Добавьте к записям dns сервера txt spf запись с указанием настоящих серверов отправки почты
Эта статья адресуется тем, кто имеет опыт настройки почтовых серверов. Она содержит подробные технические сведения о записях SPF (включая предъявляемые к ним требования, используемый синтаксис и то, как записи влияют на доставку почты). Примеры стандартных записей SPF, которые можно использовать при отправке почты как с помощью Google Workspace, так и с помощью других почтовых серверов и сервисов, приведены в этой статье.
Если электронные письма в вашей организации отправляются только с помощью Google Workspace, следуйте инструкциям по базовой настройке записи SPF.
Запись SPF определяет почтовые серверы и домены, которым разрешено отправлять электронную почту от имени вашего домена. Кроме того, она сообщает серверам-получателям, что делать с письмами после их проверки. Почтовые серверы, принимающие электронные письма от вашего домена, с помощью SPF могут убедиться, что они отправлены с разрешенных вами серверов. У домена может быть только одна запись SPF, но в ней можно указать несколько серверов и сторонних почтовых сервисов.
Настройте SPF, добавив соответствующую TXT-запись DNS на сайте регистратора домена.
MX-запись
2. Найдите домен, для которого планируется внести изменения, кликните на значок шестеренки и выберите «Настройки DNS».
3. Удалите имеющиеся MX-записи.
4. Нажмите на «Добавить DNS-запись», выберите «MX» и в открывшемся окне отметьте пункт «Яндекс.Почта»:
5. Сохраните изменения с помощью кнопки «Добавить».
6. Подождите, пока изменения в DNS вступят в силу. Этот процесс может занимать до 72 часов.
redirect
Технически, redirect является модификатором, а не механизмом. Он выполняет одну основную функцию: сообщает, что необходимо применять настройки SPF другого домена.
Подключение домена
1. В интерфейсе Яндекс.Коннекта перейдите в раздел Домены и выберите (либо добавьте, если это еще не сделано) нужный домен.
2. Выберите способ подтверждения домена.
Наиболее простым способом является подтверждение через DNS-запись. Скопируйте предложенное значение TXT-записи.
4. Найдите домен, для которого планируется внести изменения, кликните на значок шестеренки и выберите «Настройки DNS».
5. Нажмите на «Добавить DNS-запись», выберите «TXT» и укажите запись, полученную в Яндекс.Коннекте.
6. Сохраните изменения с помощью кнопки «Добавить». Как правило, требуется 10-15 минут, чтобы изменения вступили в силу.
7. После того, как изменения будут применены, нажмите «Запустить проверку» в Яндекс.Коннекте. Дождитесь подтверждения домена (как правило, выполняется очень быстро).
8. Настройте для домена DNS-записи по инструкциям ниже.
exists
Запрашивается А-запись указанного домена; если она существует, проверка считается пройденной. Другими словами, проверяется, резолвится ли домен на какой-либо (любой) IP-адрес.
Параметр «exp» всегда указывается в конце записи (после all).
Примеры настроек
Если вы отправляете почту так же и с других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Основной синтаксис
Любая SPF-запись начинается с v=spf1, этот параметр не изменяется. Он указывает на версию записи, и в настоящее время поддерживается только spf1.
Далее указываются параметры (механизмы). Чаще всего используются следующие: all, ip4, ip6, a, mx, include, redirect. Также существуют, но используются значительно реже: ptr, exists, exp. Они все будут рассмотрены ниже.
Помимо механизмов используются префиксы (определители):
- + — Pass, принимать почту. Прописывать этот параметр необязательно, он установлен по умолчанию (т.е. значения «+a +mx» и «a mx» — идентичны).
- - — Fail, отклонять почту.
- ~ — SoftFail, «мягко» отклонять (принимать почту, но помещать ее в «Спам»).
- ? — нейтрально (обрабатывать как обычное письмо).
Параметр «all» подразумевает все серверы, не упомянутые отдельно в SPF-записи. «All» задает обработку полученных с них писем и указывается в конце записи.
— принимать почту только из подсети 176.57.223.0/24; письма с других адресов должны быть помечены как спам.
— принимать почту только с A-записи домена; письма с других адресов должны отвергаться.
— отвергать все письма с домена. Такую настройку можно использовать для доменов, с которых не должна отправляться вообще никакая почта.
В последующих примерах мы не будем дополнительно комментировать значения параметров ~all и -all в SPF-записях.
Формат записи SPF
Запись SPF – это строка обычного текста со списком тегов и значений. Эти теги называются механизмами. Значениями обычно являются IP-адреса и доменные имена.
Вы можете добавить запись SPF та сайте регистратора домена в виде TXT-записи DNS. Подробнее о TXT-записях DNS…
Запись SPF может содержать до 255 символов. Размер файла записи TXT не должен превышать 512 байт.
Инструкции по настройке SPF-записи у некоторых хостинг-провайдеров
Нажмите ссылку с именем нужного домена. Откроется страница Управление .
Выберите DNS-серверы и управление зоной .
Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате: Где IP-1 , IP-2 , IP-3 — IP-адреса дополнительных серверов.
Подождите, пока изменения в DNS вступят в силу. Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.
На панели справа выберите DNS-зоны .
Нажмите ссылку с именем нужного домена. Откроется страница Просмотр DNS-зоны .
Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате: Где IP-1 , IP-2 , IP-3 — IP-адреса дополнительных серверов.
Поле MX preference оставьте пустым.
Подождите, пока изменения в DNS вступят в силу. Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.
В разделе Управление хостингом нажмите ссылку DNS .
В выпадающем списке выберите нужный домен.
Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате: Где IP-1 , IP-2 , IP-3 — IP-адреса дополнительных серверов.
Подождите, пока изменения в DNS вступят в силу. Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.
SPF (Sender Policy Framework) — это DNS-запись, содержащая список доверенных серверов, с которых может отправляться почта данного домена, и сведения о механизме обработки писем, отправленных с других серверов. Корректная настройка SPF позволит снизить вероятность рассылки спама злоумышленниками от вашего имени.
В панели Timeweb SPF настраивается в разделе «Домены и поддомены» — «Настройки DNS» — «Добавить DNS запись» — «TXT». Если TXT-запись с параметрами SPF уже создана, необходимо ее отредактировать. Не рекомендуется создавать несколько SPF-записей для домена, так как это может вызывать проблемы с доставкой почты.
Для доменов, делегированных на наши NS-серверы, SPF-запись указывается автоматически и выглядит примерно следующим образом:
Такая запись означает, что письма с данного домена могут отправляться из подсетей 176.57.223.0/24 и 92.53.116.0/22, а письма, пришедшие с других серверов (all), должны проходить дополнительную проверку (~).
DMARC
1. Включите DMARC в панели ISPmanager.
Вероятно, вы сделали это на предыдущем шаге с DKIM. Если же нет, то:
- Перейдите в раздел Почта —Почтовые домены.
- Выделите нужный домен и нажмите Изменить.
- Отметьте пункт Включить DMARC для домена и нажмите Ок, чтобы сохранить изменения.
2. Скопируйте полученную запись:
- Перейдите в раздел Управление DNS.
- Выделите нужный домен и нажмите Управлять DNS-записями .
- Найдите запись вида «_dmarc.вашдомен» и дважды кликните по строке с ней.
- Скопируйте содержимое поля «Значение».
3. Пропишите DMARC у домена:
Механизмы записи SPF
В таблице ниже перечислены механизмы, используемые при создании записей SPF. Почтовые серверы получателей проверяют письма на соответствие механизмам в том порядке, в котором они указаны в записи SPF.
- Помимо механизмов можно использовать необязательные квалификаторы записи SPF.
- В записи TXT для SPF можно упоминать не более 10 других доменов и серверов. Эти упоминания называются запросами. Подробнее о том, как проверить DNS-запросы в записи SPF…
Версия SPF. Этот тег является обязательным и должен быть первым тегом в записи. Этот механизм должен иметь следующее значение:
Задает разрешенные почтовые серверы на основе IPv4-адреса или диапазона адресов. Значение должно представлять собой IPv4-адрес или диапазон в стандартном формате. Например:
Задает разрешенные почтовые серверы на основе IPv6-адреса или диапазона адресов. Значение должно представлять собой IPv6-адрес или диапазон в стандартном формате. Например:
Задает разрешенные почтовые серверы на основе доменного имени. Например:
Задает один или несколько разрешенных почтовых серверов на основе записи MX домена. Например:
Если в записи SPF нет этого механизма, по умолчанию используются записи MX домена, в котором создана эта запись SPF.
Задает разрешенных сторонних отправителей электронной почты на основе домена. Например:
Указывает, что механизм применяется ко всем входящим письмам. Рекомендуем всегда включать его в запись SPF.
Механизм all должен быть последним в записи. Механизмы, следующие за ним, игнорируются.
Какой вариант следует использовать: ~all или - all ?
Если запись SPF содержит элемент ~all (квалификатор неполного отказа), как правило, серверы получателей принимают письма от отправителей, которые не включены в запись SPF, но помечают их как подозрительные.
Если запись SPF содержит элемент -all (квалификатор полного отказа), серверы получателей могут отклонять письма от отправителей, которые не включены в запись SPF. Если запись SPF настроена неправильно, наличие квалификатора отказа может привести к тому, что подлинные письма из вашего домена будут попадать в спам.
Совет. Чтобы защитить от спуфинга домены, которые не отправляют почту, задайте для домена запись SPF v=spf1 ~all .
Создание почтового ящика
Cоздать ящик можно в разделе Почта — Почтовые ящики — Создать.
В открывшейся форме заполните необходимые поля:
Нажмите Ок — почтовый ящик создан.
include
Позволяет учитывать в SPF-записи настройки SPF другого домена.
Общая инструкция по настройке SPF-записи
Войдите в панель управления доменом (зоной DNS) на сайте компании, которая предоставляет вам DNS-хостинг.
Если вы делегировали домен на серверы Яндекса, перейдите в DNS-редактор в Яндекс Коннекте.
SPF-запись помогает снизить риск того, что письмо, отправленное с адреса на вашем домене, попадет в спам у адресата. Чтобы настроить SPF-запись, нужно создать TXT-запись со списком серверов, которые отвечают за отправку почты с вашего домена.
Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате: Где IP-1 , IP-2 , IP-3 — IP-адреса дополнительных серверов.
Имя поддомена (или Хост ) — @
Если это поле отсутствует в панели управления, можно его не указывать.
Подождите, пока изменения вступят в силу. Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.
Видеоинструкция
Для использования почты на домене в сервисе Яндекс.Коннект необходимо произвести следующие настройки.
Настройка SPF для Яндекс.Почты
(подробнее о настройке DNS для Яндекса см. здесь)
При использовании только серверов Яндекса:
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Настройка DNS-записей для домена
После создания почтового домена и почтового ящика необходимо правильно настроить DNS-записи домена: MX, SPF, DMARC, DKIM и PTR.
В SPF-записи указывается список серверов, с которых разрешена отправка писем от имени вашего домена.
Для настройки SPF:
В окне настройки DNS-записи поле «Хост» оставьте пустым. В поле «Значение» укажите следующую запись, заменив 1.1.1.1 на IP-адрес вашего сервера:
1. Включите DKIM в панели ISPmanager:
- Под пользователем root перейдите в раздел Настройки — Конфигурация ПО.
- Найдите в списке «Почтовый сервер (SMTP/POP3/IMAP)» и дважды кликните по нему
- Отметьте пункт «OpenDKIM (exim)» и нажмите «Применить изменения».
- Перейдите в раздел Почта — Почтовые домены и дважды кликните по нужному домену.
- Отметьте пункт «Включить DKIM для домена».
- Также отметьте пункт «Включить DMARC для домена» — эта запись потребуется нам на следующем шаге.
- Нажмите Ok.
Произведенная настройка добавит необходимые TXT-записи для домена (dkim._domainkey и _dmarc).
2. Скопируйте полученную запись:
- Перейдите в раздел Управление DNS.
- Выделите нужный домен и нажмите Управлять DNS-записями.
- Найдите запись вида «dkim._domainkey.вашдомен» и дважды кликните по строчке с ней.
- Скопируйте содержимое поля «Значение».
3. Пропишите DKIM у домена:
DKIM-подпись
1. Получите TXT-запись с публичным ключом в Яндекс.Коннекте:
- Откройте страницу администрирования Почты.
- Перейдите на вкладку «DKIM-подписи».
- Скопируйте DKIM-подпись для нужного домена.
2. Перейдите в раздел «Домены и поддомены» в панели управления Timeweb.
3. Найдите домен, для которого планируется внести изменения, кликните на значок шестеренки и выберите «Настройки DNS».
4. Нажмите на «Добавить DNS-запись» и выберите «TXT».
5. В окне настроек:
6. Сохраните изменения с помощью кнопки «Добавить».
7. Подождите, пока изменения в DNS вступят в силу. Этот процесс может занимать до 72 часов.
Для работы с почтой в первую очередь необходимо добавить почтовый домен (возможно, вы уже сделали это на этапе создания нового пользователя, установив галочку «Создать почтовый домен»).
Как при работе от root, так и при работе от пользователя, добавить почтовый домен можно через раздел Почта — Почтовые домены — Создать.
В открывшейся форме заполните необходимые поля:
Нажмите Ок — почтовый домен создан.
SPF-запись
2. Найдите домен, для которого планируется внести изменения, кликните на значок шестеренки и выберите «Настройки DNS».
3. Удалите существующие TXT-записи (предварительно скопируйте значение SPF-записи, если вы планируете отправлять почту также и с указанных в ней серверов).
4. Нажмите на «Добавить DNS-запись», выберите «TXT» и в открывшемся окне разместите следующее значение:
5. Если вы хотите отправлять письма не только с серверов Яндекса, укажите дополнительные серверы в таком формате:
где IP1, IP2, IP3 — IP-адреса дополнительных серверов.
6. Сохраните изменения с помощью кнопки «Добавить».
7. Подождите, пока изменения в DNS вступят в силу. Этот процесс может занимать до 72 часов.
Другие примеры
Прочие механизмы
Здесь мы рассмотрим оставшиеся механизмы, которые используются в настройках значительно реже.
PTR-запись IP-адреса отправителя проверяется на соответствие указанному домену. Данный механизм требует большого количества DNS-запросов при проверке, поэтому без острой необходимости использовать его в SPF не рекомендуется.
ip4 / ip6
Используется для указания конкретных адресов и подсетей, из которых могут отправляться письма. Синтаксис для IPv4 и IPv6 идентичен.
— принимать почту из подсети 176.57.223.0/24.
— принимать почту с IPv6-адреса 2001:db8::10.
IP отправителя проверяется на соответствие A-записи домена.
— принимать почту с A-записи текущего домена.
IP отправителя проверяется на соответствие IP-адресам серверов, указанных в MX-записях домена. На текущий день для многих современных сервисов эта директива уже не так важна, так как серверы входящей и исходящей почты зачастую имеют разные IP.
— принимать почту из подсети, в которую входят MX-серверы текущего домена.
Настройка SPF для Google
(подробнее о настройке DNS для Google см. здесь)
При использовании только серверов Google:
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
Почтовый клиент
Для непосредственной работы с почтой необходимо добавить ящик в какой-либо почтовый клиент.
Настройки, которые при этом необходимо указать, доступны в разделе Почта — выбрать ящик — Управление ящиком — Настройки для почтовых клиентов.
В открывшемся окне вы найдете данные, которые потребуются для настройки почтового клиента, а также сможете скачать готовые файлы с настройками для Thunderbird и Outlook.
Квалификаторы записи SPF
Квалификатор – это необязательный префикс, который можно добавить к любому механизму в записи SPF. Он сообщает почтовым серверам получателей, следует ли считать письмо прошедшим аутентификацию при совпадении с механизмом в записи SPF.
В этом примере запись SPF разрешает отправлять электронную почту от имени вашего домена только системе Google Workspace. Для механизма all используется квалификатор отказа (-), поэтому все письма от любых других отправителей не проходят проверку SPF и могут отклоняться сервером получателя.
Механизмы проверяются в том порядке, в котором они указаны в записи. Если обнаруживается совпадение с механизмом, у которого нет квалификатора, по умолчанию применяется квалификатор "Допуск". Если письмо не соответствует ни одному из механизмов, к нему по умолчанию применяется нейтральное действие: оно не проходит аутентификацию, но и не отклоняется.
Используйте необязательные квалификаторы, чтобы указать, какое действие почтовым серверам получателей следует предпринимать в отношении писем, соответствующих механизмам в записи SPF.
SPF-запись помогает снизить риск того, что письмо, отправленное с адреса на вашем домене, попадет в спам у адресата. Чтобы настроить SPF-запись, нужно создать TXT-запись со списком серверов, которые отвечают за отправку почты с вашего домена.
Если вы делегировали домен на серверы Яндекса, SPF-запись будет настроена автоматически.
Читайте также: