SPF, DKIM и DMARC — аутентификация почты в DNS
spf dkim dmarc dns · аутентификация почты · проверка spf · dmarc txt запись
Как SPF, DKIM и DMARC работают вместе, примеры строк, alignment и проверка аутентификации через DNS Checker.
Автор: DN01 Network Team
Современная доставляемость опирается на три TXT-стандарта: SPF перечисляет, кто может отправлять от имени домена, DKIM криптографически подписывает письма, DMARC сообщает получателям, как обрабатывать сбои и куда слать агрегированные отчёты.
Публикуйте все три после подключения Google Workspace, Microsoft 365 или SMTP-relay. Проверьте live-значения в DNS Checker, затем мониторьте репутацию через Blacklist Checker при внезапных deferrals массовой рассылки.
SPF (Sender Policy Framework)
SPF TXT на apex часто выглядит как `v=spf1 include:_spf.google.com ~all`. Механизмы: ip4, include, a, mx и квалификатор all. Hard fail (-all) строже soft fail (~all).
Только одна SPF TXT на имя. Объединяйте include вместо второй записи. Синтаксис и лимит 10 DNS-lookup при оценке SPF — в RFC 7208.
DKIM (DomainKeys Identified Mail)
DKIM публикует публичный ключ в TXT на `selector._domainkey.example.com`. Селектор задаёт почтовый провайдер. Ключи ротируют — обновляйте DNS при генерации нового селектора в панели.
Alignment — совпадение домена подписи с доменом From (strict) или организационным доменом (relaxed). Несогласованный DKIM может криптографически верифицироваться, но не удовлетворять DMARC.
DMARC (Domain-based Message Authentication)
DMARC живёт на `_dmarc.example.com` как `v=DMARC1; p=none|quarantine|reject; rua=mailto:[email protected]`. Начните с p=none для сбора отчётов, затем ужесточайте политику.
DMARC проходит, когда SPF или DKIM согласованы с From и хотя бы один проходит. Исправить DMARC без SPF/DKIM невозможно — сначала настройте аутентификацию.
Чеклист проверки
Запросите apex TXT для SPF, selector TXT для DKIM, `_dmarc` для политики. Отправьте тестовое письмо в ящик с заголовком Authentication-Results. После ротации ключей повторите проверку с учётом TTL.
DIG с типом TXT — для сырых multi-string ответов во вложения к тикетам.
| Стандарт | Расположение | Пример фрагмента |
|---|---|---|
| SPF | example.com TXT | v=spf1 include:send.example.net -all |
| DKIM | s1._domainkey.example.com TXT | v=DKIM1; k=rsa; p=MIGfMA0G... |
| DMARC | _dmarc.example.com TXT | v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected] |
Частые вопросы
- Могут ли SPF и DKIM не пройти, а письмо всё равно доставиться?
Да — получатели могут принять с пониженным spam score. Политика DMARC определяет quarantine или reject при сбоях.
- Сколько include в SPF — уже слишком?
Более десяти DNS-lookup при оценке SPF ломает проверку по спецификации. Сокращайте include или аккуратно используйте SPF macros.
- Нужен ли DMARC с первого дня?
Сначала p=none с отчётами. Переходите к quarantine/reject, когда SPF и DKIM стабильно aligned.
- Где место BIMI?
BIMI — опциональный брендинг поверх DMARC с p=quarantine или reject и verified mark certificate; для базовой настройки не обязателен.