База знаний

Инструкции и ответы на вопросы о хостинге, работе сайтов и приложений

Настройка SPF, DKIM, DMARC

DMARC — TXT-запись в зоне DNS домена, определяющая политику обработки исходящих писем. Она необходима для защиты репутации доменного имени: адрес отправителя часто подделывается и используется для спама и фишинга. Например, клиенты вашего интернет-магазина получат письма с предложением купить товары по акции, а ссылки на них будут фальшивыми: при переходе откроется мошеннический сайт.

Почтовые сервисы защищают пользователей от таких писем, проверяя записи SPF и DKIM доменов-отправителей. В DMARC указывается, как действовать серверу, когда сообщение не проходит проверку.

Если ваши письма попадают в спам или не доходят до получателя, укажите в зоне DNS домена (раздел «Домены» → «Настройки DNS» → Ваш сайт → «Настройка DNS» в Панели управления) три записи: SPF, DKIM и DMARC.

Настройка SPF

SPF (Sender Policy Framework) — TXT-запись с перечнем серверов, которым разрешено отправлять почту с обратным адресом в домене.

SPF состоит из трех частей:

  1. Версия,
  2. Префикс и механизм,
  3. Модификатор.

Версия протокола — spf1.

Префиксы:

  • + — принимать сообщение. Этот параметр установлен по умолчанию;
  • - — отклонить сообщение;
  • ~ — отправить в спам;
  • ? — требуется дополнительная проверка.

Основные механизмы:

  • all — любой сервер;
  • ip4 — IP-адрес или подсеть адресов;
  • a — определенный домен;
  • mx — все серверы, указанные в MX-записях домена;
  • include — получить данные с другого адреса.

Модификатор:

  • redirect — проверить SPF-запись указанного домена вместо используемого

Пример

domain.com. TXT "v=spf1 a mx ip4:141.8.194.175 ~all" Принимать сообщения:

  • c основного домена (a);
  • домена из MX-записи (mx);
  • IP-адреса 141.8.194.175 (ip4:141.8.194.175).

C других серверов (all) — перемещать в папку спам.

Если домен делегирован на наши NS-серверы, SPF настроена по умолчанию.

Настройка DKIM

DKIM (DomainKeys Identified Mail) — технология подтверждения почтового домена, с помощью добавления зашифрованной подписи в заголовки исходящих писем. Ключ для расшифровки указывается в TXT-записи доменного имени.

Запись имеет вид: dkim_selector._domainkey.domain.com. TXT "k=rsa\; t=s\; p=..." где:

  • dkim_selector._domainkey — имя записи типа DKIM;
  • k, t, p — параметры ключа.

Включите DKIM-подпись в Панели управления, блок «Электронная почта» раздела «Управление сайтами».

Если почта обслуживается внешним сервисом:

  • запросите значение записи у провайдера;
  • перейдите в раздел «Домены» → «Настройки DNS» → Ваш сайт → «Настройка DNS» Панели управления;
  • добавьте запись DKIM, указав то имя записи и значение, которое вы получили от провайдера.

Настройка DMARC

После настройки SPF и DKIM укажите политику их обработки: добавьте запись DMARC.

Она выглядит так:
_dmarc.domain.com. TXT «v=; p=; ...» 

Параметры:

ТегОписаниеЗначение
vВерсия протоколаDMARC1
pПравила для доменаnone — бездействовать;
quarantine — поместить в спам;
reject — отклонить.
aspfРежим проверки соответствия SPF-записейr (relaxed) — разрешить частичные совпадения;
s (strict) — разрешить только полные совпадения.
pctСообщения, подлежащие фильтрации (в %)Процент сообщений, для которых применяется политика. По умолчанию 100%.
spПравила для поддоменовnone — бездействовать;
quarantine — поместить в спам;
reject — отклонить.


Обязательно укажите атрибуты, выделенные цветом.

Примеры

"v=DMARC1; p=quarantine; sp=quarantine; aspf=r;" Все сообщения с ящика в домене или поддомене, не прошедшие проверку записи SPF, помещать в спам.

"v=DMARC1; p=reject; sp=quarantine; pct=50;" Отклонять 50% сообщений, не прошедших проверку.

Была ли эта инструкция полезной?