DKIM, DMARC и SPF

DKIM, DMARC и SPF — это основные механизмы для защиты почтового сервера отправителя от рассылок вредоносных писем.

SPF и DKIM подтверждают, что домен отправителя подлинный и что почтовые сообщения приходят именно от него, поэтому без этих подписей письма отправителя будут не доставляться или попадать в спам.

DMARC — это алгоритм обработки писем, который является дополнительной защитой и проверкой ваших рассылок.


DKIM

DKIM (Domain Keys Identified Mail) — это метод проверки подлинности отправителя и целостности электронной почты. С помощью цифровой подписи, добавляемой в служебные заголовки письма, DKIM подтверждает, что сообщение было отправлено от имени указанного домена и не было изменено в процессе передачи. DKIM использует пару ключей: открытый и закрытый. Закрытый ключ используется для формирования цифровой подписи для всех исходящих сообщений, а открытый ключ хранится в записи DNS в виде текстового файла.

Проверка DKIM автоматически выполняется на стороне получателя. Если домен отправителя не авторизован для отправки электронной почты, сообщение может быть помечено как подозрительное или отправлено в папку «Спам» в соответствии с настройками получателя.

У одного домена может быть несколько записей DKIM. Например, если вы используете сервис Mandrill для отправки электронной почты, а также отправляете сообщения через Gmail, у вас будет две записи DKIM с разными идентификаторами.

Для включения DKIM на почте Руцентра в панели управления хостингом перейдите в раздел Почта → ваш_домен → Настройки.

Нажмите на переключатель, и DKIM будет подключен для вашего почтового домена.

Обращаем внимание, если доменное имя делегировано на DNS-серверы стороннего провайдера или используются серверы услуг DNS-Хостинг/DNS-премиум — DKIM-запись необходимо самостоятельно внести в файл зоны доменного имени.
DKIM-запись можно получить ниже настроек домена, в списке информации о записях.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это метод, который позволяет получающему серверу определить, что делать с электронным письмом. DMARC использует как DKIM, так и SPF. Если сообщение не проходит проверку DKIM и SPF, то оно не пройдет и проверку DMARC. Если сообщение проходит хотя бы одну из проверок (DKIM или SPF), то оно успешно проходит и проверку DMARC. DMARC добавляется только после того, как настроены записи SPF и DKIM.

Для включения DMARC на почте Руцентра в панели управления хостингом перейдите в раздел Почта → ваш_домен → Настройки.

Нажмите на переключатель, и DMARC будет подключен для вашего почтового домена. Также возможно выбрать политику работы DMARC с нежелательной почтой, пропускать почту, помещать в спам или отклонять приём таких писем.

Обращаем внимание, если доменное имя делегировано на DNS-серверы стороннего провайдера или используются серверы услуг DNS-Хостинг/DNS-премиум — DMARC-запись необходимо самостоятельно внести в файл зоны доменного имени.
DMARC-запись можно получить ниже настроек домена, в списке информации о записях.

SPF

SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять электронную почту от вашего домена. Наличие SPF снижает вероятность того, что ваше сообщение попадет в папку «Спам».

Стоит помнить, что для одного домена может быть только одна запись SPF. В рамках одной записи SPF могут быть указаны несколько серверов (например, если письма отправляются с нескольких ESP — это маловероятно, но возможно, как мы рассмотрим в примере позже). Для поддоменов необходимо создавать отдельные записи.

На хостинге Руцентра SPF-запись проставляется автоматически, а управление правилами доступно в упрощенном виде. Если необходимо — можно указать собственную SPF-запись.

Наcтройки SPF доступны в панели управления хостингом в разделе Почта → ваш_домен → Настройки.

Синтаксис SPF

«v=spf1» — версия SPF, обязательный параметр, всегда spf1, никакие другие версии не работают;

«+» — принимать письма (по умолчанию);

«-» — отклонить;

«~» — «мягкое» отклонение (письмо будет принято, но будет помечено как спам);

«?» — нейтральное отношение;

«mx» — включает в себя все адреса серверов, указанные в MX-записях домена;

«ip4» — позволяет указать конкретный IP-адрес или сеть адресов;

«a» — IP-адрес в A-записи;

«include» — включает в себя хосты, разрешенные SPF-записью указанного домена;

«all» — все остальные серверы, не перечисленные в SPF-записи;

«ptr» — проверяет PTR-запись IP-адреса отправителя (разрешено отправлять всем IP-адресам, PTR-запись которых направлена на указанный домен) (не рекомендуется к использованию согласно RFC 7208);

«exists» — выполняется проверка работоспособности доменного имени;

«redirect» — указывает получателю, что нужно проверять SPF-запись указанного домена, вместо текущего домена.

Так как запись должна быть всего одна, через include необходимо прописывать все возможные серверы, через которые вы отправляете письма.

Пример записи SPF, если вы пользуетесь одновременно сервисом Mandrill и при этом отправляете письма через Gmail (несколько записей в рамках одной SPF, как было упомянуто ранее):

ваш_домен. TXT v=spf1 include:_spf.google.com include:spf.mandrillapp.com -all

Обращаем внимание, если доменное имя делегировано на DNS-серверы стороннего провайдера или используются серверы услуг DNS-Хостинг/DNS-премиум — SPF-запись необходимо самостоятельно внести в файл зоны доменного имени.
SPF-запись можно получить ниже настроек домена, в списке информации о записях.

Всё ещё остались вопросы?