retailCRM

SPF, DKIM, DMARC: что всё это значит для email-рассылки, как настроить и проверить работу

Разбираемся, что нужно сделать, чтобы письма не улетали в спам
11.08.2020
SPF, DKIM, DMARC: что всё это значит для email-рассылки, как настроить и проверить работу
SPF, DKIM и DMARC — это базовые настройки, которые обязательно нужно сделать перед запуском email-маркетинга, вне зависимости от того, какой сервис рассылок вы выбрали. Без них письмо не будет доставлено до почтового ящика клиента или попадёт в папку «Спам».

Записи SPF и DKIM это предотвращают. Они не дают мошенникам рассылать вредоносные письма от вашего имени, и говорят почтовым провайдерам, таким как Mail.ru, что рассылки приходят именно от вас. DMARC — это дополнительная броня к защите.

Что всё это значит

SPF и DKIM — это DNS-записи, без которых письмо, скорее всего, не будет доставлено или попадёт в папку «Спам». Domain Name System (DNS) — это «телефонный справочник» интернета, где номер телефона — это IP-адрес, а имя контакта — домен. Эта информация хранится на DNS-серверах. Чтобы добавить её в систему, нужно настроить SPF и DKIM — без этого работа почты на домене невозможна.

DMARC — это алгоритм действий с вашими рассылками, если письма признаны подозрительными. Все эти элементы защиты создаются как TXT — тип записи DNS, который позволяет связать текстовую информацию с доменом.
ПОЛЕЗНОЕ
Директор SEOquick Анатолий Улитовский делится своим опытом по созданию продающих писем
Время чтения 6 минут

SPF подтверждает, что домен не подделка

Sender Policy Framework (структура политики отправителя) — это запись со списком серверов и IP-адресов, с которых разрешается рассылать письма от имени домена. Настроив SPF, вы сообщите почтовым сервисам, что письмо отправили именно вы. Если письмо отправлено с IP или сервера, которого нет в записи, то провайдер расценит его как спам.

Чтобы настроить SPF, создайте текстовую запись серверов, с которых вы делаете рассылки. Настройки производят в панели управления хостинга домена.

Как настроить

1. Определите, с каких серверов вы будете рассылать письма.

2. Зайдите в панель управления вашего DNS-хостинга.

3. Создайте TXT-запись, заполнив поля (в разных панелях их названия могут различаться). Покажем на примере записи для рассылок через retailCRM.
Name: @ (либо домен или пустая строка)
Тип записи: TXT
Value: v=spf1 include:spf.retailcrm.pro ?all
TTL: 21600 (либо «по умолчанию»)
Некоторые панели управления вместо символа @ требуют указать ваш домен (например, retailcrm.ru). Если не получается указать ни то, ни другое, оставьте эту строку пустой. Иногда этого поля может не быть совсем, значит, что ничего указывать не требуется.

4. Подождите, пока изменения вступят в силу. DNS-серверам необходимо время, чтобы обменяться сведениями о новых DNS-записях. На это может уйти до 72 часов.

Как проверить настройку

Чтобы убедиться, правильно ли вы всё настроили, воспользуйтесь сервисами для проверки SPF или просмотра DNS-записей:


Покажем на примере MxToolBox. Зайдите на сайт и нажмите на кнопку, чтобы стало доступным выпадающее меню. В нём нужно найти TXT Lookup и снова нажать на кнопку.
Проверка настройки SPF в MxToolBox
Страница обновится и перед вами появятся TXT-записи, среди которых будет SPF.
Проверка настройки SPF в MxToolBox
Второй способ — задать команду «txt» в поле поиска.
Проверка настройки SPF в MxToolBox

DKIM улучшает репутацию отправителя

DKIM (DomainKeys Identified Mail) — цифровая подпись ваших писем. Настроенная DKIM-подпись повышает уровень доверия к отправителю со стороны провайдера.

Принцип работы заключается в двух этапах: сервер-отправитель и сервер-получатель. Процессом управляют приватный и публичный ключ. Приватный ключ — секретный уникальный код, который хранится на сервере почтового провайдера. Используя его, отправляющий сервер подписывает каждое сообщение цифровой подписью, где в зашифрованном виде содержатся имя и email получателя, время отправки и информация об отправителе.

Публичный ключ размещается в DNS‑записи в TXT-поле. С его помощью получающий сервер расшифровывает подпись и проверяет, что спрятанная в ней информация соответствует содержимому письма. Если есть какие-то нестыковки, то письмо попадает в папку «Спам».

Как настроить

1. Скопируйте публичный ключ в настройках почты.

2. Войдите в панель управления хостинга домена.

3. Создайте TXT-запись. В поле «Значение» вставьте скопированный ранее публичный ключ. Ниже пример ключа для рассылок через retailCRM.
Name: retailcrm._domainkey
Тип записи: TXT
Value: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4G
NADCBiQKBgQDBb87bdgzUiRs4fPm+8oNigaqFAbZ6p+mdqf0yJ
vljIOMonZ/SPz6Kh9bujhd7s6bA056EXXp/OghYZNE1NLC7Q4Ut+
gjNfzvJyYA6DZ1rjkGFf9iFTOJbVvp/NP2ThRarMkUrpPfS6xDMrDn
2qdPGazMSmq1vmW/P7SGh22OQIDAQAB;
TTL: 21600 (либо «по умолчанию»)
4. Подождите, пока изменения вступят в силу.

Как проверить настройку

Чтобы проверить доступность ключа, воспользуйтесь онлайн-сервисами для проверки DKIM-подписи:

  • MxToolbox — проверяет, правильно ли записан ключ. Введите селектор и домен, сервис найдёт ключ и проверит его корректность
  • DKIMCore — проверка похоже на первый вариант, но также можно ввести ключ напрямую

Другой способ узнать, что подпись отображается корректно — отправить тестовое письмо на разные почтовые ящики. Разберём на примере Яндекс.Почты. Откройте письмо и найдите в меню пункт «Свойства письма».
Проверка DKIM-подписи с помощью тестового письма
В новой вкладке откроется код письма, где будут служебные заголовки. Среди них найдите DKIM-Signature:
DKIM-подпись в служебных заголовках письма
Выше DKIM-подписи находится строка Authentication-Results. В случае успешной проверки в ней должно быть написано dkim=pass. Если вместо «pass» стоит «fail», проверьте правильность ключей.
Результат проверки DKIM-подписи в служебных заголовках письма
DKIM работает в паре с SPF, и на основе этих DNS-записей действует политика DMARC.

DMARC задаёт алгоритм проверки

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это политика, которая задаёт сценарий действий с письмами, которые признаны поддельными. Вы сами определяете алгоритм. Есть три варианта:

  • ничего не делать
  • помечать как спам
  • отклонять

Чтобы DMARC работала, сначала нужно настроить SPF и ставить DKIM-подпись на письма. При получении сообщения почтовый провайдер проверяет SPF и DKIM на корректность и соответствие домену. Если проверка провалена, то вступает в силу DMARC-политика вашего домена. После проверки вам отправляются отчёты.

Как настроить и проверить

1. Зайдите в панель управления на вашем хостинге.

2. Создайте TXT-запись, заполнив поля следующими значениями. Разберёмся на примере нашей политики — указываем версию протокола DMARC1, выбираем ничего не делать, а отчёт отправлять на почту администратора. Вместо admin@retailcrm.ru укажите почтовый адрес, куда будут отправляться отчеты о письмах, не прошедших проверку.
Name: _dmarc.retailcrm.ru.
Тип записи: TXT
Value: v=DMARC1; p=none; rua=mailto:admin@retailcrm.ru
3. Подождите, пока изменения вступят в силу.

Проверить настройку DMARC можно здесь.

Как использовать записи DMARC

p=none
Не призывает почтовый сервер получателя ни к каким действиям, но вам на указанный адрес придёт отчёт. Используйте её, если хотите проверить, идёт ли от вас нежелательный трафик
Например: v=DMARC1;p=none;rua=mailto:admin@retailcrm.ru.
p=quarantine
Не прошедшие проверку письма сервис помещает в папку «Спам»
Например: v=DMARC1;p=quarantine;rua=mailto:admin@retailcrm.ru.
p=reject
Отклонять письма, не прошедших проверку DMARC.
Вы можете задать процент отклонения подозрительных писем с помощью тега pct. Значение по умолчанию — 100%.

Например, мы решили отклонять 25% писем: v=DMARC1;p=reject;pct=25;rua=mailto:admin@retailcrm.ru.

Запомнить

  1. SPF и DKIM подтверждают, что рассылки приходят именно от вас.
  2. DMARC прописывает алгоритм, что делать с письмами, которые не прошли проверку.
  3. Настройки производятся на сайте компании, предоставившей вам хостинг домена. Для этого создаются TXT-записи.
  4. Чтобы всё работало без ошибок, стоит проверять настройки. Для этого используйте сервисы просмотра DNS-записей и отправьте тестовое письмо.
  5. Правильная настройка SPF, DKIM и DMARC снижает риск попадания писем в спам.
Анастасия Вакульская
Копирайтер retailCRM
Оцените статью
Попробуйте retailCRM в действии
Тариф «Профессиональный» 14 дней бесплатно
Нажимая на кнопку, вы соглашаетесь с условиями пользовательского соглашения