Как настроить spf запись домена и главное не спамить

SPF — это не только уровень защиты от солнечных лучей. Это еще и мощная технология, которая ограждает домен отправителя от действий мошенников. О том, как она работает и почему без настроенной SPF все меры по защите почтовой репутации летят коту под хвост — рассказываем.

P.S. будет много технических терминов, но мы их просто объясним.:)

Эта статья посвящена антиспам-настройкам для email-рассылок. Как сделать так, чтобы письма без проблем попадали во входящие, а не оказывались в спаме или вообще отбивались на уровне почтового сервера получателя.

В нашем блоге есть кейс, в котором мы детально описываем работу с клиентом, у которого были настроены приветственные письма, но они попадали в спам

SPF, DKIM и DMARC являются основными настройками, призванными защитить почтовый сервер от рассылок вредоносных писем, которые могут быть сгенерированы мошенниками от вашего имени. Настройка записей SPF и DKIM не даст произвести отправку нежелательных рассылок. Также SPF и DKIM подскажут сервисам, что почтовые сообщения приходят именно от вас. В свою очередь DMARC – это определённый сценарий обработки писем, который является дополнительной защитой ваших рассылок.

Информация о домене хранится на DNS-серверах. Чтобы внести её в систему DNS, нужно прописать ресурсные записи. С их помощью серверы делятся сведениями о доменах с другими серверами. Пока не прописаны ресурсные записи для домена, его нет в «телефонной книге» Интернета. Следовательно, работа сайта или почты на нём невозможна. Прежде чем приступать к указанию ресурсных записей, нужно делегировать домен, то есть прописать для него DNS-серверы. Вы можете сделать это по инструкции: Как прописать DNS-серверы для домена в Личном кабинете. Затем переходите к ресурсным записям. Изменения вступят в силу после обновления DNS-серверов (обычно до 24 часов).

Основные ресурсные записи: записи типа A, CNAME, MX, TXT и SPF. С общей информацией по добавлению ресурсных записей вы можете познакомиться в статье: Настройка ресурсных записей в Личном кабинете.

Что такое настройки DKIM, SPF и DMARC

Ведя войну со спамерами на своих фронтах, провайдеры почтовых систем разработали и ввели технические требования отправителям email-рассылок. Так появились доменные настройки DKIM, SPF и DMARC.

DKIM (DomainKeys Identified Mail) — метод аутентификации соответствия доменного имени. DKIM проверяет, действительно ли домен, от имени которого отправлена email-рассылка, принадлежит отправителю.

DMARC (Domain-based Message Authentication, Reporting and Conformance) — идентификация сообщений, создание отчётов и определение соответствия по доменному имени. Этой настройкой отправитель показывает почтовой системе, что его email-рассылки защищены SPF и / или DKIM.

Политика DMARC не является обязательной настройкой. Это мера, которая, в первую очередь, позволяет вам дополнительно обезопасить себя от действий мошенников.

• В независимости от панели управления в зону домена необходимо добавить следующие ресурсные записи (Что такое «Ресурсные записи DNS» ):Данные DNS-записи необходимо добавить на DNS-серверах: Как узнать, какие DNS-серверы прописаны для доменаДля домена прописаны ns1.reg.ru и ns2.reg.ru. Пропишите DNS-записи по инструкции: Настройка ресурсных записей DNS для домена;Для домена прописаны ns5.hosting.reg.ru и ns6.hosting.reg.ru. В этом случае DNS-записи будут настроены автоматически при добавлении домена в ISPmanager;Для домена прописаны другие DNS. Обратитесь к вашему поставщику DNS с вопросом добавления записей.
• Для домена прописаны ns1.reg.ru и ns2.reg.ru. Пропишите DNS-записи по инструкции: Настройка ресурсных записей DNS для домена;
• Для домена прописаны ns5.hosting.reg.ru и ns6.hosting.reg.ru. В этом случае DNS-записи будут настроены автоматически при добавлении домена в ISPmanager;
• Для домена прописаны другие DNS. Обратитесь к вашему поставщику DNS с вопросом добавления записей.
• Откройте панель управления ISPmanager;Добавьте домен на VPS, если вы не сделали этого ранее:

Добавить домен в ISPmanager

Перейдите в раздел Пользователи и нажмите Создать пользователя:

Выберите функции, которые будут доступны пользователю. Рекомендуем выставить настройки в соответствии со скриншотом:

впоследствии вы сможете изменить данные настройки.

Поставьте галочку Создать почтовый домен и задайте Имя почтового домена. Затем кликните Далее:

Подтвердите создание новых объектов, нажав Завершить:

• Создайте почтовый ящик:
  Создать ящик в ISPmanager
  перейдите в раздел Почта и нажмите Создать ящик:введите имя почтового ящика, в выпадающем списке выберите домен, на котором будет создан ящик. Сгенерируйте пароль и нажмите Ok:
• Для отправки и получения корреспонденции рекомендуем настроить почтовый клиент: Настройка почтовых клиентовИли воспользоваться Web-интерфейсом почты. Для этого перейдите в раздел Почта, кликните по почтовому ящику и нажмите Почтовый клиент:

Запись PTR

Внимание. Данная инструкция подходит только в том случае, если в качестве MTA (почтового сервера) на VPS-сервере установлен Exim.

• Откройте файл /etc/exim4/domainips через панель управления ISPmanager или по SSH;
• Пропишите в файле строку:
• Сохраните и закройте файл. Для вступления изменений в силу перезапустите Exim под пользователем root:через ISPmanager. Перейдите в раздел Система — Службы, выделите сервис Exim и нажмите Рестарт;по SSH. Введите команду service exim restart;
• через ISPmanager. Перейдите в раздел Система — Службы, выделите сервис Exim и нажмите Рестарт;
• по SSH. Введите команду service exim restart;

Добавление MX-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа MX.
• Mail Server — адрес сервера, который будет отвечать за работу почты на вашем домене;
• Priority — приоритет записи (чем меньше цифра, тем выше приоритет записи).

Готово! Ресурсная запись добавлена в зону домена.

• Если для вашего домена указаны DNS-серверы ns1.hosting.reg.ru и ns2.hosting.reg.ru, воспользуйтесь инструкцией.
• Если для вашего домена указаны иные DNS-серверы, вы заказали домен или хостинг не в компании REG.RU. В этом случае ресурсные записи добавляются на сайте поставщика услуг.

Запись TXT

TXT (Text string) — запись, которая содержит любую текстовую информацию о домене. Записи TXT используются для различных целей: подтверждения права собственности на домен, обеспечения безопасности электронной почты, а также подтверждения SSL-сертификата. Часто применяется для проверок на право владения доменом при подключении дополнительных сервисов, а также как контейнер для записи SPF и ключа DKIM. Можно прописывать неограниченное количество TXT-записей, если они не конфликтуют друг с другом.

Шаг 1. Указать ресурсные записи

Готово. После изменения ресурсных записей подождите 4-12 часов. Затем вы можете переходить к созданию почтового ящика.

Массовое изменение ресурсных записей

• Выберите домены, для которых нужно изменить ресурсные записи:
• В выпадающем меню справа кликните Изменить ресурсные записи:
• что изменить ресурсную запись, нажмите на Карандаш,если нужна новая запись, кликните Добавить запись,чтобы удалить запись, нажмите на Корзину.
• что изменить ресурсную запись, нажмите на Карандаш,
• если нужна новая запись, кликните Добавить запись,
• чтобы удалить запись, нажмите на Корзину.

Готово, ресурсные записи изменятся на нескольких доменах.

VPS с установленной CentOS

Закажите сервер с чистой CentOS или панелью управления ISPmanager всего за пару минут.

Заказать VPS c Centos

Как настроить и проверить SPF-запись для своего домена самостоятельно?

Создание SPF — простая операция. В большинстве случаев для установки базовой защиты достаточно прописать одну строку в TXT-записи домена. Но и здесь есть много подводных камней:

• SPF работает на уровне домена и не передается на поддомены. Это значит, что на каждый уровень нужно создавать свою SPF-запись.
• В проверке домена SPF ориентируется исключительно на поле “FROM”, поэтому она работает вместе с DKIM и DMARC, которые задают параметры поиска мошенника не только в поле “Отправитель”, но и в тексте сообщения.

Процесс настройки SPF-записи проходит на сайте провайдера и состоит из 5 этапов. Последний из них — проверка работоспособности и правильности SPF. Ее можно провести на одном из специальных сервисах:

или в личном аккаунте почтового сервиса Estismail. Зеленая галочка в разделе “Статус” означает, что SPF прописана и внедрена в TXT — запись домена верно:

Поздравляем, теперь Вы можете самостоятельно за несколько минут настроить SPF-запись для своего домена и обеспечить мощную защиту репутации отправителя. Тем не менее, одному лишь SPF не под силу полностью оградить домен от фишинга и спуфинга. Для полной защиты нужно действие трех магов: SPF, DMARC и DKIM. Если хотя бы один из них будет не настроен, то в защите отправляющего домена образуется брешь, через которую спуферы смогут подменить информацию об отправителе. В результате — ваши клиенты от вашего же имени получают спам или вирус, а вы — ни сном ни духом. Чтобы избежать такой ситуации — проверьте все записи или обратитесь в нашу службу поддержки. Мы всегда поможем.

Как сменить пароль почтового ящика

При необходимости вы можете сменить пароль почтового ящика. Перейдите в панель управления и выполните шаги инструкции в зависимости от выбранной панели.

• Перейдите в раздел Почта и кликните на нужный почтовый ящик. Наведите курсор на Редактировать и нажмите Изменить:
• Кликните на значок «глаз», чтобы видеть символы, которые вы вводите. Укажите новый пароль и нажмите :

Обратите внимание: если вид вашей панели управления отличается от представленного в статье, в разделе «Основная информация» переключите тему с paper_lantern на jupiter.

• В разделе «Почта» нажмите Почтовые учетные записи:
• Справа от нужного почтового ящика нажмите Управлять:
• Нажмите на значок «глаз», чтобы показать пароль. Далее укажите новый пароль или сгенерируйте его с помощью кнопки «Создать». Затем кликните Обновить настройки почты:

• В разделе Почта нажмите по адресу вашей электронной почты:Обратите внимание!Если внешний вид вашей панели управления отличается от представленного в инструкции, перейдите в раздел «Сайты и домены» и в правом верхнем углу измените вид на «Активный».
• Пароль — введите новый пароль или сгенерируйте его с помощью кнопки «Создать»;Подтверждение пароля — введите новый пароль ещё раз.Затем нажмите ОК:
• Пароль — введите новый пароль или сгенерируйте его с помощью кнопки «Создать»;
• Подтверждение пароля — введите новый пароль ещё раз.

Готово, пароль от почтового ящика изменён.

Пошаговые инструкции

Не будем копировать мануалы по самим настройкам, просто оставим их здесь на ваш выбор. По ссылкам — актуальная на данный момент информация, всё изложено максимально грамотно и лаконично. С их помощью вы можете пошагово настроить записи самостоятельно или поручить это вашему системному администратору.

Запись A

Примеры записи A:

Как настроить SPF-запись

SPF-запись позволяет указать в TXT-записи домена список серверов, которые имеют право отправлять сообщения от имени e-mail адресов этого домена. Проще говоря, SPF-запись помогает защититься от злоумышленников, рассылающих СПАМ от имени вашего домена. Подробнее об SPF-записи вы можете узнать в статье Что такое ресурсные записи DNS?

Как должна выглядеть SPF-запись

Более подробно и о настройке SPF-записи вы можете прочитать на тематических форумах в сети интернет.

Как добавить SPF-запись

SPF-запись прописывается в TXT-записи домена. Фактически вам необходимо добавить TXT-запись, в значение которой вставить SPF-запись.Добавлять TXT-запись необходимо на тех DNS-серверах, которые прописаны для вашего домена. Вы можете добавить TXT-запись по инструкции: Как добавить запись TXT.

Запись SPF

SPF-запись (Sender Policy Framework) содержит информацию о списке серверов, которые имеют право отправлять письма от имени заданного домена. Позволяет избежать несанкционированного использования. Настройка SPF прописывается в TXT-записи для домена.

Пример записи SPF:

• v=spf1 — определяет версию используемой записи SPF;
• include:_spf.hosting.reg.ru — включает в запись SPF значение SPF-записи другого домена. То есть для домена будут действовать все значения записи SPF для домена «_spf.hosting.reg.ru»;
• mx — разрешает приём почты, если отправляющий сервер указан в одной из записей MX для домена;
• ~all — если письмо пришло с сервера, который не входит в вышеперечисленный список, его стоит проанализировать более тщательно. Также иногда используется  — в этом случае письмо не проходит дополнительных проверок и сразу отвергается.

Помимо «~» и «-», для параметра «all» существуют ещё ключи:

• «+» — принимать почту,
• «?» — воспринимать письмо нейтрально.

Записи NS, PTR, SOA являются служебными и, как правило, настраиваются автоматически.

Удаление и редактирование ресурсных записей

Помимо добавления новых ресурсных записей, вы можете редактировать или удалять существующие записи:

Как войти в почтовый ящик

Для работы с почтой на хостинге существует специальный почтовый клиент. Почтовый клиент — это программа, которая упрощает работу с письмами (отправку, обработку, перенаправление). Клиент работает только через браузер. Так что дополнительное программное обеспечение устанавливать не нужно — просто зайдите на сайт и авторизуйтесь. Для этого:

• Нажмите на услугу хостинга:
• В карточке услуги нажмите на раздел Почта:
• Имя пользователя — название почтового ящика, который вы создали;Пароль — пароль от этого почтового ящика.
• Имя пользователя — название почтового ящика, который вы создали;
• Пароль — пароль от этого почтового ящика.

Настройка DMARC

Ещё одна настройка, призванная усилить защиту от спамеров, подделывающих адреса отправителей это – DMARC (Domain-based Message Authentication, Reporting and Conformance). DMARC представляет собой набор правил обработки электронных сообщений, которые не прошли авторизацию. Настройка позволяет выбрать порядок работы с такими письмами: либо не делать с ними ничего, либо помещать их в спам, либо просто отклонять.

Для обеспечения работоспособности DMARC необходимо настроить SPF и DKIM. Почтовый провайдер при получении электронного письма проверяет его при помощи SPF и DKIM. Если сообщение не прошло проверку ни по SPF, ни по DKIM, то применяется DMARC-политика.

Настройка DMARC производится в разделе Домены личного кабинета. В строке нужного домена необходимо перейти в Редактировать DNS-записи и добавить ещё одну TXT-запись. В поле Название записи внесите значение _dmarc, в поле Текст внесите содержание требуемой политики DMARC. Пример для нашего домена будет выглядеть следующим образом:

В данном случае значение переменной p установлено в reject. Это означает, что сообщения, не прошедшие проверку DMARC, будут отклонены. Выражение pct=30 устанавливает количество отклонённых писем в процентах. Мы задали – 30%. Если переменная pct отсутствует, процент отклонённых сообщений будет 100. Переменная p может также принимать значение quarantine. Это означает, что письма, не прошедшие проверку, будут помечены как спам. А также, к данной переменной применимо значение none. В таком случае провайдер не будет применять к сомнительным сообщениям никаких действий. Значение none полезно использовать, если есть необходимость удостовериться в том, что от вашего почтового сервера не идёт нежелательный трафик.

Как SPF защищает домен от спуфинга?

Как известно, основной метод спуфинга — это подмена адреса в поле “FROM”. SPF-запись, как противоядие, направлено именно на это поле, поскольку оно содержит главный критерий для проверки: домен отправителя и его IP адрес. Сопоставляя его с теми айпишниками, которые прописаны в SPF-записи как разрешенные, сервер-получатель принимает решение о безопасности сообщения.

• почтовый сервер beispiel.com проверяет DNS запись о типе TXT для домена example.com и определяет IP отправляющего домена;
• мейл-сервер beispiel.com ищет IP адрес 1.3.4.7, среди тех, которым SPF-запись example.com разрешает делать отправку от своего имени;
• если IP отправителя есть в списке “правильных” айпишников, письмо поступает во “Входящие”. Если нет — “отбивается” или попадает в СПАМ.

И такие этапы проходит каждое письмо. Графически, преодоление SPF-фильтра выглядит следующим образом:

Базовую роль в проверке домена играет список IP адресов, указанных в SPF-записи. Именно он подтверждает честные намерения отправителя. Поэтому постарайтесь вписать в этот список все возможные IP, которым вы разрешаете отправку: все корпоративные адреса, а также не забудьте о сервисах почтовых рассылок.

Настройка ресурсных записей в Личном кабинете

Перед настройкой ресурсных записей необходимо проверить, какие DNS-серверы указаны для домена: Как узнать, какие DNS-серверы указаны для домена?

Если вы зарегистрировали домен в REG.RU и для него указаны DNS-серверы ns1.reg.ru и ns2.reg.ru, ресурсные записи настраиваются в Личном кабинете по инструкции ниже.

Если у вас есть хостинг REG.RU и для домена указаны ns1.hosting.reg.ru и ns2.hosting.reg.ru, воспользуйтесь инструкцией: Настройка ресурсных записей на хостинге.

Ниже расскажем, как добавить запись в DNS домена. Подробнее о том, что такое ресурсные записи и для чего они нужны читайте в статье: Что такое ресурсные записи DNS?

Запись SOA

SOA (Start of Authority) — начальная запись зоны, которая указывает, на каком сервере хранится эталонная информация о доменном имени. Критически важна для работы службы DNS. Подробнее о том, что такое SOA-запись и как её проверить, вы можете узнать в статье.

Добавление AAAA-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа АААА.
• IPv6 Address — необходимый IPv6-адрес.

Запись NS

NS-запись (Authoritative name server) указывает на DNS-серверы, которые отвечают за хранение остальных ресурсных записей домена. Количество NS записей должно строго соответствовать количеству всех обслуживающих его серверов. Критически важна для работы службы DNS.

Запись AAAA

Примеры записи AAAA:

Как настроить DKIM на VPS сервере

• Перейдите в раздел Почта и выберите Почтовые домены:
• Кликните по домену и нажмите Изменить:
• Поставьте галочку напротив Включить DKIM для домена, нажмите Ok:

Проверка записи

• Нажмите «Пуск» и в строке поиска «Найти программы и файлы» наберите команду nslookup и нажмите «Enter». Перед вами появится окно с командной строкой;
• Наберите команду ls -t TXT *название домена* и нажмите «Enter». В результате вы увидите ключ DKIM.

В Linux

Откройте встроенный терминал и наберите команду: host -t TXT dkim._domainkey.mysite.ru 123.123.123.123

где 123.123.123.123 — IP адрес вашего сервера. Вывод должен быть примерно таким:

host -t TXT dkim._domainkey.mysite.ru 123.123.123.123
Using domain server:
Name: 123.123.123.123
Address: 123.123.123.123#53
Aliases: dkim._domainkey.mysite.ru descriptive text «v=DKIM1; k=rsa; s=email; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDtoh2UMKtbzc4hpsrgSpBg0DC7gpmRgx9n+cQBWdqaUgfAK03wZzUSI4NZ9KUDR8V/YtQtLmrgdRvDTotVhAXE7xhUtKeNrxoNk3ffe0rY5fOcVNdTBpGOW5vMK6qyp+XD2Ws0s2GJalhxXtTGiXfxb3AGJMAKC0S2SYBV9zd8twIDAQAB»

Также вы можете произвести проверку при помощи on-line сервиса DKIMCore. Однако в этом случае перед проверкой придется подождать обновления DNS серверов.

Возможные проблемы

Не устанавливается или не включается Opendkim в панели управления

Не устанавливается или не включается Opendkim в панели управления. Проблема наблюдается при установленном Exim в качестве MTA. Как правило, установка всё же происходит, но панель управления этого не показывает. Как решить:

• В разделе Возможности выделите «Почтовый сервер (SMTP)» и нажмите Вкл.;
• После этого выделите «Opendkim — фильтр DKIM» и нажмите Установить, затем Вкл..

При проверке не видна TXT-запись с ключом DKIM

Например, на этапе проверки записи вы наблюдаете надпись:

«dkim._domainkey.mysite.ru has no TXT record»

Как решить

• В панели управления перейдите в раздел Управление зоной;
• Выделите необходимый домен и нажмите Управлять DNS записями;
• Кликните на TXT-запись вида «dkim._domainkey» и нажмите Изменить:Проверьте запись на наличие пробелов. Затем нажмите Ok:

Настройка SPF

SPF (Sender Policy Framework) – настройка, позволяющая указать список почтовых серверов, которые могут отправлять письма от имени вашего домена. Правильная настройка SPF передаёт почтовым сервисам подтверждение того, что именно вы отправили сообщение.

Для настройки SPF перейдите с список доменов в личном кабинете:

В строке нужного домена найдите ссылку Редактировать DNS-записи. В качестве примера мы будем настраивать домен my-domain.host. Вы, конечно же, должны редактировать записи для домена своего сервера:

Здесь нажмите на кнопку TXT, введите текст новой записи и нажмите Сохранить:

В данном случае содержимое записи несёт в себе следующую информацию:

• v=spf1 — обязательный параметр;
• a – разрешает сообщения от серверов указанных в A-записи;
• mx – разрешает сообщения от серверов указанных в MX-записи;
• ~all – означает, что письма от остальных сервером необходимо принимать, но отправлять их в спам.

Данные параметры могут быть использованы со знаками:

• + – дефолтное значение, означающее, что сообщения должны быть приняты почтовым провайдером (вместо +all можно прописать all);
• — – знак означает, что письма должны быть отклонены;
• ~ – знак означает, что письма должны быть помечены как спам;
• ? – нейтральный знак, то есть сообщения должны быть обработаны как обычные письма.

Запись CNAME

CNAME (Canonical name) — запись, которая отвечает за привязку поддоменов (например, www.site.ru) к каноническому имени домена (site.ru) или другому домену.Основная функция CNAME — дублирование ресурсных записей домена (A, MX, TXT) для различных поддоменов.

Примеры записи CNAME:

Использование записи CNAME исключает использование других ресурсных записей для данного поддомена, то есть для поддомена mail.site.ru или www.site.ru нельзя одновременно добавить и запись A и запись CNAME.

Добавление A-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа А.

Запись MX

MX-запись что это? Это запись, отвечающая за сервер, через который будет работать почта. Записи MX критически важны для работы почты. Благодаря им отправляющая сторона «понимает», на какой сервер нужно отправлять почту для вашего домена.

Примеры записи MX:

где mx1.hosting.reg.ru — нужный вам почтовый сервер.

Обычно указывается два почтовых сервера, чтобы в случае недоступности одного из них почта всё же была отправлена на другой. Приоритет записи определяет, на какой сервер нужно отправлять почту в первую очередь. Чем меньше число, тем выше приоритет. Таким образом, для доменного имени site.ru почтовый сервер mx1.hosting.reg.ru является основным, а mx2.hosting.reg.ru выступает второстепенным. Если приоритет одинаковый, сервер выбирается случайным образом.

Как проверить

Проверить, корректно ли указаны записи вы можете с помощью утилиты dig. Введите домен, в зоне которого добавлялись ресурсные записи, выберите тип записи «ANY» и нажмите Проверить. Ниже вы увидите все ресурсные записи, прописанные для вашего домена.

Настройка DKIM

Данная настройка значительно повышает уровень доверия к отправляемым сообщениям. DKIM (DomainKeys Identified Mail) добавляет цифровую подпись в заголовки электронных писем.

Для примера рассмотрим, как произвести настройку DKIM для почтового сервера с доменным именем my-domain.host. В ходе настройки своего VPS вам нужно будет заменять имя этого домена на своё.

Во-первых, необходимо установить opendkim. Для Centos команда выглядит как:

$ sudo yum install opendkim

В свою очередь для Ubuntu/Debian нужна команда вида:

$ sudo apt install opendkim opendkim-tools

После окончания установки необходимо запустить службу opendkim:

$ sudo systemctl start opendkim

Далее, добавьте её в автозагрузку:

$ sudo systemctl enable opendkim

Следующим шагом в директории /etc/opendkim/keys/ создайте каталог, в котором будут находиться сгенерированные ключи. Не забывайте подставлять доменное имя своего сервера вместо my-domain.host:

$ cd /etc/opendkim/keys/
$ mkdir -p my-domain.host

Теперь запустите процесс создание ключей:

$ sudo opendkim-genkey —directory /etc/opendkim/keys/my-domain.host/ —domain my-domain.host —selector dkim

Каталогу с ключами необходимо присвоить соответствующие права:

$ sudo chown -R opendkim:opendkim /etc/opendkim/keys/my-domain.host

Далее необходимо внести изменения в файл /etc/opendkim.conf:

$ cd /etc
$ sudo nano opendkim.conf

В конец этого файла добавьте следующие строки:

Следующим шагом необходимо отредактировать файл TrustedHosts в каталоге /etc/opendkim/. Если его не существует, этой же командой вы создадите его:

$ cd /etc/opendkim/
$ sudo nano TrustedHosts

В него нужно внести имя вашего домена в виде *.my-domain.host. Файл должен иметь содержание, подобное следующему:

Далее внесите изменения в файл KeyTable в каталоге /etc/opendkim/:

$ cd /etc/opendkim/
$ sudo nano KeyTable

Необходимо привести его следующему виду:

Теперь отредактируйте файл SigningTable, также в директории /etc/opendkim/:

$ cd /etc/opendkim/
$ sudo nano SigningTable

Укажите в нём следующее:

Если ваш почтовый сервер работает под Ubuntu/Debian, на нём необходимо указать порт, на котором работает opendkim. Для чего внесите изменения в файл /etc/default/opendkim:

$ cd /etc/default/
$ sudo nano opendkim

А именно, в конец файла добавьте строку:

На следующем этапе в настройки postfix внесите взаимодейстие с DKIM. Для чего выполните следующие команды:

postconf -e ‘milter_default_action=accept’
postconf -e ‘milter_protocol=2’
postconf -e ‘smtpd_milters=inet:127.0.0.1:8891’
postconf -e ‘non_smtpd_milters=inet:127.0.0.1:8891’

Для применения новых настроек необходимо перезапустить opendkim:

$ sudo systemctl restart opendkim

А также – postfix:

$ sudo systemctl restart postfix

И наконец, созданный публичный ключ вам нужно будет внести в список DNS-записей вашего домена. Текст ключа находится в файле /etc/opendkim/keys/my-domain.host/dkim.txt:

$ cd /etc/opendkim/keys/my-domain.host/
$ sudo cat dkim.txt

Выглядит он примерно следующим образом:

Чтобы добавить DKIM на свой VPS, в списке доменов перейдите в Редактировать DNS-записи на строке нужного домена и добавьте TXT-запись. В название записи внесите dkim._domainkey, а в текст – содержимое ключа из файла dkim.txt:

Нажмите Сохранить, после чего ещё раз нажмите Сохранить в списке DNS- записей домена.

Как добавить новую ресурсную запись

Выберите тип ресурсной записи, которую хотите добавить, и следуйте нужной инструкции:

Добавление NS-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа NS.
• NS-запись принципиально важна для работы DNS. NS-записи для домена добавляются автоматически после указания DNS-серверов и скрыты в зоне домена для удобства, так как их все равно нельзя удалить или отредактировать. При необходимости вы можете прописать DNS-серверы для поддомена, чтобы управлять его зоной отдельно. Чтобы прописать NS-запись, укажите в полях:Subdomain — поддомен;DNS Server — DNS-сервер, на котором вы хотите отдельно хранить зону поддомена;Record number заполнять необязательно.
• Subdomain — поддомен;
• DNS Server — DNS-сервер, на котором вы хотите отдельно хранить зону поддомена;
• Record number заполнять необязательно.

Добавление TXT-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа тип записи TXT.
• Text — значение записи TXT. Как правило, значение ТХТ отправляется на email (например, для активации SSL-сертификат) или предоставляется компанией, услугу которой вы настраиваете.

Проверка настроек

Для того, чтобы удостовериться, что ваши настройки произведены корректно, вы можете воспользоваться сервисами для проверки SPF, DKIM или просмотра DNS-записей. Ресурсов для таких проверок в сети довольно много. Для примера мы воспользовались некоторыми из них.

Проверку правильности настройки SPF мы произвели на MxToolbox. На сайте сервиса нужно указать имя своего домена и выбрать тип проверки TXT Lookup. Результат проверки настроек на нашем домене выглядел следующим образом:

Ещё на одном сайте подобного типа мы проверили настройки DKIM. Здесь на вкладке Tools следует выбрать DKIM Inspector, указать имя домена и селектор (dkim):

Настройку DMARC также можно произвести на одном из ресурсов, которые позволяют это сделать. Например, ivit.pro. В разделе Инструменты мы выбрали DMARC-тест, указали имя нашего почтового домена и после запуска теста получили результат:

Что? зачем? и как?

SPF (Sender Policy Framework/структура политики отправителя) — это метод борьбы со спамом, который работает по принципу паспорта. Как главный документ удостоверяет нашу личность, так SPF подтверждает, что емейл пришел с проверенного надежного адреса. Но в отличие от объемной книжечки, Sender Policy Framework представляет собой одну строку в TXT-записи домена. Например, такую:

example.org. IN TXT «v=spf1 +a +mx -all»,

где v=spf1 — это используемая версия SPF, а +a +mx -all — механизм и условия защиты домена от мошенников.

Это самый простой пример записи, который говорит о том, что отправлять письма от имени домена example.org могут все все сервера, указанные в записях a и mx. Другие же адреса должны быть удалены: -all.

Более сложный уровень SPF-защиты для того же домена может выглядеть так:

example.org. IN TXT «v=spf1 mx ip4:195.3.159.250 +a:smtp.mail.ru include:gmail.com ~all»

и означает, что отправлять сообщения от имени домена example.org. могут все сервера, указанные в mx-записях, а также отправленные с IP 195.3.159.250. Кроме того, можно принимать письма с серверов, указанных в SPF-записи домена gmail.com. Письма со всех остальных серверов нужно отправить в спам без проверки: ~all».

И это далеко не самая сложная SPF-запись. При необходимости, она может вмещать до 10 параметров. Для удобства, мы собрали их все в одном месте:

+ принимать сообщение. Например: +all — принимать все письма;

— отклонить сообщение. Например: -all — отклонять все письма;

~ принять емейл, но пометить как СПАМ. ~all — отправлять все письма в СПАМ;

? нейтральное отношение;

mx все адреса, указанные в MX-записях домена;

include разрешает принимать письма с серверов, разрешенных SPF-записями домена. Например: include:gmail.com — принимать письма с айпишников, которые указаны в SPF домена gmail.com;

all все остальные IP, которые не указаны в SPF-записи;

exists проверяет работоспособность доменного имени;

redirect указывает, что нужно проверять SPF указанного домена, вместо текущего; задает сообщение об ошибке, которое передается отправителю. Например:exp example.org. IN TXT «v=spf1 +a +mx -all exp=spf.example.org»

spf.example.org. IN TXT «You host not allowed e-mail to me from this domain!»

Главная функция SPF — предотвратить попытки спуфинга и других атак на репутацию отправителя. Ее длина и сложность зависит от нужного уровня защиты и навыков специалиста. Зачастую ее можно прописать самостоятельно, и мы расскажем как — чуть дальше:)

Добавление SRV-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа SRV.
• SRV-запись нужна, чтобы указать сервер для обработки комбинации сервис/протокол/имя домена. Подробнее о предназначении этой записи вы можете узнать на специализированных форумах. Чтобы добавить SRV-запись, укажите в полях:Service — название сервиса;Priority — приоритет целевого хоста;Weight — относительный вес для записей с одинаковым приоритетом (необязательное поле);Port — порт TCP или UDP, на котором работает сервис;Target — каноническое имя сервиса;
• Service — название сервиса;
• Priority — приоритет целевого хоста;
• Weight — относительный вес для записей с одинаковым приоритетом (необязательное поле);
• Port — порт TCP или UDP, на котором работает сервис;
• Target — каноническое имя сервиса;

Что дальше

Дождитесь обновления зоны домена. Оно занимает от 15 минут до 1 часа. Если вы предварительно изменили DNS-серверы домена, обновление информации займет до 24 часов. После того как зона обновится, изменения вступят в силу (например, будет инициирован выпуск SSL-сертификата или домен будет привязан к хостингу и т.д.)

Как создать почту для домена на хостинге

Перед тем как создать почту в панели управления веб-хостингом, убедитесь в том, что у вас заказан хостинг. Если нет — закажите его по инструкции.

Ограничения на количество отправляемых писем

На пробной услуге хостинга есть ограничение: можно отправить только 10 писем в сутки. Остальные функции доступны так же, как и при использовании платного хостинга.

На виртуальном хостинге существуют следующие ограничения на отправку писем:

Максимальное число писем, отправленных в течение 24 часов:

При достижении лимита вы не сможете отправлять сообщения до начала следующего дня.

Важно! Ограничение накладывается на весь аккаунт — это суммарное количество отправляемых писем со всех почтовых ящиков, а также с использованием функции phpmail.

Проверка настроек DKIM, SPF и DMARC

После отладки нужно убедиться, что всё работает, как задумано. Первый этап можно осуществить c помощью сервиса mail-tester.com. Проверяем корректность настроек по принципу: есть / нет.

Всё просто, отправляем тестовое письмо из рассыльной платформы на рандомно сформированный почтовый адрес (кстати, его можно сохранить и пользоваться им постоянно) и проверяем.

Далее смотрим подробности проверки.

Если проблем нет, DKIM-запись действительна, значит, домен технически принадлежит вам как отправителю и ваши письма, согласно данным доставляемости, попадают в инбокс подписчиков. Значит, вы всё сделали правильно.

В качестве удобного инструмента для проверки и диагностики проблем антиспам-настроек можем порекомендовать сервис mxtoolbox.com.

Вводим домен и проверяем корректность настроек, выбрав необходимый пункт в выпадающем меню.

На что стоит обратить особое внимание. В зелёном поле мы видим SPF-записи домена. Далее префиксы, их значения и описания. Если вы что-то настроили неправильно, сервис покажет вам это в соответствующей графе теста. Это значит, что вам стоит вернуться к инструкции настроек и перепроверить эту строку в DNS-зонах административной панели настроек вашего рассыльного домена.

Важный нюанс. Для SPF существует лимит в десять записей. Всё, что выше этого лимита, сервер получателя просто не увидит.

В нашей практике был случай, когда клиент обратился к нам с проблемой — рассылки вообще не попадали в инбокс подписчиков, хотя, казалось, что все настройки в порядке.

Система была построена следующим образом: промо-рассылки отправлялись из одной платформы, транзакционные письма — из второй, триггеры — из третьей, а поддержка клиентов пользовалась четвёртой. Проверив корректность всех настроек, мы нашли тринадцать разных SPF-записей. Получилось, что разработчики клиента превысили лимит, серверы почтовых провайдеров просто не видели записи свыше десяти и отбивали письма службы технической поддержки, считая их мошенническими и вредоносными.

Далее проверяем ключевые настройки политики DMARC.

Значение тега v — DMARC1, это версия протокола политики DMARC. Далее политика обработки писем, её задаёт значение тега p, обратите на него особое внимание. Это правило, согласно которому, как мы уже говорили выше, поступит почтовый провайдер, если SPF и / или DKIM выдали ошибку или письмо по каким-либо техническим причинам выглядит подозрительным для сервера получателя.

Значение ’none’ DMARC — письмо отправится в папку «Входящие», а владельцу домена придёт отчёт для анализа. В отчёте — информация о том, кто отправляет от данного имени email-рассылки и разрешено ли им это делать.

Значение ’quarantine’ — сервер почтового провайдера получателя отправляет письмо в папку Спам, а владелец домена сможет проанализировать данные, которые ему также придут в отчёте.

Значение ’reject’ даст команду серверу получателя отбить не прошедшие проверку DMARC письма. Эти рассылки получатель не увидит.

Значение тега rua, как вы наверняка догадались, — адрес электронной почты, на которую будут приходить отчёты.

Шаг 2. Создать почтовый ящик на хостинге

Чтобы создать почтовый ящик на web хостинге, перейдите в панель управления и выполните шаги инструкции в зависимости от выбранной панели.

• Перейдите в раздел Почта и нажмите Почтовые домены:
• Кликните Создать почтовый домен:
• Укажите домен и нажмите Ok:
• Вернитесь в раздел Почта:
• Домен — выберите домен из выпадающего списка,
• Пароль — кликните на значок «глаз», чтобы видеть символы, которые вы вводите. Введите пароль и подтверждение.

• Перейдите в раздел Почта — Почтовые учетные записи:
• Домен — выберите нужный домен из выпадающего списка;
• Пароль — нажмите на значок «глаз», чтобы видеть символы, которые вводите. Укажите пароль или сгенерируйте его с помощью кнопки «Создать».

• Добавьте домен в панели управления.
  Если внешний вид вашей панели управления отличается от представленного в инструкции, перейдите в раздел «Сайты и домены» и в правом верхнем углу измените вид на «Активный».
• Перейдите в раздел Почта и выберите Создать адрес электронной почты:
• Пароль — нажмите Показать и введите пароль. Если вам нужно его сгенерировать, нажмите на кнопку Создать;
• Подтверждение пароля — введите пароль ещё раз;
• Почтовый ящик — выберите Размер по умолчанию или укажите объём, который могут занимать письма в этом почтовом ящике.

Готово, вы создали почтовый ящик. Изменения вступят в силу в течение 1 часа.

Как только почтовый ящик будет создан, можно переходить к работе с почтой. Для этого используйте почтовый клиент.

Если вам не удается подключиться к серверу почты, возможные пути решения описаны в статье Неудачное соединение с IMAP сервером, почта не подключается к серверу.

Добавление CAA-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа CAA.
• Flag — критичность правила (значение 0 или 128, где 128 — критический бит);
• Tag — содержимое поля Value (issue, issuewild, iodef: подробнее в статье ISPWiki);
• Value — нужное значение исходя из значения поля «Tag» в двойных кавычках.

Если вы добавили необходимую ресурсную запись в зоне домена, но не произошло изменений, воспользуйтесь статьёй: Прописал DNS-серверы, но сайт недоступен.

Добавление CNAME-записи

• Перейдите в Личный кабинет. Кликните по строке домена, для которого хотите прописать ресурсную запись. В строке «DNS-серверы и управление зоной» нажмите Изменить:
• На открывшейся странице нажмите Добавить запись и выберите в шторке справа CNAME.
• Canonical name — домен, на который должен ссылаться поддомен из поля «Subdomain».