SPF, DKIM, DMARC: подлинность и доставляемость почты
SPF, DKIM и DMARC — это три DNS-записи (настройки в зоне вашего домена), которые подтверждают, что письмо действительно отправлено вами, а не мошенником. Без них корпоративная почта массово уходит в спам, а домен компании легко подделать для фишинга. Это базовая гигиена для любой почты — на своём сервере, на хостинге или в облаке.
Проблема, которую они решают
Протокол отправки почты SMTP (Simple Mail Transfer Protocol) был придуман без какой-либо защиты от подделки отправителя. По умолчанию любой сервер в интернете может отправить письмо «от имени» вашего домена — поле «От кого» подделывается элементарно. Именно так работает большинство фишинговых атак: сотрудник получает письмо якобы от директора или бухгалтерии и переводит деньги или отдаёт пароль.
Вторая сторона той же проблемы — доставляемость. Принимающие серверы (почта получателя) научились не доверять письмам, которые нельзя проверить, и отправляют их в спам. Поэтому без трёх записей ниже даже честная рассылка компании не доходит до клиентов.
SPF — кто имеет право отправлять
SPF (Sender Policy Framework — политика отправителей) — это запись в DNS, в которой вы перечисляете серверы, имеющие право отправлять почту от вашего домена. Когда письмо приходит на чужой сервер, тот смотрит, с какого адреса оно пришло, и сверяет с вашим SPF: есть адрес в списке — проверка пройдена, нет — письмо подозрительное.
SPF закрывает сценарий «письмо отправлено с постороннего сервера». Но у него есть ограничение: он проверяет технический адрес отправки, а не то, что видит пользователь в поле «От кого». Поэтому одного SPF мало.
DKIM — цифровая подпись письма
DKIM (DomainKeys Identified Mail — почта с подписью домена) добавляет к каждому письму криптографическую подпись. Ваш почтовый сервер подписывает письмо закрытым ключом, а открытый ключ публикуется в DNS. Принимающий сервер берёт открытый ключ, проверяет подпись и убеждается, что письмо действительно от вашего домена и не было изменено в пути.
DKIM решает то, чего не может SPF: он подтверждает целостность и подлинность самого письма, а не только сервера отправки. Если злоумышленник перехватил и подменил содержимое — подпись не сойдётся.
DMARC — что делать с нарушителями
DMARC (Domain-based Message Authentication, Reporting and Conformance — проверка подлинности на уровне домена с отчётностью) связывает SPF и DKIM воедино и задаёт политику: что делать с письмами, которые не прошли проверку. Вариантов три:
none— ничего не делать, только собирать отчёты (режим наблюдения на старте);quarantine— отправлять подозрительные письма в спам;reject— отклонять такие письма совсем.
Кроме политики, DMARC присылает вам отчёты: кто и откуда отправлял письма от вашего домена. Это позволяет увидеть и легитимные сервисы (например, рассылочный сервис), и попытки подделки.
Правильный порядок внедрения — сначала none и сбор отчётов, затем, убедившись, что вся легитимная почта проходит проверку, переход к quarantine и reject. Если включить жёсткую политику сразу, можно случайно заблокировать собственные рассылки.
Как три записи работают вместе
| Запись | Что проверяет | Что закрывает |
|---|---|---|
| SPF | Сервер, с которого отправлено письмо | Отправку с чужого сервера |
| DKIM | Подпись и целостность письма | Подмену содержимого |
| DMARC | Итог SPF и DKIM + политика и отчёты | Подделку «От кого», даёт видимость |
Только все три вместе дают результат: домен трудно подделать, фишинг от вашего имени отсекается, а честные письма доходят до адресатов, а не в спам.
Типичные ошибки
- Настроили SPF, забыли DKIM и DMARC. Половина защиты — это почти отсутствие защиты: поле «От кого» всё ещё подделывается.
- Включили DMARC сразу в режиме
reject. Без предварительного сбора отчётов так можно заблокировать собственные рассылки и сервисы. - Завели новый сервис рассылок и не добавили его в SPF/DKIM. Письма от него начинают падать в спам.
- Один раз настроили и забыли. Записи нужно поддерживать при смене почтового сервера, провайдера или добавлении новых сервисов.
Где это особенно важно
Корректные SPF, DKIM и DMARC обязательны при любой модели размещения почты. На собственном сервере на базе Postfix и Dovecot их нужно настраивать вручную — без них новый сервер сразу уходит в спам-листы. В облаке провайдер обычно даёт инструкцию, но прописать записи в DNS своего домена всё равно должны вы. Вместе с почтовым шлюзом — см. антиспам и KSMG — эти записи формируют первый рубеж защиты от фишинга. Если же фокус на утечках данных через почтовые каналы, смотрите материал про DLP — защиту от утечек данных.
Как три почтовые модели — свой сервер, хостинг и облако — соотносятся между собой по контролю, данным и стоимости, мы разбираем в статье блога как организовать корпоративную почту.
Связанные термины
- Postfix и Dovecot — open-source почтовый сервер — где SPF, DKIM и DMARC настраиваются вручную
- Антиспам и почтовый шлюз KSMG — фильтрация спама и фишинга на входе
- DLP — защита от утечек данных — контроль конфиденциальной информации, в том числе в почте
Получить расчёт
Зайдите в калькулятор или напишите нам — настроим SPF, DKIM и DMARC для вашего домена, подключим почтовый шлюз и возьмём контроль доставляемости на NOC.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП