Электронная почта — один из основных каналов деловой коммуникации. Компании ежедневно отправляют тысячи писем, среди которых коммерческие предложения, договоры, счета и важные уведомления. Если не защитить почтовую инфраструктуру, можно легко стать жертвой мошенников.
Почему важно защищать почтовую инфраструктуру
Без надёжной защиты мошенники могут отправлять письма от имени вашей компании. Представьте ситуацию: клиент получает счёт с вашего корпоративного адреса, оплачивает его, а деньги уходят злоумышленникам. Подобные случаи нередки, и репутационные потери могут быть огромными.
Ещё одна распространённая схема — фишинг. Мошенники могут присылать сотрудникам вашей компании поддельные письма с просьбой изменить пароль, предоставить доступы или подтвердить платёжные реквизиты. Если сотрудник перейдёт по ссылке, компания рискует потерять деньги или конфиденциальные данные.
Настроив SPF, DKIM и DMARC, вы защитите компанию от этих угроз и повысите доверие клиентов и партнёров к вашим письмам.
Как SPF, DKIM и DMARC влияют на доставляемость писем
Почтовые провайдеры и антиспам-фильтры проверяют наличие и корректность настроек SPF, DKIM и DMARC. Отсутствие или неверная конфигурация этих параметров может привести к тому, что ваши письма попадут в спам или вовсе не дойдут до адресата. Настроенные записи SPF, DKIM и DMARC увеличивают вероятность попадания писем в «Inbox».
Например, если у вас нет SPF-записи или она неверно настроена, сервер получателя может посчитать письмо подозрительным и отправить его в спам. Аналогично, без DKIM-подписи доверие к письму снижается, и почтовый сервис может отнести его к нежелательным.
SPF-запись (Sender Policy Framework)
SPF — это запись в DNS-домене, которая указывает, какие серверы имеют право отправлять письма от вашего домена. Если злоумышленники попытаются отправить письмо от имени вашего домена с неавторизованного сервера, оно попадёт в спам или будет полностью отклонено.
Настройка SPF очень проста: достаточно прописать IP-адреса или имена серверов, которые будут отправлять письма от имени вашего домена.
Обычно почтовые сервисы (Яндекс 360, Google Workspace и т.д.) дают собственные рекомендации по настройке SPF-записи.
Обычно почтовые сервисы (Яндекс 360, Google Workspace и т.д.) дают собственные рекомендации по настройке SPF-записи.
Настройка SPF проста, но требует внимательного подхода. Она состоит из нескольких компонентов:
v=spf1 — версия SPF, обязательный элемент.
ip4/ip6 — разрешённые IP-адреса для отправки писем. Актуально для серверов с фиксированным IP-адресом.
include — разрешение отправки писем через сторонние серверы. Актуально при использовании почтовых сервисов типа Yandex, Gmail.
a — разрешение отправки с IP-адреса, указанного в A-записи домена. Используется, когда почтовый сервер находится на том же IP, что и сайт компании.
mx — разрешение отправки с серверов, указанных в MX-записях домена. Используется, если почтовые серверы совпадают с MX-записями.
ptr — разрешение отправки с IP-адресов, у которых PTR-запись совпадает с вашим доменом. Редко используется из-за ненадёжности и дополнительной нагрузки на DNS.
-all/~all — политика для неавторизованных серверов:
v=spf1 — версия SPF, обязательный элемент.
ip4/ip6 — разрешённые IP-адреса для отправки писем. Актуально для серверов с фиксированным IP-адресом.
include — разрешение отправки писем через сторонние серверы. Актуально при использовании почтовых сервисов типа Yandex, Gmail.
a — разрешение отправки с IP-адреса, указанного в A-записи домена. Используется, когда почтовый сервер находится на том же IP, что и сайт компании.
mx — разрешение отправки с серверов, указанных в MX-записях домена. Используется, если почтовые серверы совпадают с MX-записями.
ptr — разрешение отправки с IP-адресов, у которых PTR-запись совпадает с вашим доменом. Редко используется из-за ненадёжности и дополнительной нагрузки на DNS.
-all/~all — политика для неавторизованных серверов:
- -all — жёсткое отклонение всех неподтверждённых серверов.
- ~all — мягкое отклонение, помечается как подозрительное.
Примеры SPF-записей с комментариями
Разрешает отправку только с указанного IP, все остальные запрещены:
v=spf1 ip4:192.168.0.1 -allРазрешает отправку только с серверов, указанных в MX-записях:
v=spf1 mx -allРазрешает отправку с серверов из A- и MX-записей, а также через сервис Google Workspace:
v=spf1 a mx include:_spf.google.com -allРазрешает отправку через серверы Microsoft 365, все остальные помечает как подозрительные:
v=spf1 include:spf.protection.outlook.com ~allРазрешает отправку с нескольких IP-адресов, включая IPv6:
v=spf1 ip4:203.0.113.10 ip4:203.0.113.11 ip6:2001:db8::1 -allРазрешает отправку писем через популярные сервисы рассылки Mailgun и SendGrid:
v=spf1 include:mailgun.org include:sendgrid.net -allРазрешает отправку с любых серверов, у которых корректно настроена PTR-запись (не рекомендуется):
v=spf1 ptr ~allРазрешает отправку с указанного почтового сервера и MX-записей, а также через Yandex:
v=spf1 a:mail.example.ru mx:example.ru include:_spf.yandex.ru -allРазрешает отправку с серверов компании, Google и MailChimp, остальные помечаются как подозрительные:
v=spf1 a mx include:_spf.google.com include:mailchimp.com ~allРазрешает отправку с целого диапазона IP-адресов:
v=spf1 ip4:192.168.0.0/24 -all