Записи SPF, DKIM и DMARC: что это такое и как их правильно составлять

Привет, маркетологи и немаркетологи! На связи Лилит из enKod’а 👩🏽‍💻

Доверие к вашим email-рассылкам начинается с ключевых механизмов безопасности, среди которых DKIM, DMARC и SPF. Эти записи обеспечивают правильную аутентификацию исходящих писем и помогают предотвратить их попадание в спам или фишинг.

В этой статье расскажу, как правильно составлять и настраивать эти записи, чтобы ваши письма доставлялись в инбокс получателей =)

Что значат SPF, DKIM и DMARC записи?

Прежде, чем углубляться в техническую часть, выясним, что это за записи и как они работают.

• SPF (Sender Policy Framework) — это механизм, который позволяет проверять, что письмо отправлено с разрешённого серверa. SPF-запись указывает список серверов, которые имеют право отправлять письма от имени вашего домена.
• DKIM (DomainKeys Identified Mail) — эта технология добавляет в заголовки сообщений криптографическую подпись, которая проверяет, что письмо не было изменено после отправки и действительно пришло от указанного отправителя.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) — протокол для проверки подлинности писем и защиты от спама. Настройка DMARC помогает отправителю защитить свою репутацию от мошенников, которые могут рассылать спам от имени компании. Это также уменьшает количество мусорных писем у пользователей.

Записи SPF, DKIM и DMARC настраиваются через DNS – систему, которая переводит домены (enkod.io или pinterest.com) в IP-адреса, чтобы почтовые сервера находили нужные данные для доставки писем.

Именно через DNS вы добавляете записи, которые подтверждают, что ваши письма прошли соответствующие проверки и могут считаться подлинными.

Как работает DNS?

DNS (Domain Name System) — это система доменных имен, которая преобразует доменные имена в IP-адреса и наоборот. Проще говоря, DNS как ваши «контакты», только в интернете: цифровые адреса 192.168.1.1 записываются как имена в адресной строке браузера. 

Когда вы вводите URL в браузере, DNS-система находит соответствующий IP-адрес для этого домена, и ваш браузер подключается к нужному серверу.

DNS состоит из ресурсных записей, которые содержат важную информацию о домене и его сервисах. Эти записи хранятся в зонах DNS, которые отвечают за правильную маршрутизацию запросов. Ресурсные записи могут включать информацию о сервере для почты (MX-записи), настройках безопасности (SPF, DKIM, DMARC), адресах (A-записи), и другие параметры, которые обеспечивают корректную работу различных интернет-сервисов.

Как составлять записи SPF, DKIM и DMARC?

В enKod мы сами предоставляем шаблоны, по которым вы можете без труда прописать DNS-настройки.

SPF

SPF — это TXT-запись, которая добавляется в вашу DNS-зону. Она информирует почтовые сервисы, какие серверы могут отправлять письма от имени вашего домена.

Запись SPF выглядит примерно так:

v=spf1 include:_spf.google.com ~all

• v=spf1 — это обязательная часть записи, которая указывает на версию SPF.
• include:_spf.google.com — это указание на внешние сервисы, например, Google, которые могут отправлять письма от вашего имени. Если вы используете такие сервисы, как G Suite или другие ESP, они должны быть указаны в вашей записи.
• ~all — это механизм для обработки сообщений, которые не прошли проверку SPF. Символ ~ обозначает «soft fail» — письмо будет помечено как подозрительное, но не отклонено сразу.

Чтобы добавить запись SPF в DNS:

1. Войдите в панель управления DNS у вашего хостинг-провайдера.
2. Найдите раздел для добавления записей DNS.
3. Добавьте новую TXT-запись с вышеуказанным содержанием.

DKIM

DKIM добавляет в ваше письмо криптографическую подпись, которую могут проверить получатели. Для настройки DKIM вам нужно создать пару ключей: публичный и приватный.

Чтобы добавить запись DKIM в DNS:

1. Сгенерируйте ключ. Это можно сделать с помощью почтового сервиса или через инструменты на вашем сервере.
2. Добавьте его в DNS. Публичный ключ добавляется в виде TXT-записи в вашу DNS-зону.

Пример записи:

default._domainkey  IN  TXT  "v=DKIM1; k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7q9RwsjLxHv7+8A+T..."

• default._domainkey — это имя записи, которое включает в себя домен и имя селектора. Селектор может быть произвольным, но обычно используется «default».
• v=DKIM1 — это версия протокола DKIM.
• k=rsa — тип ключа (в данном случае RSA).
• p= — публичный ключ, который используется для проверки подписи.

DMARC

DMARC помогает определить политику обработки сообщений, которые не прошли проверку SPF и DKIM, и предоставляет отчёты об этих попытках.

Пример DMARC-записи:

_dmarc IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]"

• v=DMARC1 — версия DMARC.
• p=reject — политика, которая говорит почтовым сервисам отклонять письма, не прошедшие проверку.
• rua=mailto:… — адрес, на который будут отправляться агрегированные отчёты.
• ruf=mailto:… — адрес для получения форензических отчётов (информация о каждом конкретном случае несоответствия).

Чтобы добавить запись DMARC в DNS:

1. Добавьте запись DMARC в DNS в виде TXT-записи.
2. Убедитесь, что записали правильный адрес для получения отчётов о доставке и ошибках.

Как проверить настройки?

После настройки SPF, DKIM и DMARC важно проверить их правильность. Для этого есть специализированные сервисы:

• MxToolbox — инструмент для проверки всех типов записей.
• DKIM Core подходит для проверки конкретно DKIM-записей.
• И ещё один сервис Dmarcian – для проверки записей DMARC

Почему без SPF, DKIM и DMARC нельзя?

1. Письма не попадут в инбокс получателей
   Без этих записей почтовые сервисы с высокой вероятностью отправят ваши письма в папку «Спам». Даже если вы отправляете полезный и интересный контент, получатели просто его не увидят =(
2. Ваш домен могут использовать мошенники
   Если записи не настроены, злоумышленники могут легко подделать ваш адрес отправителя и отправлять от вашего имени фишинговые письма. Это подрывает доверие к вашему бренду и может нанести огромный ущерб вашей репутации.
3. Есть риск блокировки домен
   Без защиты ваш домен может попасть в чёрные списки, что полностью закроет доступ к email-каналу. Восстановление репутации домена — долгий и трудоёмкий процесс. Гораздо оптимальнее избежать блокировки с помощью настройки этих записей.
4. Можете потерять доверие клиентов
   Если ваши письма вызывают недоверие у почтовых сервисов и летят в спам, то и клиенты начнут сомневаться в их безопасности. Один неудачный опыт с фишингом оставит негативное впечатление на долгие годы, если не навсегда.
5. Упускаете контроль
   DMARC помогает отслеживать попытки подделки вашего домена. Без него вы даже не узнаете, что кто-то использует ваш адрес в мошеннических целях. А это не только репутационные риски, но ещё и финансовые.

Резюме: почему важно настроить SPF, DKIM и DMARC записи

1. Гарантия доставляемости писем. Эти записи подтверждают подлинность отправителя, помогают избежать попадания писем в папку «Спам» и повышают доверие со стороны почтовых сервисов.
2. Защита репутации домена. DMARC предотвращает фишинг и подделку писем, обеспечивает безопасность клиентов и сохраняет вашу репутацию.
3. Контроль над рассылкой. DMARC позволяет получать отчеты о попытках использования вашего домена, тем самым помогает вовремя выявлять и предотвращать угрозы.
4. Простая настройка через DNS. Все записи создаются и редактируются в настройках DNS вашего домена. Это требует минимальных технических знаний, но дает значительный эффект для защиты вашего бизнеса.
5. Риски игнорирования. Отсутствие записей может привести к блокировке писем, потере клиентов и негативному влиянию на ваш бренд.

Настройка SPF, DKIM и DMARC — это не просто формальность, а обязательный шаг для успешного и безопасного email-маркетинга.

В полезной рассылке делимся советами от наших экспертов по автоматизации email-маркетинга – подпишитесь! =)