Настройка SPF-записи и политики DMARC

Общие сведения.

Что это такое?

Если говорить простым языком, то SPF — один из видов записей в DNS вашего домена. Запись реализует механизм для проверки подлинности сообщения, путем проверки сервера отправителя. Настройка будет эффективна при настроенной DKIM и даст возможность настроить DMARC, о которой ниже.

DMARC — целая спецификация, созданная группой организаций. Как и другие записи и подписи, она призвана сократить количество спама и фишинговых писем. Благодаря в том числе другим записям, DMARC помогает исключить ситуацию, когда письмо приходит от якобы знакомого отправителя, но на деле с  чужого (мошеннического?) сервера.

А можно подробнее?

Конечно. Sender Policy Framework, SPF (инфраструктура политики отправителя) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208. Благодаря SPF можно проверить, не подделан ли домен отправителя. SPF позволяет владельцу домена, в TXT-записи, соответствующей имени домена, указать список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене. Агенты передачи почты, получающие почтовые сообщения, могут запрашивать SPF-информацию с помощью простого DNS-запроса, верифицируя таким образом сервер отправителя.

Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC — это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. То есть почтовый сервер сам решает, хорошее сообщение или плохое (допустим, исходя из политик выше) и действует согласно DMARC записи.

Для SPF в DNS домена X прописывается специальная запись, в которой указаны сервера, имеющие право на отправку писем с обратным адресом (return-path) на домене X. Таким образом, чтобы отправлять письма с ваших серверов, человек должен иметь доступ к DNS домена X, чтобы прописать необходимые сервера.

DMARC проверяет соответствие домена отправителя (FROM), а также домена обратного адреса (return-path) и DKIM. Для того, чтобы пройти проверку DMARC, необходимо хотя бы соответствие домена отправителя (FROM) и (return-path). То есть необходимо корректно настроить SPF.

Плюсы использования SPF и DMARC

Данные записи являются логическим продолжением вектора, взятого вами при настройке DKIM-подписи. Вместе с ней они обеспечивают более глубокую защиту от подделки ваших писем.

Помимо преимуществ, которые дает DKIM, с этими записями вы можете выбрать, что делать с письмами при несоответствии: доставлять во входящие, доставлять в спам или отвергать на этапе приема. Таким образом DMARC помогает исключить ситуацию, когда письмо приходит от якобы знакомого отправителя, но фактически с чужого (не разрешенного вами) сервера.

Кому доступна настройка?

Для пользователей других тарифов письма также имеют SPF, но запись общая для всех пользователей сервиса. Это позволяет получить хороший базовый уровень защиты от подделки письма.

Как подключить?

Создайте почту и напишите в службу поддержки

Создайте новый почтовый адрес на вашем домене. Это должен быть отдельный адрес, который не будет использоваться для рассылки. На него будут приходить сообщения о несуществующих подписчиках (адресах, введенных ошибочно, заброшенных ящиках и т. п.). Для настройки и работы системы нам понадобится доступ к этому ящику: IMAP сервер, логин и пароль.

Напишите нам. Проще всего сделать это прямо из личного кабинета.

В теме запроса укажите: «Настройка SPF и DMARC». В самом сообщении необходимо указать:

• ваш логин;
• ваш домен, для которого необходимо настроить записи;
• адрес почты для spf (адрес должен быть на домене из предыдущего пункта);
• IMAP сервер;
• логин и пароль от этой почты.

В нашем случае это будет выглядеть так:

«Прошу настроить SPF и DMARC для домена — «my_domain»
логин: my_login
домен: my_site.ru
e-mail для SPF: spf@my_site.ru
IMAP: imap.my_hoster.ru
логин/пароль: my_login/my_password»

Получите ответ и добавьте одну запись

Записи настраиваются преимущественно на стороне нашего сервиса, но некоторые действия должны выполнить именно вы. И так, получив ваше сообщение с начальными данными, наши программисты сделают необходимые настройки. В ответном сообщении мы попросим вас сделать некоторые настройки на вашем хостинге, например:

«Пропишите в редакторе DNS на вашем хостинге для домена my_site.ru следующую запись:

your.site in TXT "v=spf1 a mx ~all"

После этого вам нужно зайти на ваш хостинг и добавить эту запись.

На хостинге это будет выглядеть приблизительно так, как на скриншоте ниже. Приблизительно, потому, что панели управления разных хостингов могут отличаться, но смысл куда и что писать вам будет понятен из этого скриншота.

Сообщите о том, что записи готовы

После того как вы сделаете настройки, описанные выше, сообщите нам об этом обратным письмом. Мы активируем необходимые настройки со своей стороны. И попросим Вас прописать еще одну, финальную запись в DNS.

Дождитесь ответа и завершите настройку

После того, как мы активируем необходимые настройки со своей стороны, мы попросим вас прописать еще одну, финальную запись в DNS.

Это будет выглядеть примерно так:

«Настройки почти завершены. Мы сделали со своей стороны все, что требовалось. Осталась последняя запись. Пропишите в редакторе DNS на вашем хостинге для домена my_site.ru следующую запись:

_dmarc.my_site.ru IN TXT «v=DMARC1; p=reject; sp=reject; adkim=relaxed; aspf=relaxed»

Что стоит сделать дальше?

Подключите «Почтовый Офис» от Яндекс и «ПостМастер» от Mail.ru