В этой статье мы подробно разберём, что такое SPF-запись, зачем и как её правильно настроить для вашего почтового домена, какие параметры использовать, как проверить корректность записи и какие ошибки стоит избегать. Также поговорим о том, почему SPF необходимо применять вместе с DKIM и DMARC для безопасности и повышения доверия к вашим email-кампаниям. Если вы только начинаете разбираться с настройкой почты, этот материал будет для вас понятным и полезным.

Введение в настройку SPF-записи

SPF (Sender Policy Framework) — это специальная запись в системе доменных имён (DNS), которая содержит список доверенных IP-адресов и серверов, которым разрешено отправлять письма от имени вашего домена. Когда почтовый сервер получателя получает письмо, он сверяет IP-адрес отправителя с этой записью.

Если IP адрес совпадает с указанными в SPF, письмо считается легитимным и скорее попадёт во входящие. Если нет — письмо может быть помечено как спам или вовсе отклонено. Таким образом, SPF-запись предотвращает подделку отправителя — спуфинг — когда мошенники отправляют письма якобы от имени вашей компании, чтобы украсть данные или обмануть получателя.

По отдельности SPF защищает только адрес отправителя, но злоумышленники могут обойти это, если в письме подделывать другие части. Поэтому вместе с SPF рекомендуют настраивать:

  • DKIM — цифровую подпись сообщения, которая подтверждает, что письмо не было изменено после отправки;
  • DMARC — политику домена, которая говорит почтовому сервису, как поступать с письмами, не прошедшими SPF и DKIM.

В совокупности эти три механизма дают максимальную защиту, повышают доверие к вашей почте и улучшает доставляемость сообщений — они реже попадают в спам.

Весь список разрешённых серверов описывается строкой, которая начинается с обязательного префикса v=spf1 — это версия SPF. Далее идут параметры, или механизмы, которые указывают, какие IP-адреса и домены учитываются. Основные из них:

Параметр Описание Пример
ip4 Конкретный IPv4-адрес или подсеть ip4:192.0.2.0/24
ip6 Конкретный IPv6-адрес ip6:2001:db8::/32
a Разрешить отправлять с IP из A-записи домена a или a:example.com
mx Разрешить отправлять с почтовых серверов домена (MX-записей) mx
include Включить SPF другой домен для проверки IP include:_spf.google.com
redirect Перенаправить всю проверку на другой SPF redirect=_spf.example.com

Кроме механизмов, есть квалификаторы (префиксы), которые указывают, что делать с письмами с неразрешённого IP:

Квалификатор Действие Пояснение
+ (по умолчанию) Pass — письмо принимается
- Fail — письмо отклоняется Строгая политика, блокировать все незарегистрированные адреса
~ SoftFail — письмо принимается, но помечается спамом Мягкая политика, для тестов или потока с ошибками
? Neutral — не указывать явно, принимается Почтовик решает сам

Чтобы создать корректную SPF-запись, нужно:

  1. Определить все серверы, которые отправляют почту от имени вашего домена. Это могут быть:
    • Ваш собственный почтовый сервер (с его IP или A-записью);
    • Облачные сервисы (Google Workspace, Яндекс, Mail.ru);
    • Сторонние сервисы рассылок (например, Unisender).
  2. Добавить IP-адреса с помощью ip4 или ip6.
  3. Если используете почтовый сервер, разрешить IP из A- и MX-записей (механизмы a и mx).
  4. Включить SPF-содержимое других доверенных доменов через include, если почта идёт через них.
  5. Завершить запись директивой -all, ~all или ?all в зависимости от необходимой строгости.

Пример записи:

v=spf1 ip4:192.0.2.0/24 include:_spf.google.com -all

Здесь разрешены IP из подсети 192.0.2.0/24 и все серверы Google, остальные письма блокируются.

Чтобы добавить или изменить SPF-запись, нужно:

  1. Авторизоваться в панели управления хостингом или у регистратора доменов.
  2. Найти раздел управления DNS-записями (обычно называется «DNS», «DNS-управление» или «Зоны»).
  3. Создать новую TXT-запись (SPF — это текстовая запись в DNS).
  4. В поле имени указать ваш домен или оставить пустым, если это корневая запись.
  5. В поле значения вставить сформированную строку SPF.
  6. Сохранить изменения.

Обязательно проверьте, чтобы в DNS у домена была только одна SPF-запись, иначе почтовые серверы могут не пройти проверку.

Добавление проходит через панель управления DNS-провайдера:

Шаг Действие
1 Войдите в панель управления у регистратора или хостинг-провайдера
2 Найдите раздел управления DNS-записями
3 Создайте TXT-запись
4 В поле имени укажите домен или поддомен
5 В текстовом поле введите SPF-запись, например:
v=spf1 ip4:xx.xx.xx.xx include:_spf.google.com -all
6 Сохраните и дождитесь обновления DNS (обычно до 24 часов)

Проверить корректность SPF-записи можно онлайн, используя бесплатные сервисы:

Сервис Особенности Сайт
MXToolbox Проверка записи SPF, список IP и доменов mxtoolbox.com/SPFRecordLookup
Mail-Tester Анализ подлинности письма и SPF в комплексе mail-tester.com
Unisender Проверяет статус SPF записи для рассылок unisender.com
Google Toolbox Онлайн-инструменты проверки DNS и SPF toolbox.googleapps.com

Вы можете проверить наличие и валидность SPF-записи простым способом:

  1. Воспользуйтесь командой терминала:
nslookup -type=txt example.com
  1. Или используйте любой из упомянутых онлайн-сервисов — введите имя домена, и сервис покажет существующие txt-записи, в том числе SPF.
  • include позволяет включить SPF другой организации — полезно, если вы используете стороннего почтового провайдера (Google, Яндекс и др.). Например, include:_spf.google.com разрешает отправку с серверов Google.
  • redirect перенаправляет всю проверку на другой домен — удобно, если вы централизуете SPF для нескольких доменов.

Используйте эти механизмы, чтобы не захламлять SPF-запись и не превышать ограничения по её длине (максимум ~255 символов на строку TXT, общим размером не больше 512 байт).

  • Соберите данные о всех почтовых серверах, которые реально отправляют почту от вашего домена:

    • IP вашего почтового сервера.
    • IP и домены облачных почтовых сервисов.
    • IP сторонних сервисов массовой рассылки.

  • Проверьте их в настройках провайдеров или администраторов.

  • Используйте механизмы ip4, ip6, a, mx и include, чтобы разрешить отправку только с этих адресов.

  • Дублирование SPF-записей: разрешена только одна запись типа TXT с SPF. Несколько могут привести к некорректной проверке.

  • Превышение длины строки: слишком длинные SPF-записи могут быть усечены — используйте include и redirect для упрощения.

  • Применение слишком мягкой политики (например, ~all), когда нужна строгая (-all): тщательно тестируйте перед строгой блокировкой.

  • Неучёт всех почтовых серверов: забудете указать какой-нибудь сервис — письма с него могут блокироваться.

  • Настроенный SPF повышает доверие почтовых сервисов — письма реже попадают в папку спам.

  • Без SPF письма могут обходиться фильтрами как подозрительные.

  • В сочетании с DKIM и DMARC создаётся комплексная защита от спама и фишинга.

  • Используйте include и redirect для ссылок на внешние SPF-записи.

  • Не дублируйте IP-адреса.

  • Используйте подсети (ip4:192.0.2.0/24) вместо указания каждого IP по отдельности.

  • Проверяйте длину через инструменты проверки (например, MXToolbox).

  • DKIM: добавляет цифровую подпись, подтверждающую целостность письма.

  • DMARC: задаёт правила, как почтовым серверам обрабатывать письма, не прошедшие SPF и DKIM.

  • Регулярная проверка и обновление SPF: чтобы учитывать новые IP и исключать старые.

  • Мониторинг репутации IP: следите, чтобы ваши IP не добавляли в чёрные списки.

Настроить SPF-запись — это обязательный и относительно простой шаг для защиты вашего домена и повышения надежности рассылок. Правильно сформированная запись содержит список доверенных IP-адресов и серверов, которые могут отправлять письма от имени вашего домена, помогает предотвратить подделку отправителя и улучшить доставляемость писем.

Помимо SPF, обязательно используйте DKIM и DMARC для комплексной email-аутентификации. Проверяйте и корректируйте SPF-записи при изменении инфраструктуры отправки почты, используйте рекомендованные инструменты для валидации и мониторинга настроек.

За пару минут вы можете существенно защитить свои письма — и ваши получатели скажут вам спасибо.

Для наглядности сводим ключевые параметры SPF-записи в таблицу:

Параметр Описание Рекомендации по использованию
v=spf1 Обязательный тег, версия SPF Не меняется, всегда в начале записи
ip4 / ip6 Разрешённые IP-адреса отправителей Используйте для собственных серверов
a Разрешает IP из A-записи домена Удобно для почтового сервера, связанного с сайтом
mx Разрешает IP из MX-записей домена Для серверов, обслуживающих почту
include Включение SPF другой организации Для внешних провайдеров и сервисов
redirect Перенаправление всей проверки на другой SPF Для централизованного управления SPF на нескольких доменах
all Указывает, что делать с письмами вне списка Используйте -all для строгой политики или ~all для мягкой

Теперь вы знаете, как настроить SPF-запись для почтового сервера с нуля — смело применяйте эти знания для защиты своего домена и улучшения email-коммуникаций!