Защита корпоративной почты от подделки и попадания в спам сегодня является одной из ключевых задач для владельцев доменов. Технологии SPF, DKIM и DMARC позволяют контролировать подлинность писем, повышать доверие к отправителю и снижать риск фишинга.
В этой статье мы разберемся как они работают и как их правильно настроить.
SPF-запись: назначение и принцип работы в защите почты
SPF (Sender Policy Framework) — это DNS-запись, которая определяет, какие почтовые серверы имеют право отправлять письма от имени вашего домена. Когда письмо приходит на почтовый сервер получателя, он сверяет IP-адрес отправителя с разрешёнными адресами, указанными в SPF-записи.
Если сервер не найден в списке, письмо может быть помечено как подозрительное или отклонено. Таким образом, SPF предотвращает подделку отправителя и снижает риск попадания писем в спам.
Пример SPF-записи для домена:
v=spf1 include:_spf.hostland.ru ~all
DKIM-подпись: как работает цифровая аутентификация писем
DKIM (DomainKeys Identified Mail) добавляет к каждому письму уникальную цифровую подпись. Она формируется закрытым ключом на стороне отправителя и проверяется открытым ключом, опубликованным в DNS-записи домена.
Если подпись совпадает, письмо признаётся подлинным. Это гарантирует, что содержимое не было изменено по пути и действительно отправлено с вашего домена.
Пример DKIM-записи:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQE…
Часто спрашивают: Первичный DNS: ключевая роль в работе домена и настройке сайта
DMARC-политика: контроль подлинности и отчетность для домена
DMARC (Domain-based Message Authentication, Reporting and Conformance) объединяет SPF и DKIM, а также позволяет задать политику для писем, не прошедших проверку.
Основные режимы DMARC:
- none — письма принимаются, но отправляются отчёты о сбоях;
- quarantine — письма, не прошедшие проверку, попадают в спам;
- reject — такие письма полностью отклоняются.
Пример DMARC-записи:
v=DMARC1; p=quarantine; rua=mailto:dmarc@domain.com
Почему письма не проходят проверку DMARC и как устранить ошибки
Часто письма не проходят DMARC по следующим причинам:
- SPF или DKIM не настроены или содержат ошибки;
- письмо отправляется через сторонний сервис, не включённый в SPF-запись;
- несоответствие домена в заголовке «From» с доменом в DKIM/SPF;
- некорректный формат DMARC-записи.
Чтобы устранить проблему, необходимо проверить синтаксис записей, добавить все используемые сервисы в SPF и убедиться, что ключи DKIM актуальны.
Читайте также: Выбор и настройка DNS-серверов для доменного имени
Настройка DMARC, DKIM и SPF в панели Hostland: пошаговое руководство
- Авторизируйтесь в панели управления Hostland.
- Перейдите в раздел “DNS-записи”.
- Создайте SPF-записи. Добавьте строку: v=spf1 include:_spf.hostland.ru ~all
- Настройте DKIM. Сгенерируйте ключи, затем опубликуйте публичный ключ в DNS.
- Включите DMARC. Добавьте TXT-запись с политикой, например: v=DMARC1; p=quarantine; rua=mailto:dmarc@вашдомен.ru
- Проверьте корректную работу. Используйте почтовые тесты (например, mail-tester.com) или отчёты DMARC для подтверждения корректности.
Ошибки вида “spam message rejected”: причины и методы решения
Сообщение “spam message rejected” чаще всего появляется, если письмо не прошло проверки по SPF, DKIM или DMARC. Также это может быть связано с низкой репутацией IP-адреса отправителя или использованием запрещённых вложений.
Что делать:
- проверить правильность DNS-записей;
- убедиться, что почта отправляется с разрешённых серверов;
- обновить DKIM-ключи;
- при необходимости снизить жёсткость политики DMARC с reject на quarantine.
