-all`, когда у вас будет видимость (помогают DMARC-отчёты). `-all` — золотой стандарт для production-доменов и требование для продвинутых антиспуфинг-фич вроде BIMI.
Как проверить SPF-запись вручную?
Используйте `dig` в любом терминале: `dig +short TXT example.com`. TXT-запись, начинающаяся с `v=spf1`, — это ваша SPF-политика. На Windows: `nslookup -type=TXT example.com`. Онлайн-инструменты вроде нашего парсят запись, проходят include'ы, считают DNS-запросы и автоматически помечают проблемы политики.
Можно ли иметь одну SPF-запись для apex и другую для поддоменов?
Да. SPF-записи действуют per-hostname и не наследуются. Apex (example.com) и каждый поддомен (mail.example.com, marketing.example.com) могут публиковать независимые TXT-записи. Если у поддомена нет SPF-записи — у него нет политики; получатели не могут откатиться на apex. Лучшая практика: публиковать строгий `v=spf1 -all` на поддоменах, которые не должны отправлять почту (например, `www`), чтобы блокировать спуфинг, и реальную политику — на поддоменах, с которых идёт отправка.
Что произойдёт, если превысить лимит в 10 DNS-запросов?
Когда получатель оценивает вашу SPF-запись и ему требуется больше 10 DNS-запросов, оценка прерывается с `PermError`. Большинство крупных провайдеров (Gmail, Outlook, Yahoo) трактуют `PermError` как fail SPF — сообщения отбрасываются, уходят в спам или валят DMARC alignment. Симптомы: резкое падение доставляемости после добавления нового отправителя. Чините через flatten include'ов, удаление неиспользуемых вендоров или прямое указание `ip4:`-диапазонов.
Как SPF взаимодействует с пересылкой почты?
Обычная пересылка ломает SPF. При пересылке оригинальный Return-Path остаётся тем же, но IP подключающегося сервера меняется — и SPF проваливается на этапе пересылки. Есть два решения. SRS (Sender Rewriting Scheme) переписывает Return-Path так, что SPF проходит на следующем хопе; например, Mailman это реализует. ARC (Authenticated Received Chain) сохраняет оригинальные результаты аутентификации через все хопы. DMARC alignment в сценариях пересылки откатывается на DKIM — поэтому DKIM критичен наряду с SPF.

Похожие бесплатные инструменты

Domain DKIM Checker Domain DMARC Checker Email Blacklist Checker Domain Expiry Checker Domain SSL Expiry Checker Полная проверка Email Health

Отслеживайте SPF-запись 24/7

Получайте мгновенные оповещения, если SPF-запись изменилась, сломалась или была удалена. Плюс мониторинг доступности, отслеживание SSL и многое другое.

Начать бесплатный мониторинг

More Free Tools

Check your domain and email health with our complete toolkit — no sign-up required.

Email Health Checker
Domain DKIM Checker
Domain DMARC Checker
Email Blacklist Checker
Email Inbox Risk Checker
Domain Age Checker
Domain Expiry Checker
Domain SSL Expiry Checker
Cold Email Simulator