Как проверить SPF-запись для домена

Немалая часть электронных писем, поступающих на почту – это спамом или злонамеренные мошеннические послания. Чтобы оградить адресатов от таких угроз, почтовые сервисы применяют систему цифровых подписей: SPF, DKIM и DMARC. Они представляют собой контрольные механизмы, позволяющие серверу принять решение о доставке, отклонении или отправке корреспонденции в спам. В связи с этим организации, занимающиеся рассылками, настраивают цифровые подписи для своих доменных имён. Такая позиция повышает их авторитет в глазах почтовых операторов, что положительно сказывается на успешности доставки корреспонденции.

Эта статья о том, как проверить SPF-запись для домена.

Что такое digital подпись SPF

Она расшифровывается как Sender Policy Framework и представляет собой перечень IP-адресов, зашифрованный в кодовом виде, который владельцы доменов (domain) вносят в его настройки. Этот список указывает серверы, с которых разрешается отправлять корреспонденцию от имени данного домена.

Sender Policy Framework — это часть общего подхода к безопасности электронной почты. В сочетании с другими механизмами аутентификации, такими как DKIM и DMARC, он создаёт многоуровневую защиту от мошенничества.

Принцип работы

Подпись работает на основе проверки DNS-записей. Её задача – установить вправе ли почтовый сервер отправлять корреспонденцию от имени домена. Этапы:

Настройка

Владелец домена в формате TXT создаёт SPF-запись в своём DNS, включающую список серверов, обладающих правом отправлять корреспонденцию от имени этого домена. Пример:

v=spf1 ip4:192.0.2.0/24 include:_spf.example.com -all,

где:

v=spf1 — это версия SPF;

ip4:192.0.2.0/24 — разрешает отправку из указанного диапазона IP-адресов;

include:_spf.example.com — включает digital  другого domain;

-all — указывает, что все другие серверы, отсутствующие в записи, не вправе отправлять корреспонденцию от имени этого domain и такие сообщения будут отклонены.

Отправка сообщений

Когда отправляющий сервер пытается отправить сообщение, он соединяется с почтовым сервером получателя и передаёт информацию об отправителе (например, from@example.com).

Проверка digital подписи

Получив сообщение, сервер адресата:

1. Извлекает domain отправителя, получая его из адреса электронной почты отправителя (например, example.com).
2. Делает запрос к DNS для получения SPF-записи domain.
3. Проверяет IP-адреса, сравнивая его с IP-адресами, внесёнными в SPF-записи:
4. если IP-адрес совпадает с одним из внесённых в список, проверка проходит успешно;
5. если IP-адрес не указан, то результат проверки зависит от параметров digital подписи (например, ~all означает «мягкое» несоответствие, а -all на «жёсткое»).

Дальнейшие действия

На основе результата проверки Sender Policy Framework сервер получателя решает:

1. Принять, если проверка прошла успешно, e-mail доставляется в папку «Входящие».
2. Пометить как спам, если проверка не прошла, но используется «мягкое» несоответствие (~all), e-mail может быть помещён в спам или помечен как подозрительный.
3. Отклонить, если используется «жёсткое» несоответствие (-all), письмо будет отклонено.

Зачем нужна digital подпись

1. Защита от спама и фишинга. Sender Policy Framework помогает предотвратить использование domain для рассылки спама или фишинговых атак. Если мошенник попытается отправить вредоносную корреспонденцию от имени вашего домена с сервера, который не внесён в SPF-записи, она будет отклонена или помечена как спам.
2. Повышение доверия получателей. Если к вашему domain привязана SPF-запись, почтовые сервисы, такие как Gmail, будут более уверены в том, что корреспонденция от вашего домена действительно исходят от вас. Это может повысить вероятность их доставки в папку «Входящие».
3. Улучшение репутации домена. Правильно настроенные цифровые подписи повышают общую репутацию домена среди почтовых провайдеров, что снизит риск блокировок и ошибок доставки.

Пошаговое руководство по созданию digital подписи

Настройка осуществляется на платформе DNS-провайдера, управляющего вашим domain. Она производится так:

1. Определяется перечень серверов, имеющих право отправлять e-mails. К ним относятся почтовые серверы крупных провайдеров таких, как «Яндекс» или Gmail, а также облачные почтовые сервисы, например, Google Cloud.
2. Создают (вручную или через генератор) TXT-запись DNS, представляющую собой текстовую информацию, связанную с вашим доменом. TXT-записи используются для различных целей, например, для подтверждения владения domain. Но в данном случае они служат контейнером для хранения SPF-записи, максимальный размер которой ограничен 255 символами, а размер файла TXT не превышает 512 байт.
3. Чтобы настроить TXT-запись DNS, надо войти в панель управления DNS-провайдером и отыскать раздел для управления записями домена.
4. После внесения всех необходимых изменений рекомендуется использовать специальный сервис для проверки корректности настроек:
   • есть ли где-либо официально опубликованная информация о SPF;
   • не допускается ли превышение установленных ограничений;
   • не использованы ли запрещённые символы;
   • сохранена ли аутентичность присвоенных IP-адресов и доменных имён.

Одним из примеров такой проверки является сервис MxToolbox, где необходимо лишь указать домен, а затем из предложенных вариантов выбрать «SPF Record Lookup».

Почему digital подпись настраивают не всегда

Некоторые сервисы рассылок упрощают процесс настройки SPF-подписи, автоматически выполняя все необходимые шаги. В этом случае пользователю не требуется самому заниматься её настройкой. Информация о наличии такой автоматизированной настройки обычно содержится в руководстве по настройке digital подписей.

Проверка и отладка

Чтобы убедиться в правильной настройке цифровой подписи при использовании рассылочных сервисов, достаточно взглянуть на статус записи в их панели управления. Например, в Unisender успешно созданная SPF-запись отмечается зелёным индикатором.

Проверить корректность SPF-записи можно также с помощью специализированных онлайн-сервисов таких, как MailTester.com. Пошлите на сервис письмо, и система определит, насколько велика вероятность его попадания в папку «Входящие». После завершения процесса сервис отобразит итоговую оценку, а также информацию о текущем состоянии настройки email-аутентификации.

Что делать, если корреспонденция попадают в «Спам»

1. Проверьте настройки digital подписей SPF, DKIM и DMARC:
   • убедитесь, что ваша SPF-запись настроена правильно и включает все серверы, отправляющие сообщения от вашего домена;
   • настройте DKIM для подписи ваших сообщений, что поможет подтвердить их подлинность;
   • настройте DMARC-политику, чтобы указать, как ваш домен должен обрабатывать корреспонденцию, которая не проходит проверки SPF и DKIM.

2. Проверьте правильность этих записей в DNS.
3. Улучшите содержание и формат ваших emails:
   • избегайте использования триггерных слов и фраз, которые часто воспринимаются системой как спам (например, «бесплатно», «подарки», «заработай деньги»);
   • пользуйтесь хорошим форматом электронной почты, включая текстовое и HTML-содержимое, чтобы ваше e-mail выглядело профессионально;
   • добавьте в email явную подпись с вашей контактной информацией.

4. Убедитесь, что у вас есть разрешение на отправку сообщений:
   • отправляйте emails только тем, кто дал согласие (opt-in) на получение вашей рассылки;
   • убедитесь, что у вас есть возможность отписаться (unsubscribe) от рассылки, чтобы пользователи могли легко выйти.

5. Проверьте репутацию вашего domain и IP-адреса:
   • если они были помечены как источники спама, это может повлиять на доставляемость ваших писем;
   • если ваш domain или IP-адрес находится в чёрном списке, вам нужно будет следовать процессу удаления из чёрного списка.

6. Тестируйте свои письма:
   • используйте инструменты тестирования, например Mail Tester, чтобы проверить, почему ваши e-mails попадают в спам;
   • отправьте тестовое письмо себе и другим людям, чтобы посмотреть, в какие папки оно попадает.

Заключение

Digital подпись — это эффективный способ защиты доменов от несанкционированных отправок. Правильная настройка в сочетании с другими механизмами аутентификации такими, как DKIM и DMARC, значительно повышает безопасность электронной почты.Теперь вы знаете, как проверить свою SPF-запись для домена. Сделайте это сегодня и защитите своих подписчиков!