Как настроить dkim и что такое SPF, DKIM или DMARC

Для писем, отправляемых с сервера функцией php mail(), указать DKIM-подпись очень сложно. На помощь в данном случае приходит библиотека или же специальные плагины для отправки писем в CMS.

В этом случае для того, чтобы письма, отправляемые с сервера виртуального хостинга, проходили проверку DKIM, необходимо выполнить следующую настройку:

• Подключиться к своему аккаунту
• Сгенерировать закрытый ключ командой ниже, указав вместо domain.ru имя вашего домена:

• Сохранить путь к сгенерированному ключу — файлу domain.ru.private (путь потребуется ввести в процессе настройки далее). Файл будет создан в той же директории, откуда выполнялась команда.
• Сгенерировать открытый ключ командой ниже, указав вместо domain.ru имя вашего домена:

openssl rsa -in domain.ru.private -out domain.ru.public -pubout

Содержимое файла domain.ru.public после генерирования ключа будет следующим:

——BEGIN PUBLIC KEY——ключ——END PUBLIC KEY——

v=DKIM1; k=rsa; p=ключ_из_предыдущего_пункта

Ключ должен быть указан в одну строку, без BEGIN и END.

В случае если вы используете PHPMailer, необходимо указать путь в параметре ; в параметре

Ресурсные записи DNS (или DNS-записи домена) – это записи, которые в системе доменных имен указывают соответствие между именем и служебной информацией.

Проще говоря, ресурсные записи связывают имя и служебную информацию о сервере, на который указывает это имя. Например, вы вводите адрес сайта в браузере – и именно DNS-запись позволит вашему провайдеру отправить запрос на сервер с нужным вам сайтом, чтобы затем отобразить его на экране вашего компьютера.

В этой статье мы остановимся на элементах ресурсных записей, связанных с почтовыми отправлениями: SPF, DKIM, DMARC. И для начала разберемся в том, с какими проблемами могут столкнуться те, кто хочет сделать свою рассылку.

Мое письмо ушло в спам

«Почему мое письмо попало в папку “Спам”?» — этим вопросом задаются многие начинающие пользователи, которые сделали рассылку по своей базе подписчиков.

Сначала определимся, что такое спам. Спам — это массовая рассылка пользователям, которые не давали согласия на ее получения. Весомую долю спама составляют мошеннические письма. Почтовые сервисы отправляют такие письма в папку «Спам», чтобы уберечь своих пользователей от неприятностей: вирусов, фишинга и других видов интернет-мошенничества.

Естественно, процесс анализа «спам-не спам» проходит в автоматическом режиме — у почтовых сервисов есть свои алгоритмы. После их анализа одни письма отправляются во входящие, а другие исчезают в недрах папки «Спам», в которую многие пользователи даже не заглядывают.

Настройка ресурсных записей дает возможность если не исключить, то хотя бы максимально уменьшить вероятность попадания вашего письма в спам.

Комьюнити теперь в Телеграм

Подпишитесь и будьте в курсе последних IT-новостей

SPF

SPF (Sender Policy Framework, инфраструктура политики отправителя) — это расширение для протокола отправки электронной почты через SMTP. Используя SPF, владелец домена может указать список серверов, которые смогут отправлять почтовые сообщения с адресом отправителя в этом домене. Иными словами, только указанные серверы смогут отправлять письма от имени этого домена.

Именно настройка SPF-записи защищает домен от несанкционированного использования. Это не позволяет допустить ситуации, когда от имени вашего домена будут рассылаться мошеннические письма.

Поэтому почтовые службы обращают внимание на SPF-запись, а также DKIM и DMARC, о которых будет рассказано далее.

Обязательно проверьте SPF-запись, если письма, отправленные при помощи функции PHP mail(), попадают в спам.

Как настроить SPF

SPF настраивается как TXT-запись для домена.

Небольшая справка. TXT-запись — это тип ресурсной записи, который содержит дополнительную информацию о домене. Чаще всего TXT-запись используется для подтверждения прав собственности на домен и настройки почтовых данных.

В справочном центре Timeweb есть подробная статья об основном синтаксисе и других механизмах настройки SPF — «

Более подробно ознакомиться с синтаксисом можно в

Если ваш домен расположен на нашем хостинге (и для него указаны NS-серверы Timeweb), то смело обращайтесь в службу поддержки, наши специалисты помогут вам настроить SPF-запись.

Клиентам с другими NS-серверами необходимо обращаться к держателю NS-серверов.

DKIM

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, который дает возможность получателю проверить, было ли письмо отправлено с заявленного домена.

Главная задача DKIM — это упростить обнаружение электронных писем с поддельными адресами, когда заявленный адрес не соответствует адресу, с которого было отправлено письмо (один из видов мошеннических писем).

DKIM позволяет значительно облегчить идентификацию законной, правомочной электронной почты.

Технология DomainKeys позволяет передавать через DNS открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан.

Настройки SPF и DKIM подтверждают, что отправитель письма определен и не является мошенником.

Как настроить DKIM

Информация о DKIM есть в нашем справочном центре в статье «

Если вы используете почту Timeweb, то DKIM-подпись создается автоматически: все необходимые настройки автоматически прописываются в тот момент, когда вы создаете первый почтовый ящик на своем домене.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance, идентификация сообщений, создание отчетов и определение соответствия по доменному имени) — это спецификация, направленная на снижение количества мошеннических электронных писем, в частности фишинговых атак.

SPF и DKIM – это хорошие и надежные методы аутентификации отправителя, но они имеют свои недостатки, поэтому была разработана открытая спецификация использования DMARC.

DMARC позволяет идентифицировать почтовые домены отправителя, основываясь на признаках и правилах, которые заданы на сервере адресата. Стандарт DMARC для принимающих узлов устанавливается в соответствии с механизмами SPF и DKIM, то есть как бы объединяет эти два механизма. И на всех принимающих узлах, поддерживающих эту технологию, будут выдаваться единые результаты.

DMARC дает возможность проверить, соответствует ли домен в заголовке (адрес отправителя) идентификаторам SPF и DKIM. Для того, чтобы письмо прошло проверку, идентификатор должен соответствовать домену, указанному в поле “From” («от»).

Как настроить DMARC

Почтовый сервис Timeweb использует только SPF/DKIM. Но DMARС-запись может быть указана для домена, если домен должен быть настроен для стороннего почтового сервиса, использующего эту спецификацию.

Для настройки DMARC нужно добавить доменную запись в DNS-настройки.

Пример самой простой записи, позволяющей включить режим мониторинга (выполнить тест DMARC и сохранить его результат):

_dmarc.timeweb.com IN TXT “v=DMARC1; p=none”

Такая запись позволить защитить письма, которые будут отправлены от домена timeweb.com, а также от поддоменов (например, mail.timeweb.com).

В этом случае если проверка на стороне получателя покажет, что домен в заголовке “From” соответствует указанному в доменной записи DMARC, то письмо пройдет проверку и попадет в почтовый ящик адресата.

Полную информацию о синтаксисе DMARC можно найти на

Общие рекомендации

Если у вас есть какие-нибудь вопросы, задавайте в комментариях, будем рады помочь!

В панели управления аккаунтом вы можете настроить следующие записи для доменов и поддоменов:

Для настройки почты для домена (Яндекс.Почта, Mail.ru, Google) воспользуйтесь нашими

Чтобы настроить DNS-запись:

• Перейдите в раздел «Домены» — «Мои домены
• Нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».
• добавить новую запись, кликните «Добавить DNS-запись» и выберите ее тип из выпадающего списка.
• изменить уже созданную запись, кликните на значок карандаша рядом с ней.
• Если нужно изменить NS-серверы домена, нажмите на ссылку справа вверху.

Удалить запись можно, нажав на крестик рядом с ней.

При добавлении или редактировании любой DNS-записи, для домена автоматически добавляется AAAA-запись на сервере (без отображения в панели). Наличие IPv6 никак не мешает работе сайта, но может помешать выпустить SSL-сертификат или привязать домен к конструктору сайтов Tilda. Чтобы удалить добавленную запись на сервере, создайте для домена в панели любую AAAA-запись и удалите ее.

Обратите внимание, что в рамках нашей системы невозможно указать какие-либо ресурсные записи для поддомена www, за исключением CNAME.

NS-серверы

Через панель Timeweb вы сможете редактировать NS-серверы только для доменов, зарегистрированных через ТаймВэб.Домены. Если домен находится под управлением другого регистратора, настроить NS можно только через панель соответствующего регистратора.

• В разделе «Домены» — «» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».
• Кликните на ссылку «Редактировать NS-серверы» справа вверху и укажите требуемые значения.

Для успешного делегирования домена необходимо указать не менее двух NS-серверов.

Процедура делегирования домена на новые NS может занимать от 3 до 24 часов; после ее завершения на административный e-mail домена будет отправлено уведомление об успешном делегировании.

А и АААА

• В разделе «Домены» — «» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS»
• Если нужно изменить существующую запись, кликните на значок карандаша рядом с ней. Если нужно добавить новую запись, кликните «Добавить DNS-запись» справа вверху и выберите нужный тип записи.

MX — записи для почтовых серверов.

• «Домены» — «Мои домены» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».
• Если нужно изменить существующую запись, кликните на значок карандаша рядом с ней. Если нужно добавить новую запись, кликните «Добавить DNS-запись» справа вверху и выберите тип MX.
• Выберите нужный почтовый сервис или укажите необходимые значения вручную по кнопке «Другое»:

Созданные ранее MX-записи при этом нужно удалить.

SRV

Настройка этого типа записей требуется, например, при использовании протоколов SIP и XMPP (Jabber). Запросите параметры у провайдера Jabber-сервиса и укажите их в настройках домена.

«Домены» — «Мои домены» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».

2. Кликните «Добавить DNS-запись» справа вверху и выберите тип SRV.

3. Заполните поля:

SRV-записи имеют формат:

_service._proto.name IN SRV priority weight port hostname

• service — имя сервиса;
• proto — имя протокола, обычно это _tcp или _udp;
• priority — приоритет записи;
• weight — вес записи;
• port — порт на сервере;
• hostname — хост, имя сервера.

К примеру, для указания SRV-записи:

_xmpp-server._tcp.domain.com. IN SRV 5 0 5269 xmpp-server.l.google.com.

в настройках нужно прописать:

• Служба
• Протокол
• Приоритет
• Порт
• Хост

TXT

Чтобы настроить TXT для поддомена, ее необходимо прописывать у основного домена.

TXT-запись содержит вспомогательную информацию о домене (запись произвольных двоичных данных). TXT-записи используются, как правило, для настройки SPF и DKIM

• «Домены» — «Мои домены» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».
• Если нужно изменить существующую запись, кликните на значок карандаша рядом с ней. Если нужно добавить новую запись, кликните «Добавить DNS-запись» справа вверху и выберите тип TXT.
• Укажите необходимые значения.

Чтобы настроить SPF для поддомена, ее необходимо прописывать у основного домена.

Для доменов, делегированных на наши NS-серверы, SPF-запись указывается автоматически; в настройках вам доступно ее редактирование.

• «Домены» — «Мои домены» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».
• Если нужно изменить существующую запись, кликните на значок карандаша рядом с ней. Если нужно добавить новую запись, кликните «Добавить DNS-запись» справа вверху и выберите тип TXT. Обратите внимание: Не рекомендуется создавать несколько SPF-записей для домена, так как это может вызывать проблемы с доставкой почты. Для добавления дополнительных почтовых серверов необходимо обновить существующую запись, не создавая новую.
• Укажите необходимые значения:

v=spf1 ip4:176.57.223.0/24 ip4:92.53.116.0/22 ~all

Подробнее о настройке SPF см. в отдельной

Если вы меняли SPF-запись, а теперь вам необходимо указать SPF-запись Timeweb, укажите следующее значение:

v=spf1 include:_spf.timeweb.ru ~all

Чтобы настроить DKIM для поддомена, ее необходимо прописывать у основного домена.

Если вы используете почту Timeweb, то для домена уже создана DKIM-подпись — необходимые настройки прописываются автоматически при создании в разделе «» первого ящика на домене.

Если же вы используете сторонний почтовый сервис, вам необходимо запросить параметры для настройки DKIM у провайдера почтовой услуги и указать их в настройках домена.

1. В разделе «Домены» — «Мои домены» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».

2. Если нужно изменить существующую запись, кликните на значок карандаша рядом с ней. Если нужно добавить новую запись, кликните «Добавить DNS-запись» справа вверху и выберите тип TXT.

3. В окне настроек укажите необходимое значение в поле «Хост», а также полученное от провайдера значение TXT-записи:

Для писем, отправляемых с сервера виртуального хостинга, настроить DKIM можно по следующей

CNAME

Запись CNAME (каноническое имя) используется для наследования доменом всех ресурсных записей указанного домена, за исключением NS.

• CNAME, настроенная для основного домена, будет прописана только для его www-поддомена.
• CNAME, настроенная для поддомена, будет прописана для поддомена и его www-поддомена.

1. В разделе «Домены» — «Мои домены» нажмите на значок шестеренки рядом с доменом и выберите пункт «Настройки DNS».

2. Если нужно изменить существующую запись, кликните на значок карандаша рядом с ней. Если нужно добавить новую запись, кликните «Добавить DNS-запись» справа вверху и выберите тип CNAME.

3. Укажите необходимые значения. Например, если необходимо, чтобы для test.mydomain.com были применены те же настройки DNS, что и для mydomain.com, необходимо указать его в качестве CNAME-записи:

Если вы настраиваете Bitrix24, то для его корректной работы на нашем хостинге указание CNAME не потребуется. Достаточно сделать следующее:

• Добавить необходимую A-запись для основного домена
• Удалить все AAAA-записи

Чтобы ваши письма попадали во «Входящие» подписчиков, а не сыпались в «Спам», важно правильно настроить почту, с которой вы планируете отправлять рассылки.

Для начала заведите корпоративную почту, если у вас ее пока нет, далее добавьте почту в аккаунт Unisender на странице Подтвержденные email, после чего настройте email-аутентификацию.

Как зарегистрировать корпоративную почту

Рассылки с корпоративного адреса не вызывают подозрений у почтовых сервисов. Кроме того, корпоративный адрес — это красиво и удобно. Домен в названии сразу говорит, в какой компании работает отправитель письма.

Чтобы настроить корпоративную почту, нужен сайт и доступ к панели управления хостинга сайта.

Как настроить корпоративную почту на Mail.Ru, Яндекс.Почта и Gmail

Если корпоративная почта у вас уже есть, то добавьте её на странице Подтвержденные email и переходите к настройке email-аутентификации.

Как настроить email-аутентификацию

Email-аутентификация — процесс проверки подлинности отправителя писем. Её настраивают, чтобы улучшить доставляемость рассылок.

Email-аутентификация работает как паспорт. Почтовые провайдеры проверяют её наличие и решают, стоит ли пропускать рассылку во «Входящие». Если настроить аутентификацию, мошенники не смогут отправить письмо от имени вашего домена.

Настройка аутентификации дает два преимущества:

• Больше шансов попасть во «Входящие». Аутентификация помогает почтовому провайдеру понять, кто прислал письмо — добропорядочный отправитель или мошенник. Если вы не отправляете спам, то шансы попасть во «Входящие» увеличиваются.
• Можно пользоваться постмастерами. Это специальные сервисы от почтовых провайдеров (Gmail, Mail.ru), которые показывают репутацию домена, % попаданий в спам и доставляемость на отдельные почтовики. Без email-аутентификации вы не сможете посмотреть эти данные.

Как настроить постмастеры Mail.ru и Gmail

Расскажем по шагам, как настроить email-аутентификацию самостоятельно.

Если у вас нет времени разбираться или что-то не получается, можно заказать настройку у специалистов из Службы заботы о клиентах Unisender.

Заказать настройку аутентификации

Шаг 1. Определяем хостинг

Чтобы настроить аутентификацию, нужно узнать ваш хостинг. Это можно сделать с помощью сервиса для просмотра DNS-записей.

Для примера узнаем хостинг сайта Reserved.com через сервис NsLookup.

Запомните название хостинга и переходите к следующему шагу.

Шаг 2. Формируем записи SPF и DKIM

Зайдите в раздел «Настройка аккаунта» в личном кабинете.

Выберите раздел «Аутентификация домена».

Чтобы настроить аутентификацию для домена, с корпоративной почты которого вы отправляете письма, нажмите на кнопку «Добавить», введите домен (адрес сайта без протокола) и нажмите «Получить настройки».

Добавить домен можно только в том случае, если в Unisender у вас есть подтвержденный email на этом домене.

Откроется окно с данными, которые нужно скопировать на хостинг.

Шаг 3. Настраиваем SPF

SPF указывает, какие почтовые серверы могут отправлять почту от вашего имени. Если вы пользуетесь сервисом для рассылки, это нужно указать в SPF.

Мы будем вносить записи на примере хостинга beget.com. У вас он может быть другой, отличаться будет только интерфейс.

Как вносить TXT-записи на других популярных хостингах:

Зайдите на хостинг в личный кабинет и выберите раздел «DNS» (в вашем случае это может быть раздел «Домены» или «Управление зоной»).

Выберите из списка домен, для которого будут вноситься записи.

Что значит эта строка:

• TXT — тип записи.
• v=spf1 include:spf.unisender.com ~all — значение записи.

Для поля «name» выберите ваш домен, для которого будет вноситься запись. В поле «type» выберите «ТХТ» а саму запись внесите в поле «data». Нажмите «Добавить».

Правильным считается наличие только одной SPF-записи. При этом она может включать все сервера из разных сервисов, через которые вы будете отправлять письма. В этом случае SPF-записи нужно объединить.

Что делать, если у вас уже есть SPF-запись другого сервиса

Так выглядит объединенная SPF-запись

Шаг 4. Настраиваем DKIM

DKIM позволяет серверу-отправителю подписывать ваши письма уникальным ключом. Если кто-то другой захочет отправить письмо от имени вашего домена, у него не будет этого ключа. Почтовые службы определят это и отправят рассылку мошенника в спам.

Снова заполняем данные в форме добавления записи. Скопируйте из полученных в Unisender записей поддомен us._domainkey и перенесите его в поле «name» в строку ввода. Система автоматически добавит к нему ваш домен. Выберите вариант с доменом.

На некоторых панелях управления доменом нужно указывать us._domainkey с доменом второго уровня, например, us._domainkey.вашдомен.com вручную. Но на большинстве хостингов достаточно внести в имя записи только us._domainkey.

Тип записи выберите такой же, как и для SPF, — ТXT. В «data» скопируйте длинный ключ DKIM: k=rsa; p=xxxxxxxxxxxxxxxxxxxxxxxxxxxx. Нажмите «Добавить», когда заполните все поля.

Вот, как запись DKIM будет отображаться в настройках на хостинге.

Шаг 5. Проверяем записи в Unisender

Чтобы обновить проверку вручную, нажмите на две стрелочки возле статуса

Готово! Вы настроили email-аутентификацию для своего аккаунта.

Что важно знать, если вы отправляете рассылки на адреса группы mail. ru (inbox. ru, mail. ua, list. ru, bk. ru)

Mail.ru использует технологию FBL. С ее помощью можно получать отчеты о подписчиках, которые нажимают на кнопку «Спам», на почту. Для этого настройте постмастер и пересылку FBL.

О том, как настроить постмастер Mail.ru, мы подробно рассказывали в блоге. Когда вы сделаете это, на странице https://postmaster.mail.ru/settings/ для всех доменов укажите адрес FBL.

Введите адрес электронной почты, на который вы хотите получать отчеты, и нажмите «Сохранить». Вам будет отправлено письмо-подтверждение. Как только вы подтвердите адрес, перейдя по ссылке в письме, отчеты начнут приходить на указанный email.

Вопросы — ответы

Правильным считается наличие только одной SPF-записи. При этом она может включать все сервера из разных сервисов, через которые вы планируете отправлять письма.

Например, вы пользуетесь одновременно сервисом Unisender и отправляете письма напрямую из своей почты на «Яндексе для бизнеса».

В таком случае к существующей записи «v=spf1 redirect=_spf.yandex.net» нужно добавить «include:spf.unisender.com», а «redirect=» заменить на «include:». В конце записи добавляем «~all».

В итоге запись должна выглядеть так:
v=spf1 include:_spf.yandex.net include:spf.unisender.com ~all

Аналогичный пример для почты Mail.ru:
v=spf1 redirect=_spf.mail.ru меняем на v=spf1 include:_spf.mail.ru include:spf.unisender.com ~all

По такому же принципу можно редактировать стандартную SPF-запись у любого другого почтового провайдера.

Я сделал все, как написано, но в Unisender остался статус «created» или «disabled», что делать?

Если при обновлении статуса вы видите уведомление, что ошибок не обнаружено, подождите 30 минут. Статус актуализируется и станет enabled.

При обновлении могут возникнуть ошибки:

• Запись DKIM не найдена.
• SPF-запись отсутствует.
• В SPF-записи отсутствует обязательный параметр include:spf.unisender.com.

В этом случае нужно проверить корректность записей у себя на хостинге.

Рекомендуем обратить внимание на лишние пробелы, они учитываются при считывании записи. Также есть смысл проверить, на том ли хостинге вы внесли записи.

Нужно ли настраивать DMARC?

Кроме SPF и DKIM можно прописать политику чтения этих записей (DMARC). Тогда у провайдеров будет инструкция, что делать, если письмо отправляется от вашего домена, но SPF и DKIM не совпадают. Такое бывает, если с вашего домена пытаются отправить спам.

DMARC позволяет получать отчеты и решать, что делать с письмами, которые не проходят SPF и DKIM-проверку.

Прописывать DMARC, если вы только начали настраивать аутентификацию, необязательно. Делать рассылки можно и без этой записи.

Подробная инструкция, как настроить DMARC

Как настроить почту

Как настроить аутентификацию и повысить открываемость писем
Что такое DMARC
Почему письмо не проходит SPF-проверку в Gmail?

Как настроить аутентификацию и повысить открываемость писем

Пошаговое руководство по DKIM, DMARC и SPF

Только корпоративная почта

Рассказываем, как завести корпоративный домен и настроить email-аутентификацию.

Что такое аутентификация

Email-аутентификация — процедура проверки подлинности отправителя.

Интернет-провайдеры и почтовые службы анализируют письма, чтобы удостовериться, что письмо пришло от проверенного и добросовестного отправителя, а не от мошенника или спамера.

• Гарантию доставляемости писем.
• Возможность использовать продвинутые сервисы статистики рассылок, например

Аутентификация в 3 шага

Чтобы настроить аутентификацию, нужно зайти на сайт провайдера, который управляет DNS-зоной домена, откуда вы рассылаете почту. В настройках DNS нужно внести несколько TXT-записей:

Запись DKIM

DKIM добавляет в письмо цифровую подпись. Она проверяется на стороне получателя. С её помощью отправителю присваивается та или иная репутация.

Политика DMARC

Мошенники подделывают адреса отправителей так, что спам якобы исходит от пользователя определенного домена, например, вашего.

Политика DMARC содержит указания, что должен сделать узел, принявший сообщение, которое не соответствует требованиям безопасности. Это ограждает от спама как получателей, так и отправителей.

Запись SPF

Указывает, каким почтовым серверам разрешено отправлять электронную почту от имени вашего домена. Например, если вы используете для рассылки почтовый сервер UniSender, это нужно указать в SPF.

Как завести домен и настроить аутентификацию

Купить домен просто. Нужно выбрать доменное имя, проверить, не занято ли оно, и оплатить. Перечислю несколько популярных регистраторов доменов:

Я регистрирую на

Совет

Не заводите кириллические адреса (в зоне рф). Рассылки с ними делать пока невозможно.

Я выбираю имя asaraev и проверяю наличие свободных зон для него:

После покупки ставлю в настройках галочку «Использовать сервера регистратора».

Привязываю домен к хостингу

Привяжу домен («имя» сайта) к хостингу («месту» размещения). Для этого надо настроить DNS. Если нет хостинга — то вот инструкция, как его выбрать. Вот несколько хостеров навскидку:

После покупки хостинга нужно узнать в службе поддержки хостера данные для настройки DNS и ввести их в Панели управления доменом.

Я делаю сайт на Tilda Publishing (платформа для создания красивых сайтов своими руками), поэтому хостинг для сайта мне не нужен. Запрашиваю данные у Тильды и вношу их в настройки.

Завожу почту на домене

Корпоративную почту со своим доменом можно завести бесплатно, например, на почта для домена платная.

Я заведу на . Подключаю через интерфейс все того же

Подключил. Захожу в аккаунт на Mail.ru и создаю ящик, с которого буду рассылать почту.

Настраиваю аутентификацию

Захожу в панель управления на сайте регистратора домена и нахожу ресурсные записи DNS. В моем случае (Reg.ru) путь выглядит так:

Личный кабинет — Мои домены — Управление зоной — Ресурсные записи домена (RRs).

Оказываюсь в том же месте, где привязывал хостинг и домен.

Помимо указания SPF и DKIM Mail.ru требует настройки MX-записи. Она указывает на сервер, который обрабатывает вашу почту. Сперва внесу ее.

В списке операций в Панели управления доменом выбираю, какой тип записи добавить:

В моём случае сервер — emx.mail.ru. Вы прописываете свой сервер. Информацию о сервере даёт почтовый провайдер.

Во всплывающем окне вбиваю домен еще раз.

Появляется окно, которое показывает, какие записи нужно ввести в настройки DNS.

Верхняя запись — SPF. Нижняя — DKIM. Перехожу в Панель управления доменом и вношу их как записи TXT.

В списке операций выбираю «Добавить запись TXT».

Добавляю запись SPF1.

Иногда, как в моем случае, запись SPF1 уже содержится в настройках. Тогда нужно добавить в эту запись значение include:spf.unisender.com ~all  так, как показано на скриншоте.

Прописываю DKIM. Для этого также нужно выбрать опцию «Добавить запись TXT».

В итоге полностью ресурсные записи выглядят так:

По сути, основные настройки аутентификации закончены. О том, как настроить DMARC, мы подробно рассказываем в Базе знаний.

Помощь в настройках

Если у вас возникли вопросы или нет времени вникать в детали, обратитесь в Службу заботы о клиентах UniSender. Специалисты внесут необходимые записи в настройки вашего домена, а также проверят корректность работы SPF/DKIM. Услуга платная.

Я проводил настройки в выходной день. Было приятно, что Служба заботы о клиентах работает по выходным. И работает отлично.

Выводы

Аутентификация рассылки — критически важный вопрос, если вы всерьез занимаетесь email-маркетингом. Настроить ее несложно. Для этого нужно иметь корпоративный домен и почту, а затем внести несколько записей в настройки DNS.

Если не получается своими руками или нет времени разбираться — закажите услугу у специалистов из Службы заботы о клиентах UniSender.

ЭКСКЛЮЗИВЫ ⚡️ Читайте только в блоге
Unisender

Поделиться

Делимся новостями и свежими статьями, рассказываем о новинках сервиса

«Честно» — авторская рассылка от редакции Unisender

Искренние письма о работе и жизни. Свежие статьи из блога. Эксклюзивные кейсы
и интервью с экспертами диджитала.

DKIM (DomainKeys Identified Mail) — технология проверки электронной почты, с помощью которой можно вычислить поддельные письма. DKIM добавляет в письмо цифровую подпись. Благодаря ей почтовые провайдеры (Mail.ru, Gmail) могут проверить, что сообщение отправлено именно с указанного домена.

Подпись DKIM — это TXT-запись, которую добавляют в настройки DNS-зоны сайта. Сама запись выглядит так:

us._domainkey TXT v=DKIM1; k=rsa; p=XXXXXXXXXXXXXXXXXXXXX,

v — версия DKIM, всегда принимает значение v=DKIM1;

k — тип ключа, всегда k=rsa;

p — уникальный код, который можно сгенерировать в сервисе рассылки.

Зачем нужна DKIM-подпись

DKIM-подпись не позволит спамерам отправлять письма от вашего имени. Вместе с SPF и DMARC эта технология защитит ваших подписчиков от мошенников, в том числе от кражи персональных данных.

Повышает доставляемость

DKIM улучшает репутацию домена. По DKIM сервер-получатель определяет подлинность отправителя и его общий рейтинг. Письма с хорошей репутацией имеют больше шансов попасть во «Входящие».

DKIM работает как паспорт: вы предъявляете его почтовому провайдеру, а он пропускает вас в инбокс.

Дает доступ к постмастерам

— сервисы почтовых служб для аналитики рассылок. Они помогают следить за доставляемостью, открытиями, отписками и жалобами на спам. Чтобы подключить статистику в постмастере, у вас должна быть настроена email-аутентификация. DKIM — одна из составляющих

Как работает DKIM

DKIM работает так: в письме есть зашифрованные данные о том, кем и когда было отправлено письмо. Почтовый провайдер, Gmail или Mail.ru, получает эти данные вместе с письмом. Провайдер расшифровывает их с помощью публичного ключа, выложенного на домене, с которого отправлено письмо. Если данные совпадают — значит, это честный отправитель, письмо можно пропускать во «Входящие». Если нет — мошенник, письмо отправляется в «Спам».

Как настроить DKIM-подпись

Чтобы настроить DKIM, вам нужен доступ к DNS-зоне сайта и . Обычно записи SPF и DKIM формируются в сервисе рассылок и добавляются через личный кабинет на хостинге (узнать хостинг вашего сайта можно с помощью специальных сервисов, например

В Unisender сформировать DKIM можно в «Настройках аккаунта»  на вкладке «Аутентификация домена». В открывшемся окне нажмите на кнопку «Добавить», введите домен и нажмите «Получить настройки». Подробнее читайте в статье «Как настроить почту».

Подтверждение DKIM-записи занимает от часа до нескольких дней.

Проверка DKIM-подписи

После настройки DKIM-подписи, стоит проверить, корректно ли она работает. Это можно сделать с помощью вашего сервиса рассылок или стороннего сервиса, например,

В сервисе рассылок

Расскажем, как проверить подпись в сервисе рассылок на примере Unisender.

Статус показывает, что вы правильно настроили записи DKIM и SPF.

Чтобы обновить проверку вручную, нажмите на две стрелочки возле статуса.

С помощью сервиса Mailtester

— сервис, с помощью которого можно протестировать письмо, в том числе проверить DKIM-подпись. MailTester дает полный отчет по доставляемости, а также проверяет настройки email-аутентификации.

После того как вы отправили письмо для проверки, н «Затем проверьте оценку». Сервис оценит сообщение по шкале от 1 до 10 баллов в зависимости от того, с какой вероятностью оно попадёт во «Входящие».

Если у письма низкий рейтинг, скорее всего, оно попадет в «Спам».

Если же рейтинг письма высокий, вы успешно попадете во «Входящие»:

Ниже можно посмотреть полный отчет по письму.

Чтобы проверить информацию о DKIM-подписи домена, нажмите на плюс во втором пункте (про рейтинг писем):

Главные мысли

SPF, DKIM и DMARC являются основными настройками, призванными защитить почтовый сервер от рассылок вредоносных писем, которые могут быть сгенерированы мошенниками от вашего имени. Настройка записей SPF и DKIM не даст произвести отправку нежелательных рассылок. Также SPF и DKIM подскажут сервисам, что почтовые сообщения приходят именно от вас. В свою очередь DMARC – это определённый сценарий обработки писем, который является дополнительной защитой ваших рассылок.

Настройка SPF

SPF (Sender Policy Framework) – настройка, позволяющая указать список почтовых серверов, которые могут отправлять письма от имени вашего домена. Правильная настройка SPF передаёт почтовым сервисам подтверждение того, что именно вы отправили сообщение.

Для настройки SPF перейдите с список доменов в личном кабинете:

В строке нужного домена найдите ссылку Редактировать DNS-записи. В качестве примера мы будем настраивать домен my-domain.host. Вы, конечно же, должны редактировать записи для домена своего сервера:

Здесь нажмите на кнопку TXT, введите текст новой записи и нажмите Сохранить:

В данном случае содержимое записи несёт в себе следующую информацию:

• v=spf1 — обязательный параметр;
• a – разрешает сообщения от серверов указанных в A-записи;
• mx – разрешает сообщения от серверов указанных в MX-записи;
• ~all – означает, что письма от остальных сервером необходимо принимать, но отправлять их в спам.

Данные параметры могут быть использованы со знаками:

• + – дефолтное значение, означающее, что сообщения должны быть приняты почтовым провайдером (вместо +all можно прописать all);
• — – знак означает, что письма должны быть отклонены;
• ~ – знак означает, что письма должны быть помечены как спам;
• ? – нейтральный знак, то есть сообщения должны быть обработаны как обычные письма.

Настройка DKIM

Данная настройка значительно повышает уровень доверия к отправляемым сообщениям. DKIM (DomainKeys Identified Mail) добавляет цифровую подпись в заголовки электронных писем.

Для примера рассмотрим, как произвести настройку DKIM для почтового сервера с доменным именем my-domain.host. В ходе настройки своего VPS вам нужно будет заменять имя этого домена на своё.

Во-первых, необходимо установить opendkim. Для Centos команда выглядит как:

$ sudo yum install opendkim

В свою очередь для Ubuntu/Debian нужна команда вида:

$ sudo apt install opendkim opendkim-tools

После окончания установки необходимо запустить службу opendkim:

$ sudo systemctl start opendkim

Далее, добавьте её в автозагрузку:

$ sudo systemctl enable opendkim

Следующим шагом в директории /etc/opendkim/keys/ создайте каталог, в котором будут находиться сгенерированные ключи. Не забывайте подставлять доменное имя своего сервера вместо my-domain.host:

$ cd /etc/opendkim/keys/
$ mkdir -p my-domain.host

Теперь запустите процесс создание ключей:

$ sudo opendkim-genkey —directory /etc/opendkim/keys/my-domain.host/ —domain my-domain.host —selector dkim

Каталогу с ключами необходимо присвоить соответствующие права:

$ sudo chown -R opendkim:opendkim /etc/opendkim/keys/my-domain.host

Далее необходимо внести изменения в файл /etc/opendkim.conf:

$ cd /etc
$ sudo nano opendkim.conf

В конец этого файла добавьте следующие строки:

Следующим шагом необходимо отредактировать файл TrustedHosts в каталоге /etc/opendkim/. Если его не существует, этой же командой вы создадите его:

$ cd /etc/opendkim/
$ sudo nano TrustedHosts

В него нужно внести имя вашего домена в виде *.my-domain.host. Файл должен иметь содержание, подобное следующему:

Далее внесите изменения в файл KeyTable в каталоге /etc/opendkim/:

$ cd /etc/opendkim/
$ sudo nano KeyTable

Необходимо привести его следующему виду:

Теперь отредактируйте файл SigningTable, также в директории /etc/opendkim/:

$ cd /etc/opendkim/
$ sudo nano SigningTable

Укажите в нём следующее:

Если ваш почтовый сервер работает под Ubuntu/Debian, на нём необходимо указать порт, на котором работает opendkim. Для чего внесите изменения в файл /etc/default/opendkim:

$ cd /etc/default/
$ sudo nano opendkim

А именно, в конец файла добавьте строку:

На следующем этапе в настройки postfix внесите взаимодейстие с DKIM. Для чего выполните следующие команды:

postconf -e ‘milter_default_action=accept’
postconf -e ‘milter_protocol=2’
postconf -e ‘smtpd_milters=inet:127.0.0.1:8891’
postconf -e ‘non_smtpd_milters=inet:127.0.0.1:8891’

Для применения новых настроек необходимо перезапустить opendkim:

$ sudo systemctl restart opendkim

А также – postfix:

$ sudo systemctl restart postfix

И наконец, созданный публичный ключ вам нужно будет внести в список DNS-записей вашего домена. Текст ключа находится в файле /etc/opendkim/keys/my-domain.host/dkim.txt:

$ cd /etc/opendkim/keys/my-domain.host/
$ sudo cat dkim.txt

Выглядит он примерно следующим образом:

Чтобы добавить DKIM на свой VPS, в списке доменов перейдите в Редактировать DNS-записи на строке нужного домена и добавьте TXT-запись. В название записи внесите dkim._domainkey, а в текст – содержимое ключа из файла dkim.txt:

Нажмите Сохранить, после чего ещё раз нажмите Сохранить в списке DNS- записей домена.

Настройка DMARC

Ещё одна настройка, призванная усилить защиту от спамеров, подделывающих адреса отправителей это – DMARC (Domain-based Message Authentication, Reporting and Conformance). DMARC представляет собой набор правил обработки электронных сообщений, которые не прошли авторизацию. Настройка позволяет выбрать порядок работы с такими письмами: либо не делать с ними ничего, либо помещать их в спам, либо просто отклонять.

Для обеспечения работоспособности DMARC необходимо настроить SPF и DKIM. Почтовый провайдер при получении электронного письма проверяет его при помощи SPF и DKIM. Если сообщение не прошло проверку ни по SPF, ни по DKIM, то применяется DMARC-политика.

Настройка DMARC производится в разделе Домены личного кабинета. В строке нужного домена необходимо перейти в Редактировать DNS-записи и добавить ещё одну TXT-запись. В поле Название записи внесите значение _dmarc, в поле Текст внесите содержание требуемой политики DMARC. Пример для нашего домена будет выглядеть следующим образом:

В данном случае значение переменной p установлено в reject. Это означает, что сообщения, не прошедшие проверку DMARC, будут отклонены. Выражение pct=30 устанавливает количество отклонённых писем в процентах. Мы задали – 30%. Если переменная pct отсутствует, процент отклонённых сообщений будет 100. Переменная p может также принимать значение quarantine. Это означает, что письма, не прошедшие проверку, будут помечены как спам. А также, к данной переменной применимо значение none. В таком случае провайдер не будет применять к сомнительным сообщениям никаких действий. Значение none полезно использовать, если есть необходимость удостовериться в том, что от вашего почтового сервера не идёт нежелательный трафик.

Проверка настроек

Для того, чтобы удостовериться, что ваши настройки произведены корректно, вы можете воспользоваться сервисами для проверки SPF, DKIM или просмотра DNS-записей. Ресурсов для таких проверок в сети довольно много. Для примера мы воспользовались некоторыми из них.

Проверку правильности настройки SPF мы произвели на MxToolbox. На сайте сервиса нужно указать имя своего домена и выбрать тип проверки TXT Lookup. Результат проверки настроек на нашем домене выглядел следующим образом:

Ещё на одном сайте подобного типа мы проверили настройки DKIM. Здесь на вкладке Tools следует выбрать DKIM Inspector, указать имя домена и селектор (dkim):

Настройку DMARC также можно произвести на одном из ресурсов, которые позволяют это сделать. Например, ivit.pro. В разделе Инструменты мы выбрали DMARC-тест, указали имя нашего почтового домена и после запуска теста получили результат: