Что такое google sfp
Настройка DKIM/SPF/DMARC записей или защищаемся от спуфинга
1. DKIM
DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. Публичный ключ хранится TXT записи домена.
Зачем же он нужен?
DKIM необходим для того, чтобы почтовые сервисы могли проверять, является ли отправитель достоверным или нет. Т.е. защищает получателя письма от различных мошеннических писем (которые отправлены с подменой адреса отправителя).
Настройка DKIM подписи и DNS записей
Для это нам необходимо создать пару ключей:
Или можно воспользоваться онлайн-сервисом, чего я крайне не советую.
Далее необходимо указать путь с секретному ключу в файле конфигурации (для этого лучше почитать документацию) почтового сервера и публичный ключ в DNS.
Так же стоит прописать ADSP запись, которая позволяет понять, обязательно должно быть письмо подписано или нет.
_adsp._domainkey.example.com. TXT «dkim=all»
Значений может быть три:
all — Все письма должны быть подписаны
discardable — Не принимать письма без подписи
unknown — Неизвестно (что, по сути, аналогично отсутствию записи)
2. SPF
SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208 (Wiki). Если простым языком, то SPF — механизм для проверки подлинности сообщением, путем проверки сервера отправителя. Как по мне, данная технология полезна в связке в другими (DKIM и DMARC)
Настройка SPF записей
» — дополнительные проверки, «?» — нейтрально.
3.DMARC
Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC — это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя (Wiki). То есть почтовый сервер сам решает, хорошее сообщение или плохое (допустим, исходя из политик выше) и действует согласно DMARC записи.
Настройка DMARC записей
Типичная запись выглядит так: _dmarc.your.tld TXT «v=DMARC1; p=none; rua=mailto:postmaster@your.tld»
В ней не предпринимаются никакие действия, кроме подготовки и отправки отчета.
ruf — отчеты писем, не прошедшие проверку DMARC. В остальном все так же, как и выше.
Эпилог
Мы научились настраивать DKIM/SPF/DMARC и противостоять спуфингу. К сожалению, это не гарантирует безопасность в случае взлома сервера или же отправки писем на серверы, не поддерживающие данные технологии. Благо, что популярные сервисы все же их поддерживают (а некоторые и являются инициаторами данных политик).
Эта статья — лишь инструкция по самостоятельной настройке записей, своего рода документация. Готовых примеров нет намеренно, ведь каждый сервер уникален и требует своей собственной конфигурации.
Как самому настроить SPF-запись?
Блочный редактор писем, готовые шаблоны email, формы подписки и автоматизация. Запускайте email-рассылки, чтобы быть на связи со своими клиентами.
Как развиваться в диджитал. Какие каналы сейчас в тренде. Как зарабатывать больше и поднимать чек за свои услуги.
Рассказываем про инструменты для email-рассылок. Обсуждаем лучшие примеры и механики. Говорим о деньгах. Публикуем вакансии.
Настроенная SPF-запись улучшает доставляемость и защищает домен от того, что его скомпрометируют мошенники. Я расскажу, что такое SPF, почему она важна и как сделать настройку SPF у себя. Если вас не интересует теория, сразу прыгайте в раздел с инструкцией по настройке.
Что такое SPF
SPF (Sender Policy Framework) — txt запись со списком IP-адресов, которым сайт (домен) доверяет отправку писем от своего имени. SPF хранится на домене и ее запрашивает сервер получателя, чтобы определить, доставлять письмо во «Входящие» или в «Спам».
При отправке письма, в поле «с какого адреса» можно указать любой домен — это такая особенность почтовых коммуникаций. Открывается огромный простор для мошенничества: ведь отправитель может легко прикинуться каким угодно доменом, например, доменом Сбербанка.
Чтобы владельцев доменов нельзя было подделать, придумали email-аутентификацию — набор технических предосторожностей. В нее входят запись DKIM, политика DMARC и SPF.
Как SPF защищает домен:
А вот то же самое, только на картинке:
Две причины настроить SPF
Безопасность. Без SPF-записи мошенники смогут отправить письмо якобы от вашего домена. Есть даже специальный термин — фишинг: кража конфиденциальных данных, например, всей информации банковской карты.
Мошенник создает страничку, в которой мимикрирует под известный бренд. Далее рассылает фишинговые письма от имени оригинального домена и потом либо продает слитую информацию, либо похищает деньги с банковских карт.
Для самой же компании это репутационные потери и, возможно, поток жалоб.
Плюс к карме у почтовиков. Почтовые службы любят, когда у отправителя настроена SPF. Если SPF-записи нет, получается, что домен доверяет любому письму от его имени — это настораживает. Соответственно, без SPF высока вероятность, что вашу рассылку заблокируют или отправят в спам.
руководитель антиспам-отдела UniSender
Конечно, на доставляемость сообщений во «Входящие» влияет много факторов: контент письма, количество стоп-слов, репутация домена и IP-адреса, неправильно собранная или старая база, жалобы, аномалии и много других параметров.
По моему опыту, настроенная email-аутентификация сильно влияет доставляемость. У меня даже был кейс, когда просто настройка одной SPF помогла достать рассылку из спама.
Если вы подозреваете, что у вас есть проблема с доставляемостью или письма валятся в спам, никогда не будет лишним настроить email-аутентификацию. И даже если проблем нет — все равно настройте.
Меня часто спрашивают как улучшить доставляемость сообщений и я даже иногда забываю говорить об email-аутентификации, потому что это такая базовая вещь, которая должна быть у любого отправителя.
Инструкция: настраиваем SPF
Для настройки SPF нам нужно наладить связь между сервисом email-рассылок и хостингом, которому делегирован ваш домен. Свой хостинг вы, скорее всего, знаете. А если нет — обратитесь к своему системному администратору.
Дальнейшая инструкция будет на примере хостинга Reg.ru и сервиса рассылки UniSender. Если у вас другой хостинг или сервис рассылки, то переходите в наш сервис общий посыл инструкции сохранится, просто может незначительно отличаться интерфейс.
Начнем. Сейчас мы будем настраивать SPF с нуля. Если она у вас уже есть и вам нужно добавить в нее еще один IP, то вам нужна эта инструкция.
Шаг 1. Заходим в настройки UniSender. Кликаем на свой профиль в верхнем левом углу экрана и в выпадающем меню выбираем «Настройки».
Почему письмо не проходит SPF-проверку в Gmail?
Блочный редактор писем, готовые шаблоны email, формы подписки и автоматизация. Запускайте email-рассылки, чтобы быть на связи со своими клиентами.
Как развиваться в диджитал. Какие каналы сейчас в тренде. Как зарабатывать больше и поднимать чек за свои услуги.
Рассказываем про инструменты для email-рассылок. Обсуждаем лучшие примеры и механики. Говорим о деньгах. Публикуем вакансии.
Вопрос
Почему письмо не проходит SPF-проверку в Google? SPF-запись у нас настроена и опубликована, но в постмастере видим такое:
DMARC и DKIM проходят проверку, а SPF нет
Ответ
Небольшое отступление, для тех, кто не понимает, о чём речь. SPF — это запись, которую отправитель добавляет в DNS-зону домена. В этой записи находится информация, кому мы доверяем отправку своей почты — например, сервису рассылок. Если рассылка с нашего домена будет идти через сервис, которого нет в SPF-записи, почтовая служба (тот же Gmail) её заблокирует.
Теперь отвечу на вопрос.
Проблема на скриншоте выше (на самом деле никакой проблемы нет) возникает при отправке писем через сторонних отправителей, например, через сервисы рассылок.
Любое email-сообщение имеет два технических заголовка: «From» и «Return-path». Заголовок «From» отображается в почтовике и указывает, с какого адреса пришло письмо. Например, у «Вечерней Медузы» это daily@meduza.io, у Litmus — hello@email.litmus.com.
На адрес из заголовка «Return-path» приходят отчёты о недоставке почты. Такое случается, например, когда ящик не существует либо письмо заблокировали спам-фильтры. Часто при отправке письма через сервис рассылок домены «From» и «Return-path» не совпадают. Во «From» указан домен пользователя, а в «Return-path» — email сервиса рассылок, который отвечает за своевременную обработку отчётов о недоставке.
Настройка SPF-записи
Для доменов, делегированных на наши NS-серверы, SPF-запись указывается автоматически и выглядит примерно следующим образом:
Такая запись означает, что письма с данного домена могут отправляться из подсетей 176.57.223.0/24 и 92.53.116.0/22, а письма, пришедшие с других серверов (all), должны проходить дополнительную проверку (
Основной синтаксис
Любая SPF-запись начинается с v=spf1, этот параметр не изменяется. Он указывает на версию записи, и в настоящее время поддерживается только spf1.
Далее указываются параметры (механизмы). Чаще всего используются следующие: all, ip4, ip6, a, mx, include, redirect. Также существуют, но используются значительно реже: ptr, exists, exp. Они все будут рассмотрены ниже.
Помимо механизмов используются префиксы (определители):
Параметр «all» подразумевает все серверы, не упомянутые отдельно в SPF-записи. «All» задает обработку полученных с них писем и указывается в конце записи.
— принимать почту только из подсети 176.57.223.0/24; письма с других адресов должны быть помечены как спам.
— принимать почту только с A-записи домена; письма с других адресов должны отвергаться.
— отвергать все письма с домена. Такую настройку можно использовать для доменов, с которых не должна отправляться вообще никакая почта.
В последующих примерах мы не будем дополнительно комментировать значения параметров
all и -all в SPF-записях.
ip4 / ip6
Используется для указания конкретных адресов и подсетей, из которых могут отправляться письма. Синтаксис для IPv4 и IPv6 идентичен.
— принимать почту из подсети 176.57.223.0/24.
— принимать почту с IPv6-адреса 2001:db8::10.
IP отправителя проверяется на соответствие A-записи домена.
— принимать почту с A-записи текущего домена.
— принимать почту с A-записи домена sub.domain.com.
IP отправителя проверяется на соответствие IP-адресам серверов, указанных в MX-записях домена. На текущий день для многих современных сервисов эта директива уже не так важна, так как серверы входящей и исходящей почты зачастую имеют разные IP.
— принимать почту с MX-серверов текущего домена и домена sub.domain.com.
— принимать почту из подсети, в которую входят MX-серверы текущего домена.
include
Позволяет учитывать в SPF-записи настройки SPF другого домена.
— принимать почту с A-записи текущего домена и серверов, указанных в SPF-записи домена other-domain.com.
redirect
Технически, redirect является модификатором, а не механизмом. Он выполняет одну основную функцию: сообщает, что необходимо применять настройки SPF другого домена.
— почта должна приниматься или отклоняться согласно настройкам домена other-domain.com.
Прочие механизмы
Здесь мы рассмотрим оставшиеся механизмы, которые используются в настройках значительно реже.
PTR-запись IP-адреса отправителя проверяется на соответствие указанному домену. Данный механизм требует большого количества DNS-запросов при проверке, поэтому без острой необходимости использовать его в SPF не рекомендуется.
— принимать почту со всех адресов, PTR-запись которых направлена на домен other-domain.com
exists
Запрашивается А-запись указанного домена; если она существует, проверка считается пройденной. Другими словами, проверяется, резолвится ли домен на какой-либо (любой) IP-адрес.
— принимать почту, если существует A-запись домена mydomain.com.
Параметр «exp» применяется для отправки сообщения об ошибке отправителю письма. С помощью «exp» в SPF прописывается определенный поддомен, в TXT-записи которого указан текст сообщения об ошибке. Имя поддомена и текст ошибки может быть любым.
Параметр «exp» всегда указывается в конце записи (после all).
При этом TXT-запись домена error-spf.mydomain.com содержит: «Not authorized to send mail for this domain».
Примеры настроек
Настройка SPF для «Почты для доменов» от Mail.Ru
(подробнее о настройке DNS для Mail.ru см. здесь)
Если вы отправляете почту только с серверов Mail.Ru:
Если вы отправляете почту так же и с других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Настройка SPF для Яндекс.Почты
(подробнее о настройке DNS для Яндекса см. здесь)
При использовании только серверов Яндекса:
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Настройка SPF для Google
(подробнее о настройке DNS для Google см. здесь)
При использовании только серверов Google:
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Другие примеры
— принимать почту с IP-адресов, соответствующих A-записям текущего домена, с IP-адреса 176.57.223.12 и серверов, указанных в SPF-записи domain2.com; прочие письма отклонять.
— принимать почту из подсети, в которую входят MX-серверы текущего домена, и из подсети, в которую входят A-записи домена domain2.com; прочие письма отклонять.
— принимать почту с A-записи текущего домена, IP-адреса 176.57.223.12, а также с серверов, указанных в SPF домена domain2.com.
Видеоинструкция
OpenRate.us
Сайт про CRM-маркетинг, рассылки и вот это всё
Онлайн проверка SPF и DKIM (сервис от Гугла и другой)
Проверить DKIM подпись и SPF запись ваших рассылок просто.
Как проверить валидность DKIM подписи
Введите домен и селектор (значение «s=» из служебных заголовков письма) в сервисе онлайн проверки DKIM
Проверка SPF записи
Для онлайн проверки SPF воспользуйтесь сервисом Kitterman.
Раньше удобно было пользоваться для проверки SPF сервис tests.nettools.ru. Но теперь сайт nettools.ru не работает 🙁
Для проверки введите адрес домена в поле «Domain name»:
Онлайн проверка SPF
Проверка корректности SPF
Сервис Kitterman также проверяет корректность синтаксиса SPF. Укажите для проверки доменное имя и текст SPF запись (поля Domain и SPF Record). Проверить
Дополнительно для проверки корректности SPF-записи используйте сервис от Google. Это инструмент для проверки конфигурации DNS-серверов при отправке корпоративной почты через Google, но он также помогает обнаружить типичные ошибки настройки MX-записей. Отчет выглядит так:
Проверить DKIM и SPF
Пройдена ли проверка в почтовом сервисе?
Чтобы проверить, корректно ли настроена SPF-запись и проходит ли проверку SPF наше письмо, пришлите письмо себе и загляните в служебные заголовки. Нужен заголовок Authentication-Results. Там должно быть значение spf=pass. Если нет, нужно разбираться, в чем дело.
Аналогично и DKIM-подпись. Если ваше письмо проходит проверку DKIM, в Authentication-Results вы увидите запись dkim=pass.
Онлайн проверка SPF и DKIM (сервис от Гугла и другой) : 7 комментариев
«Раньше удобно было пользоваться для проверки SPF сервис tests.nettools.ru. Но теперь сайт nettools.ru не работает :-(»
Сайт кстати работает, а вот где там проверка SPF действительно вопрос.
«Второй сервис» — не открывается сайт
Да, обидно.
Подождем немного. Может, исправятся 🙂