Найти в Дзене
IT For Prof (Айти Фор Проф)
7 подписчиков

Как правильно настроить SPF, DKIM и DMARC для корпоративной почты

2 мин
Письмо, которое вы отправили клиенту или партнёру, может никогда не дойти — не потому что ящик переполнен, а потому что сервер получателя просто отклонит его как подозрительное. Три DNS-записи — SPF, DKIM и DMARC — это минимальный технический стандарт, без которого корпоративная почта работает ненадёжно. С 2024 года Google, Microsoft и Яндекс требуют наличие всех трёх механизмов для массовой рассылки. Когда письмо приходит на почтовый сервер получателя, тот задаёт один главный вопрос: можно ли доверять отправителю? Без дополнительных сигналов ответить на него сложно — любой злоумышленник может указать в поле «От» любой адрес. Они отвечают на три вопроса: SPF — с какого сервера разрешено отправлять почту, DKIM — подписано ли письмо вашим доменом, DMARC — что делать с письмом, не прошедшим проверку. Без этих записей письма с вашего домена будут попадать в спам или отклоняться. Домен остаётся уязвимым для подделки. SPF (Sender Policy Framework, RFC 7208) — TXT-запись в DNS, которая пере
Оглавление

Письмо, которое вы отправили клиенту или партнёру, может никогда не дойти — не потому что ящик переполнен, а потому что сервер получателя просто отклонит его как подозрительное. Три DNS-записи — SPF, DKIM и DMARC — это минимальный технический стандарт, без которого корпоративная почта работает ненадёжно. С 2024 года Google, Microsoft и Яндекс требуют наличие всех трёх механизмов для массовой рассылки.

Зачем нужны SPF, DKIM и DMARC

Когда письмо приходит на почтовый сервер получателя, тот задаёт один главный вопрос: можно ли доверять отправителю? Без дополнительных сигналов ответить на него сложно — любой злоумышленник может указать в поле «От» любой адрес.

Они отвечают на три вопроса: SPF — с какого сервера разрешено отправлять почту, DKIM — подписано ли письмо вашим доменом, DMARC — что делать с письмом, не прошедшим проверку.

Без этих записей письма с вашего домена будут попадать в спам или отклоняться. Домен остаётся уязвимым для подделки.

SPF — кто имеет право отправлять письма

SPF (Sender Policy Framework, RFC 7208) — TXT-запись в DNS, которая перечисляет серверы и IP-адреса, имеющие право отправлять почту от имени вашего домена.

Критическое ограничение: RFC 7208 §4.6.4 разрешает не более 10 DNS-запросов. Превышение вызывает ошибку PermError. В DNS должна быть ровно одна TXT-запись с v=spf1 — две записи приводят к PermError согласно RFC 7208 §4.5.

DKIM — цифровая подпись каждого письма

DKIM (DomainKeys Identified Mail, RFC 6376) доказывает, что письмо отправлено именно с вашего сервера и не было изменено в пути. Механизм работает через пару криптографических ключей.

Минимум — 1024 бита, стандарт с 2024 года — 2048 бит. Google и Microsoft понижают рейтинг писем с 1024-битными ключами. Ротацию ключей рекомендуется проводить раз в год.

DMARC — политика и отчёты

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) объединяет SPF и DKIM в единую политику. Параметр rua= критически важен: без него мониторинг превращается в наблюдение вслепую.

Рекомендованный путь: начните с p=none + rua=, собирайте отчёты 2–4 недели, переходите на p=quarantine, затем на p=reject после стабилизации.

Типичные ошибки и как их избежать

Превышение 10 DNS-запросов в SPF. Заменяйте include: на конкретные ip4: и ip6: там, где адреса стабильны.

Ключ DKIM 1024 бит. С 2024 года Google, Microsoft и Яндекс снижают рейтинг таких писем. Перегенерируйте с -b 2048.

DMARC без rua=. Запись p=none без адреса отчётов технически корректна, но бесполезна для мониторинга.

Две SPF TXT-записи. Перед добавлением новой убедитесь, что старая удалена.

Настройка занимает 20–30 минут. Полный цикл с мониторингом — 2–4 недели.

Полная инструкция на сайте: https://itforprof.com/blog/nastrojka-spf-dkim-dmarc/?utm_source=dzen&utm_medium=social&utm_campaign=nastrojka-spf-dkim-dmarc

Гаджеты и электроника
5,73 млн интересуются