Что такое SPF, DKIM и DMARC и почему вы обязательно должны их настроить
Сервис Mailigen прошел проверку в Роскомнадзоре и полностью соответствует требованиям 152-ФЗ «О персональных данных»

Что такое SPF, DKIM и DMARC и почему вы обязательно должны их настроить

dkim spf dmarc

Разобраться в технических записях и терминологии, когда ты обычный макетолог, не всегда легко. На всех курсах для email-маркетологов, говорят, что у каждого домена-отправителя должны быть прописаны SPF, DKIM и DMARC. Что без этого письма не будут доставляться или, в лучшем случае, попадут в СПАМ.

Чтобы раз и навсегда разобраться с этими аббревиатурами и разложить вбитые насмерть аксиомы по полочкам, попросила нашего саппорт-ангела Артема написать доходчиво и понятно: как, зачем и почему у всех должны быть эти цифровые подписи.

Итак, чтобы прописать необходимые записи, нам нужен доступ к DNS (Domain Name System). Обычно доступ к DNS в компании имеют системные администраторы или, на крайний случай, программисты. Для них вы должны написать ТЗ, по которому они смогут добавить записи в DNS.

Что такое SPF?

SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять почту с вашего домена. Важно помнить, что SPF запись может быть только одна для одного домена. В рамках одной SPF может быть несколько записей (например, если письма отправляются с нескольких платформ для рассылок — маловероятно, но все же). Для поддоменов нужны свои записи.

Допустим, почтальон принес письмо с доставкой до квартиры, но, как бдительный гражданин, вы для начала звоните на почтамт и спрашиваете, есть ли у них такой сотрудник и может ли он приносить письма. На почтамте сверяются со списком всех служащих и отвечают. Так вот SPF – это список таких вот «сотрудников», которым вы доверяете доставлять свои письма.

Сама запись SPF создается с помощью нескольких правил. Синтаксис SPF:

  • "+" – пропустить. Используется, чтобы добавить адрес(а).
  • "?" – результат не определен. Примерно то же самое, что полное отсутствие записи.
  • "~" – мягкий отказ. Что-то среднее между неопределенностью и отказом. Такие письма обычно принимаются, но скорее всего попадут в папку «Спам».
  • "–" – твердый отказ. Такие письма не будут приниматься вообще.

Наиболее используемые механизмы:

  • "a" – позволяет добавить (удалить) в список адреса из всех записей типа А для домена. Такая запись необходима, если письма отправляются напрямую с хостинга или сервера, привязанного к домену.
  • "mx" – позволяет добавить (удалить) в список адреса из всех записей типа MX для домена. Такая запись необходима, если письма отправляются с личных почтовых серверов, принадлежащих домену.
  • "include:example.com" – позволяет добавить (удалить) в список адреса, прописанные для другого домена.
  • "ip4" или "ip6" – такая запись позволит напрямую добавить (удалить) IP-адрес(а) сервера, имеющего разрешение отправлять письма. Число, соответственно, обозначает 4 или 6 версию протокола.
  • "all" – все случаи. Обычно используется после внесения всех положительных правил для отсечения остальных случаев.

А также часто используемый модификатор:
"redirect=example.com" – позволяет полностью перевести запрос на другой домен. Обычно такая запись имеет смысл, если письма принимаются и отправляются только внешним сервисом.

Например, запись: «v=spf1 +a -mx ?include:example.com ~all» даст следующий результат:
1) "+а" – добавить в список все ip-адреса из записей A на домене;
2) "- mx" – исключить из списка все ip-адреса из записей MX на домене;
3) "?include:example.com" – всем правилам, прописанным для домена «example.com», присвоить нейтральное отношение;
4) "~all" –  всем остальным ip-адресам присвоить мягкий возврат (попадание в папку «спам»).

Проверить SPF можно здесь.

Что такое DKIM?

DKIM (DomainKeysIdentifiedMail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.

Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.

Если брать ту же аналогию c почтальоном, как и для SPF, то подписью DKIM будет удостоверение почтальона с печатью и идентификационным номером, которое можно проверить звонком на почтамт.

Запись DKIM формируется проще, чем SPF. Вот 3 главные вещи, которые нужно указать:

  • "v" – версия протокола, всегда устанавливается как DKIM1.
  • "k" – тип ключа, всегда указывается как rsa.
  • "p" – сам открытый ключ.

Пример записи домена mailigen.com:
«v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+

UZnYHiNV8rWYvfH/qaOzwD9q8jivC7zk4GJuXh9cECd3MAb3sw+Qet10E5RkeLzDw+

0zKecYQWKCXWSGKOeHDfyP9VqrlL2Bi1KieM8Q0KsFFwC5eoZqil/PwDhGlkFcNYae3TrWwIDAQAB»

Проверить DKIM можно здесь.

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reportingand Conformance) —это политика, которая показывает как обходиться с письмами, не прошедшими проверок SPF и DKIM.

Прибегая к аналогии с почтальоном – это решение, которое вы примете после всех проверок: пустить или не пустить.

На самом деле в случае с DMARC есть три настройки, что делать с письмами, не прошедшими проверку: ничего, отправить в спам или вообще не принимать. Более того, каждый день можно получать отчеты на свой почтовый ящик.

К сожалению, отчеты приходят в формате, плохо воспринимаемым людьми, но есть специальные инструменты для преобразования отчета в читаемый формат, например, этот.

Проверить DMARC можно здесь.

DMARC-infographic

Надеюсь, что эта статья помогла вам разобраться в синтаксисе записей, и теперь вы с легкостью сможете написать ТЗ для системного администратора или программиста на внесение этих записей в DNS.

P.S. Остались вопросы? Пишите на team@mailigen.ru

Что такое SPF, DKIM и DMARC и почему вы обязательно должны их настроить