Это пошаговое руководство по настройке email‑аутентификации для малого и среднего бизнеса в Беларуси. Объясню, зачем нужны SPF, DKIM и DMARC, как их правильно настроить на практике и как следить за результатом, чтобы письма доходили в почтовые ящики клиентов, а не в спам.
Коротко о каждом механизме (пример: кафе в Гомеле)
Кафе в Гомеле рассылает меню и акции с домена кафе. SPF говорит, какие серверы имеют право отправлять письма от вашего домена. DKIM ставит цифровую подпись в письме, это подтверждает, что письмо не изменили. DMARC настраивает, как почтовые службы обрабатывать письма, если SPF или DKIM не проходят.
Как сделать: проверьте DNS у регистратора домена. В панели DNS добавьте одну TXT‑запись SPF формата: "v=spf1 include:провайдер_a include:провайдер_b -all". Не создавайте несколько SPF‑записей для одного домена — оставьте одну объединённую. Если не уверены, запросите у почтового провайдера точную строку для include.
Пошаговая настройка DKIM (пример: интернет-магазин в Минске)
Интернет‑магазин в Минске отправляет письма из своей CRM и через стороннего SMTP. DKIM требует генерации пары ключей и добавления публичного ключа в DNS. Частая ошибка — оставить короткий ключ или не подписывать письма со всех источников.
Как сделать: в CRM/SMTP‑панели сгенерируйте DKIM‑ключ с длиной не меньше 2048 бит. Получите selector (например mail._domainkey) и добавьте в DNS TXT запись вида "mail._domainkey.yourdomain" с содержимым "v=DKIM1; k=rsa; p=PUBLICKEY". После добавления отправьте тестовое письмо на личную почту и проверьте заголовки — должна быть пометка DKIM=pass. Если магазин использует несколько сервисов, настройте DKIM для каждого и согласуйте selector, чтобы избежать конфликтов.
DMARC: как перейти от мониторинга к строгой политике (пример: салон красоты в Бресте)
Салон красоты заметил, что клиенты не получают письма. DMARC помогает видеть отчёты о проходящих и проваливающихся проверках. Начинать стоит с политики "none" для сбора данных, затем постепенно ужесточать до "quarantine" и "reject".
Как сделать: создайте TXT‑запись _dmarc.yourdomain с телом типа "v=DMARC1; p=none; rua=mailto:reports@yourdomain; ruf=mailto:forensic@yourdomain; pct=100; aspf=r; adkim=r". Подождите 1–2 недели, проанализируйте агрегированные отчёты (rua). Если большинство отправлений проходит, смените p на quarantine, потом на reject. Для приёма отчетов создайте отдельный почтовый ящик и настройте ротацию архива, чтобы отчёты не переполнили основную почту.
Мониторинг и поддержка работоспособности (пример: небольшой магазин в Витебске)
Магазин в Витебске использует сезонные рассылки и хочет держать уровень доставки постоянным. Главные показатели — количество SPF/DKIM ошибок в DMARC‑отчетах, рост попаданий в папку "Входящие", количество возвратов (bounces).
Как сделать: раз в неделю просматривайте агрегированные отчёты DMARC, фиксируйте домены и IP с ошибками. Если в отчётах появляются новые отправители, свяжитесь с ними и попросите добавить DKIM или включить ваш домен в SPF. Настройте логирование отправки в CRM, чтобы быстро выяснять источник проблемы.
Практический совет по интеграции сторонних сервисов
Если используете маркетинговую платформу или агрегатор SMS/email, запросите у них точные строки для SPF include и инструкции по DKIM. Добавляйте только те include, которые реально нужны. Для удобства рабочие DMARC‑отчёты храните на отдельном почтовом ящике с меткой "dmarc".
Типичные ошибки
- Наличие нескольких SPF‑записей для одного домена вместо одной объединённой.
- Короткий DKIM‑ключ (менее 1024 бит) или отсутствие DKIM у части отправителей.
- Установка политики DMARC "reject" сразу после создания отчётов без мониторинга.
- Неучтённые третьи стороны (платёжные системы, CRM), которые отправляют письма от имени домена.
- Игнорирование агрегированных DMARC‑отчётов и отсутствие регулярного мониторинга.
Полезные ссылки: для оформления фирменного значка в почтовых клиентах и дополнительной валидации писем обратите внимание на статью про BIMI в email: шаг за шагом для малого бизнеса Беларуси.
3 шага, которые можно сделать на этой неделе: 1) проверить в панели DNS наличие единичного SPF‑записи и добавить include провайдера; 2) сгенерировать DKIM‑ключ 2048 бит и опубликовать TXT‑запись; 3) создать DMARC запись с p=none и адресом rua для приёма отчётов, затем мониторить их 1–2 недели.