SPF, DKIM и DMARC простыми словами

Письма с сайта (регистрация, сброс пароля, заявки) или рассылки уходят в спам? Или кто-то рассылает фишинг «от вашего домена»? За это отвечают три DNS-записи: SPF, DKIM и DMARC. Без них почтовые сервисы не доверяют вашим письмам. Разберём простыми словами, что это, зачем и как настроить.

SPF говорит «кто отправитель», DKIM — «подлинное ли письмо», DMARC — «что делать с подозрительным».

SPF — кто может слать почту

SPF (Sender Policy Framework) — это TXT-запись в DNS со списком серверов, которым разрешено отправлять письма от вашего домена. Когда приходит письмо, почтовый сервер смотрит: с какого IP оно пришло и есть ли этот IP в SPF. Нет — письмо подозрительное. В конце записи стоит правило: -all (жёстко: всех остальных отклонять) или ~all (мягко: помечать как спам). Пример: v=spf1 ip4:185.4.228.66 a mx ~all.

DKIM — подпись, что письмо не подделали

DKIM (DomainKeys Identified Mail) — криптографическая подпись. Почтовый сервер подписывает каждое письмо закрытым ключом, а получатель проверяет подпись по открытому ключу, опубликованному в DNS. Совпало — письмо точно от вас и не изменено в пути. Запись лежит по адресу селектор._domainkey.домен, где селектор задаёт почтовый сервер. Поэтому проверить DKIM «вслепую» нельзя — нужно знать селектор (он виден в заголовке любого письма как s=).

DMARC — что делать с непрошедшими

DMARC (Domain-based Message Authentication) связывает SPF и DKIM и говорит получателю, как поступать с письмами, не прошедшими проверку. Политика задаётся в _dmarc.домен:

Политика	Что значит
p=none	Только мониторинг — ничего не блокируется (с этого начинают)
p=quarantine	Подозрительные письма — в спам
p=reject	Подозрительные письма — отклонять (максимальная защита)

Также в DMARC указывают адрес для отчётов (rua=mailto:…), куда приходит статистика по вашей почте.

Проверьте почту своего домена

SPF, DKIM, DMARC и MX — за пару секунд и бесплатно.

Проверить почту →

Как настроить: пошагово

Включите SPF. Добавьте TXT-запись в корень домена со списком серверов вашего почтового провайдера (он даёт готовую строку). Начните с ~all.
Включите DKIM. В панели почтового провайдера/хостинга активируйте DKIM — он сгенерирует ключ и селектор. Опубликуйте выданную TXT-запись селектор._domainkey.домен в DNS.
Добавьте DMARC. TXT в _dmarc.домен: начните с v=DMARC1; p=none; rua=mailto:вы@домен — это режим наблюдения.
Проверьте и ужесточайте. Убедитесь, что письма проходят SPF и DKIM (проверкой и по заголовкам реального письма), затем поднимайте DMARC до quarantine, а потом до reject.

Как это связано с SEO

Напрямую SPF/DKIM/DMARC на позиции не влияют, но влияют косвенно: письма с сайта (подтверждение регистрации, ответы клиентам) должны доходить, иначе теряются пользователи и конверсии. А подделка писем «от вашего бренда» бьёт по репутации и доверию — а доверие это уже часть E-A-T. Проверить остальную техническую часть сайта поможет технический аудит.

Коротко: SPF говорит, кто вправе слать почту от домена; DKIM подписывает письма, подтверждая подлинность; DMARC задаёт, что делать с письмами, не прошедшими проверку. Вместе они спасают от попадания в спам и от подделок «от вашего имени». Настраиваются в DNS-зоне домена, ужесточать DMARC нужно постепенно. Проверить своё состояние — инструментом проверки почты.

Частые вопросы

Что такое SPF, DKIM и DMARC простыми словами?

Это три DNS-записи для защиты почты. SPF — список серверов, которым разрешено слать письма от домена. DKIM — криптографическая подпись, подтверждающая, что письмо от вас и не подделано. DMARC — политика, что делать с письмами, не прошедшими SPF и DKIM. Вместе они спасают письма от спама и защищают от подделок.

Почему письма с сайта попадают в спам?

Чаще всего из-за отсутствия или неверной настройки SPF, DKIM и DMARC. Без них почтовые сервисы (Gmail, Яндекс, Mail.ru) не доверяют отправителю и кладут письма в спам. Настройте все три записи в DNS домена — доставляемость заметно вырастет.

Почему DKIM не находится при проверке?

DKIM-запись лежит по адресу «селектор._domainkey.домен», а селектор у каждого свой и его нельзя угадать. Проверка по типовым селекторам может ничего не найти, даже если DKIM есть. Узнайте свой селектор в заголовке любого отправленного письма (поле s=) и проверьте по нему.

Какую политику DMARC выбрать?

Начинайте с p=none — это режим мониторинга, ничего не блокируется. Убедитесь, что ваши письма проходят SPF и DKIM, и только потом ужесточайте: p=quarantine (подозрительные в спам), затем p=reject (отклонять). Сразу ставить reject рискованно — можно потерять легитимные письма.

Влияют ли SPF, DKIM, DMARC на SEO?

Напрямую на позиции — нет. Косвенно — да: письма с сайта (подтверждения, ответы клиентам) должны доходить, иначе теряются пользователи и конверсии, а подделка писем от вашего бренда бьёт по репутации и доверию, которое входит в E-A-T.