Настройка DKIM, DMARC и SPF-записей

Настройка DKIM

DKIM подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Эта запись проверяется автоматически перед попаданием в почтовый ящик получателя. Если домен не авторизован для отправки сообщений, то письмо может улететь в спам.

Подписи DKIM повышают уровень безопасности электронной почты и помогают предотвращать спуфинг. Рекомендуем применять собственный ключ DKIM для всех исходящих сообщений.

1. Создайте ключ домена DKIM.
2. Добавьте ключ в записи DNS домена. Он будет применяться на серверах электронной почты для расшифровки заголовков DKIM.
3. Включите подпись DKIM для исходящих сообщений электронной почты.

Проверить DKIM можно на этом сайте, здесь  и здесь.

Для проверки потребуется знать селектор для записи. В примере mail._domainkey.example.com, значение mail — селектор. 

В настройках можно указать несколько записей с разными селекторами, где у каждой записи будет свой ключ.

Настройка DMARC

Чтобы настроить проверку DMARC, нужно добавить соответствующие правила в записи DNS-домена. Правила определяют действия с подозрительными сообщениями, поступившими в ваш домен. 

1. Перейдите на страницу, на которой можно изменить записи DNS. Если ваш регистратор не позволяет обновлять записи DNS субдомена, добавьте запись в родительский домен. 
2. Добавьте запись DNS в разделе _dmarc. Их можно добавить в виде записей TXT.

TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Название хоста DNS) введите:

_dmarc.example.com

TXT record value (Значение записи TXT). Во втором поле введите значения для правила DMARC. Например:

v=DMARC1; rua=mailto:dmarc-reports@example.com; p=none;

В данном случае dmarc-reports@example.com — пример почтового адреса на который получать отчеты.

Дополнительные параметры:

rua — определяет адрес для отправки агрегированных отчётов. Указывается в формате rua=mailto:email@domain.com.

ruf — определяет адрес для отправки отчётов о непройденных проверках аутентификации. Каждая ошибка при проверке аутентификации генерирует отправку письма с отчётом об ошибке, поэтому на этот емейл могут сыпаться десятки, сотни и тысячи писем, если на вас будет совершена фишинговая атака или произойдёт сбой в ваших DNS/системе рассылок и аутентификация писем будет провалена. Формат параметра — rua=mailto:email@domain.com.

Следующий блок параметров имеет значения по умолчанию, которые используются, если параметр явно не указан в записи DMARC:

adkim (DKIM identifier alignment) — жёсткая (strict) или мягкая (relaxed) проверка по DKIM. При значении параметра strict проваленная проверка ключа DKIM приведёт к провалу всей проверки DMARC в целом. По умолчанию значение relaxed.

aspf (SPF identifier alignment) — жёсткая (strict) или мягкая (relaxed) проверка SPF. Работает аналогично проверке ADKIM, значение по умолчанию — relaxed.

rf (Report Format) — формат отчёта о проваленной проверке. По умолчанию принимает значение AFRF (Authentication Failure Reporting Format).

ri (Reporting Interval) — интервал между отправкой агрегированных отчётов, указывается в секундах. По умолчанию равен 86400 секунд (раз в сутки).

pct (Percentage) — процент сообщений, к которым будет применяться политика DMARC. Используется для постепенного внедрения или тестирования политики DMARC — можно включить политику только для 10% писем и посмотреть по результатам отчётов, не будут ли отклоняться какие-то нужные письма.

sp (Subdomain Policy) — политика DMARC, которая будет работать для поддоменов. Можно использовать разные политики для основного домена и поддоменов. По умолчанию остаётся такой же, как и для основного домена.

Проверить DMARC можно тут и тут.

Настройка SPF

Расшифровывается как Sender Policy Framework и указывает, каким почтовым серверам разрешено отправлять электронную почту от имени вашего домена. 

Представьте, курьер принес вам посылку домой, но, вы не знаете от кого, поэтому решили проверить безопасность посылки и звоните в службу доставки, а также спрашиваете, есть ли у них такой сотрудник и может ли он приносить вам посылки. SPF — это список таких «сотрудников», которые могут доставлять вам посылки. 

Важное правило: один домен = одна SPF-запись. 

Примером обычной SPF записи: “v=spf1 +a +mx ‑all”

Синтаксис SPF записи

“v=spf1” — используемая версия SPF;

“+” — принимать почту. Этот знак не является обязательным;

“-” — отклонять почту;

“~” — принимать почту, но фильтровать её в “Спам”;

“?” — применяют к письму обычные правила;

“mx” — IP адреса всех серверов, указанных в DNS записях типа MX для домена;

“ip4” — можно указать конкретные IPv4 адреса;

“ip6” — можно указать конкретные IPv6 адреса;

“a” — IP адреса, которые указаны в DNS записях типа A для домена;

“include” — разрешает применение SPF другого домена;

“all” — устанавливает правила для других доменов, которых нет в SPF записи.

Как включить проверку SPF и добавить запись SPF TXT

1. Войдите в аккаунт своего домена;
2. Откройте страницу, где можно обновить записи DNS. Эта страница может называться DNS management (Управление DNS), Name server management (Управление серверами доменных имён) или Advanced settings (Расширенные настройки).
3. Найдите записи TXT и проверьте, есть ли среди них запись SPF. Как писали выше, она начинается с v=spf1.
4. Если в домене есть запись SPF, удалите её. Если нет — переходите к шагу 5.
5. Создайте запись TXT с указанными ниже значениями.

Введите в поле Name/Host/Alias (Имя/хост/псевдоним) знак @ или оставьте его пустым. Правильное значение может быть указано в других записях DNS для вашего домена.

В поле Time to Live (TTL) (Время жизни) введите 3600 или оставьте значение по умолчанию.

В поле Value/Answer/Destination (Значение/ответ/назначение) введите v=spf1 include:_spf.google.com ~all

6. Сохраните изменения.

Новая запись SPF начнет действовать в течение 48 часов.

Проверить SPF-запись можно на этом сайте. 

P.S. Напоминаем, что для запуска email-маркетинга рекомендуется создать и настроить отдельный поддомен для рассылок.