SPF, DKIM и DMARC: как защитить доменную почту от спама и подделки

SPF, DKIM и DMARC — это DNS-записи, которые помогают почтовым сервисам понять, действительно ли письмо отправлено от вашего домена. Они не заменяют пароль от ящика и не гарантируют попадание каждого письма во “Входящие”, но без них доменная почта чаще попадает в спам или отклоняется.

За что отвечает каждая запись

Рекомендуемый порядок настройки

1. Определите, кто отправляет почту от домена: сервер хостинга, Google Workspace, CRM, формы сайта или несколько сервисов сразу.
2. Создайте одну SPF TXT-запись, в которой учтены все легальные отправители. Несколько SPF-записей для одного домена делать нельзя.
3. Включите DKIM в почтовом сервисе и добавьте выданную TXT-запись в DNS.
4. Начните DMARC с мягкой политики p=none, проверьте доставку и только потом переходите к более строгой политике.
5. После изменения DNS дождитесь обновления записей и проверьте домен внешним сервисом или тестовой отправкой на Gmail/Outlook.

Частые ошибки

• У домена одновременно создано несколько SPF-записей. Получатели могут считать это ошибкой SPF permerror.
• Сайт отправляет письма через PHP mail() без SMTP-авторизации, поэтому SPF/DKIM проходят нестабильно.
• Используется Google Workspace или другой внешний почтовый сервис, но старая SPF-запись хостинга не обновлена.
• DMARC сразу поставили в reject, и легальные письма из форм, CRM или рассылок начали отклоняться.

Если почту от домена отправляют несколько сервисов, сначала нужно составить список реальных отправителей и только потом собирать DNS-записи.