Аутентификация email: SPF, DKIM и DMARC

Определение

Аутентификация email — это набор протоколов, которые проверяют личность отправителя почтового сообщения. Три основных метода аутентификации — SPF, DKIM и DMARC — работают вместе, чтобы доказать, что письма действительно приходят с вашего домена и не были изменены при передаче.

Случаи использования

Защита вашего домена от подделки email и фишинговых атак

Улучшение показателей попадания во входящие для маркетинговых и транзакционных писем

Соответствие требованиям крупных email-провайдеров, таких как Gmail и Yahoo

Построение репутации отправителя у email-сервис-провайдеров

Получение видимости несанкционированного использования вашего домена через отчёты DMARC

Поддержка соответствия регуляторным требованиям для отраслей, требующих защищённых коммуникаций

Почему это важно

Аутентификация email напрямую влияет на вашу доставляемость и защиту бренда. Без правильной аутентификации email-провайдеры, такие как Gmail и Outlook, с большей вероятностью пометят ваши сообщения как спам или полностью отклонят их. Крупные email-провайдеры теперь требуют аутентификацию для массовых отправителей — Google и Yahoo обязали SPF, DKIM и DMARC для отправителей более 5000 писем в день с февраля 2024 года. Аутентификация также предотвращает подделку вашего домена злоумышленниками для отправки фишинговых писем, наносящих ущерб репутации вашего бренда.

Как это работает

Аутентификация email использует DNS-записи для проверки личности отправителя. SPF (Sender Policy Framework) указывает, какие почтовые серверы могут отправлять письма от имени вашего домена. DKIM (DomainKeys Identified Mail) добавляет криптографическую подпись к каждому письму, которую принимающие серверы могут проверить по публичному ключу в вашем DNS. DMARC (Domain-based Message Authentication, Reporting and Conformance) связывает SPF и DKIM вместе и сообщает принимающим серверам, что делать при сбое аутентификации — поместить сообщение в карантин, отклонить или пропустить. Когда все три протокола согласованы, принимающие серверы могут доверять легитимности ваших писем.

Лучшие практики

Внедряйте все три протокола аутентификации (SPF, DKIM, DMARC) вместе

Избегайте множественных SPF-записей — объединяйте всех авторизованных отправителей в одну запись

Начните с политики DMARC p=none для мониторинга перед применением

Еженедельно просматривайте отчёты DMARC для выявления легитимных отправителей, которых вы могли пропустить

Обновляйте DNS-записи при добавлении или удалении сервисов отправки email

Используйте 2048-битные ключи для DKIM для обеспечения сильной криптографической безопасности

Тестируйте аутентификацию с помощью инструментов типа MXToolbox или EmailVerify перед отправкой кампаний

Постепенно переходите к более строгим политикам DMARC (карантин, затем отклонение) со временем

Часто задаваемые вопросы

Нужны ли мне все три метода аутентификации (SPF, DKIM, DMARC)?

Да, внедрение всех трёх обеспечивает наиболее сильную защиту. SPF и DKIM проверяют разные аспекты подлинности email, тогда как DMARC обеспечивает применение политики и отчётность. Крупные email-провайдеры, такие как Gmail, теперь требуют все три для массовых отправителей.

Что происходит при сбое аутентификации email?

При сбое аутентификации принимающие серверы могут отклонить ваше письмо, отправить его в спам или принять с предупреждениями в зависимости от вашей политики DMARC и конфигурации принимающего сервера. Сбои аутентификации со временем вредят вашей репутации отправителя.

Как исправить ошибку множественных SPF-записей?

DNS позволяет только одну SPF-запись на домен. Если несколько сервисов отправляют email, объедините всех авторизованных отправителей в одну SPF-запись с помощью операторов include. Например: v=spf1 include:_spf.google.com include:sendgrid.net -all

Сколько времени занимает вступление изменений аутентификации в силу?

Изменения DNS обычно распространяются в течение 24-48 часов, хотя многие серверы обновляются быстрее. Используйте низкие значения TTL при внесении изменений для быстрого распространения обновлений. Всегда тестируйте аутентификацию перед отправкой крупных кампаний.

Аутентификация email

Все термины email, которые вам нужно знать для освоения email-маркетинга и доставляемости, объяснённые просто и понятно.