Александр Каринцев
Настройка DKIM, DMARC и SPF-записей
Настройка DKIM
DKIM подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Эта запись проверяется автоматически перед попаданием в почтовый ящик получателя. Если домен не авторизован для отправки сообщений, то письмо может улететь в спам.
Подписи DKIM повышают уровень безопасности электронной почты и помогают предотвращать спуфинг. Рекомендуем применять собственный ключ DKIM для всех исходящих сообщений.
- Создайте ключ домена DKIM.
- Добавьте ключ в записи DNS домена. Он будет применяться на серверах электронной почты для расшифровки заголовков DKIM.
- Включите подпись DKIM для исходящих сообщений электронной почты.
Проверить DKIM можно на этом сайте, здесь и здесь.
Для проверки потребуется знать селектор для записи. В примере mail._domainkey.example.com, значение mail — селектор.
В настройках можно указать несколько записей с разными селекторами, где у каждой записи будет свой ключ.
Настройка DMARC
Чтобы настроить проверку DMARC, нужно добавить соответствующие правила в записи DNS-домена. Правила определяют действия с подозрительными сообщениями, поступившими в ваш домен.
- Перейдите на страницу, на которой можно изменить записи DNS. Если ваш регистратор не позволяет обновлять записи DNS субдомена, добавьте запись в родительский домен.
- Добавьте запись DNS в разделе _dmarc. Их можно добавить в виде записей TXT.
TXT record name (Название записи TXT). В этом поле в разделе DNS Host name (Название хоста DNS) введите:
_dmarc.example.com
TXT record value (Значение записи TXT). Во втором поле введите значения для правила DMARC. Например:
v=DMARC1; rua=mailto:[email protected]; p=none;
В данном случае [email protected] — пример почтового адреса на который получать отчеты.
Дополнительные параметры:
rua — определяет адрес для отправки агрегированных отчётов. Указывается в формате rua=mailto:[email protected].
ruf — определяет адрес для отправки отчётов о непройденных проверках аутентификации. Каждая ошибка при проверке аутентификации генерирует отправку письма с отчётом об ошибке, поэтому на этот емейл могут сыпаться десятки, сотни и тысячи писем, если на вас будет совершена фишинговая атака или произойдёт сбой в ваших DNS/системе рассылок и аутентификация писем будет провалена. Формат параметра — rua=mailto:[email protected].
Следующий блок параметров имеет значения по умолчанию, которые используются, если параметр явно не указан в записи DMARC:
adkim (DKIM identifier alignment) — жёсткая (strict) или мягкая (relaxed) проверка по DKIM. При значении параметра strict проваленная проверка ключа DKIM приведёт к провалу всей проверки DMARC в целом. По умолчанию значение relaxed.
aspf (SPF identifier alignment) — жёсткая (strict) или мягкая (relaxed) проверка SPF. Работает аналогично проверке ADKIM, значение по умолчанию — relaxed.
rf (Report Format) — формат отчёта о проваленной проверке. По умолчанию принимает значение AFRF (Authentication Failure Reporting Format).
ri (Reporting Interval) — интервал между отправкой агрегированных отчётов, указывается в секундах. По умолчанию равен 86400 секунд (раз в сутки).
pct (Percentage) — процент сообщений, к которым будет применяться политика DMARC. Используется для постепенного внедрения или тестирования политики DMARC — можно включить политику только для 10% писем и посмотреть по результатам отчётов, не будут ли отклоняться какие-то нужные письма.
sp (Subdomain Policy) — политика DMARC, которая будет работать для поддоменов. Можно использовать разные политики для основного домена и поддоменов. По умолчанию остаётся такой же, как и для основного домена.
Настройка SPF
Расшифровывается как Sender Policy Framework и указывает, каким почтовым серверам разрешено отправлять электронную почту от имени вашего домена.
Представьте, курьер принес вам посылку домой, но, вы не знаете от кого, поэтому решили проверить безопасность посылки и звоните в службу доставки, а также спрашиваете, есть ли у них такой сотрудник и может ли он приносить вам посылки. SPF — это список таких «сотрудников», которые могут доставлять вам посылки.
Важное правило: один домен = одна SPF-запись.
Примером обычной SPF записи: “v=spf1 +a +mx ‑all”
Синтаксис SPF записи
“v=spf1” — используемая версия SPF;
“+” — принимать почту. Этот знак не является обязательным;
“-” — отклонять почту;
“~” — принимать почту, но фильтровать её в “Спам”;
“?” — применяют к письму обычные правила;
“mx” — IP адреса всех серверов, указанных в DNS записях типа MX для домена;
“ip4” — можно указать конкретные IPv4 адреса;
“ip6” — можно указать конкретные IPv6 адреса;
“a” — IP адреса, которые указаны в DNS записях типа A для домена;
“include” — разрешает применение SPF другого домена;
“all” — устанавливает правила для других доменов, которых нет в SPF записи.
Как включить проверку SPF и добавить запись SPF TXT
- Войдите в аккаунт своего домена;
- Откройте страницу, где можно обновить записи DNS. Эта страница может называться DNS management (Управление DNS), Name server management (Управление серверами доменных имён) или Advanced settings (Расширенные настройки).
- Найдите записи TXT и проверьте, есть ли среди них запись SPF. Как писали выше, она начинается с v=spf1.
- Если в домене есть запись SPF, удалите её. Если нет — переходите к шагу 5.
- Создайте запись TXT с указанными ниже значениями.
Введите в поле Name/Host/Alias (Имя/хост/псевдоним) знак @ или оставьте его пустым. Правильное значение может быть указано в других записях DNS для вашего домена.
В поле Time to Live (TTL) (Время жизни) введите 3600 или оставьте значение по умолчанию.
В поле Value/Answer/Destination (Значение/ответ/назначение) введите v=spf1 include:_spf.google.com ~all
- Сохраните изменения.
Новая запись SPF начнет действовать в течение 48 часов.
Проверить SPF-запись можно на этом сайте.
P.S. Напоминаем, что для запуска email-маркетинга рекомендуется создать и настроить отдельный поддомен для рассылок.
ПОЛУЧИЛОСЬ!
Скоро вы начнете получать нашу рассылку
Дарья Горбачева 
Ирина Хафизова 
Михаил Терентьев 
Жанна Азарян 
Георгий Матавкин