009 | Настройка DNS для почты и сайта Часть 2 — Защита почты (SPF, DKIM, DMARC)

Продолжая тему DNS, помимо основных A и MX записей, есть ещё три критически важные записи, которые отвечают за безопасность вашей почты и её доставляемость — то есть, чтобы ваши письма не попадали в спам. Это SPF, DKIM и DMARC. Они действуют как своеобразные цифровые печати и правила проверки для вашей корреспонденции, подтверждая её подлинность.

• SPF-запись (Sender Policy Framework): Разрешаем отправку

  Что это: SPF-запись — это текстовая запись (TXT), которая перечисляет все почтовые серверы, которым разрешено отправлять электронные письма от имени вашего домена.

  Зачем нужна: Это мощная защита от спуфинга (подделки адреса отправителя). Если письмо приходит якобы от вашего домена, но с сервера, не указанного в SPF, другие почтовые службы могут посчитать его спамом или вредоносным. Правильный SPF значительно повышает доставляемость ваших писем.

  Пример настройки:

  vashbiznes.ru. IN TXT "v=spf1 include:_spf.google.com include:mail.vashbiznes.ru -all"

  Здесь v=spf1 указывает версию SPF. include: добавляет другие разрешенные домены (например, если вы пользуетесь G Suite для почты). -all означает, что все остальные серверы не имеют права отправлять почту от вашего имени.

• DKIM-запись (DomainKeys Identified Mail): Цифровая подпись писем

  Что это: DKIM добавляет цифровую подпись к каждому исходящему письму. Получатель может проверить эту подпись, используя публичный ключ, который вы публикуете в DNS.

  Зачем нужна: Подпись DKIM подтверждает, что письмо действительно было отправлено с авторизованного сервера (и не было изменено в процессе доставки), что сильно повышает доверие к вашим письмам и снижает вероятность попадания в спам.

  Пример настройки:

  Сначала вам нужно сгенерировать DKIM-ключи (обычно это делает ваш почтовый сервис или сервер).

  selector._domainkey.vashbiznes.ru. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..."

  selector — это уникальное имя, которое генерируется для вашего ключа. p= — это ваш публичный ключ DKIM, который будет очень длинным.

• DMARC-запись (Domain-based Message Authentication, Reporting & Conformance): Политика обработки подозрительных писем

  Что это: DMARC — это текстовая запись (TXT), которая указывает почтовым провайдерам, что делать с письмами, которые не прошли проверки SPF и/или DKIM. Она также позволяет вам получать отчеты о таких письмах.

  Зачем нужна: DMARC объединяет SPF и DKIM, предоставляя вам контроль над тем, как обрабатываются письма, отправленные якобы от вашего домена, но не прошедшие проверку подлинности. Это ещё один мощный инструмент для борьбы со спамом и фишингом.

  Пример настройки:

  _dmarc.vashbiznes.ru. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc_reports@vashbiznes.ru"

  v=DMARC1 указывает версию. p=quarantine означает, что письма, не прошедшие проверку, должны быть отправлены в папку “Спам”. Есть и другие опции, например, p=none (только мониторинг) или p=reject (отклонять). rua=mailto: указывает адрес, на который вы будете получать отчеты о прохождении проверок.