Google sfp что это
Не так давно прописывала записи DKIM, DMARC и SPF для своего домена. Это оказалось сложнее, чем я думала, потому что мне не удалось нигде найти полный синтаксис всех этих записей. Тогда вместе с Яной Лыновой мы собрали материал. Фактически, эта статья дополняет несколько статей с Хабра (внизу вы найдете ссылки).
Для того, чтобы прописать необходимые записи, нам нужен доступ к DNS. DNS расшифровывается как Domain Name System. Обычно доступ к DNS в компании имеют системные администраторы или, на крайний случай, программисты. Для них вы должны написать ТЗ, по которому они смогут добавить записи в DNS.
Аутентификация электронной почты для Gmail
Помимо SPF, мы рекомендуем настроить DKIM и DMARC. Эти методы аутентификации повышают уровень безопасности домена и помогают обеспечить правильную доставку отправляемых из него писем. Дополнительную информацию о технологиях DKIM и DMARC можно найти в статьях раздела Как улучшить защиту от спуфинга, фишинга и спама.
Субдомены
Запись SPF, добавленная для домена, не применяется к его субдоменам автоматически. Узнайте, позволяет ли регистратор вашего домена добавлять записи SPF для субдоменов напрямую. Если вы не уверены, ознакомьтесь с документацией своего регистратора.
Как добавить запись SPF для субдомена
Если регистратор вашего домена позволяет добавлять записи SPF для субдоменов, найдите нужный субдомен в консоли управления своего регистратора. Затем добавьте запись SPF.
Как применить запись SPF для субдомена с помощью параметра хоста
Если на сайте регистратора вашего домена нельзя добавить запись SPF для субдомена напрямую, добавьте ещё одну запись SPF для основного домена. Чтобы применить запись SPF к субдомену, измените значение хоста.
Выполните инструкции из раздела Как добавить запись SPF выше, но в качестве значения хоста вместо @ укажите субдомен.
Как SPF помогает с безошибочной доставкой писем
Технология SPF предотвращает попадание почты, отправленной из домена вашей организации, в папку "Спам". Если в вашем домене не используется SPF, почтовый сервер получателя не сможет проверить, действительно ли письма отправлены из вашего домена.
В результате сервер может отклонить подлинные письма или поместить их в папку "Спам".
Подготовка к настройке записи SPF
- Найдите учетные данные для входа на сайт регистратора вашего домена
- Узнайте, что такое IP-адреса.
- Ознакомьтесь с информацией о том, что такое TXT-записи DNS.
- Необязательно: проверьте, есть ли у вас действующая запись SPF.
- Определите всех отправителей электронной почты в своем домене.
Что нужно сделать
Видео "Зачем настраивать аутентификацию электронной почты?"
Аутентификация электронной почты снижает вероятность того, что письма от вашей организации будут помечены как спам.
Видео "Общие сведения о записях SPF и DKIM"
SPF и DKIM помогают защититься от попыток спамеров выдать себя за вашу организацию в электронных письмах.
Дальнейшие действия
Когда вы добавите запись SPF для своего домена, настройка SPF для него будет завершена. Аутентификация SPF будет активирована в течение 48 часов.
Если вам не удается проверить, работает ли SPF, или письма из домена организации все равно попадают в спам, воспользуйтесь инструкциями в статье Устранение неполадок с записями SPF.
Эта статья адресуется тем, кто имеет опыт настройки почтовых серверов. Она содержит подробные технические сведения о записях SPF (включая предъявляемые к ним требования, используемый синтаксис и то, как записи влияют на доставку почты). Примеры стандартных записей SPF, которые можно использовать при отправке почты как с помощью Google Workspace, так и с помощью других почтовых серверов и сервисов, приведены в этой статье.
Если электронные письма в вашей организации отправляются только с помощью Google Workspace, следуйте инструкциям по базовой настройке записи SPF.
Запись SPF определяет почтовые серверы и домены, которым разрешено отправлять электронную почту от имени вашего домена. Кроме того, она сообщает серверам-получателям, что делать с письмами после их проверки. Почтовые серверы, принимающие электронные письма от вашего домена, с помощью SPF могут убедиться, что они отправлены с разрешенных вами серверов. У домена может быть только одна запись SPF, но в ней можно указать несколько серверов и сторонних почтовых сервисов.
Настройте SPF, добавив соответствующую TXT-запись DNS на сайте регистратора домена.
Базовая настройка записи SPF
Примечание. Это статья для тех, кто еще никогда не настраивал записи SPF или почтовые серверы.
- Пример записи SPF для отправки электронной почты только через серверы Google Workspace.
- Примеры записей SPF для отправки почты с помощью Google Workspace и других серверов и сервисов.
Запись SPF (только Google Workspace)
Если все электронные письма в вашей организации отправляются с помощью Google Workspace, используйте следующую запись SPF:
Дальнейшие действия
Синтаксис DKIM
«v» — версия DKIM, всегда принимает значение v=DKIM1;
«k» — тип ключа, всегда k=rsa;
«p» — публичный ключ, кодированный в base64.
Необязательные элементы:
«t=y» — режим тестирования. Нужно только для отслеживания результатов;
«t=s» — означает, что запись будет использована только для домена, к которому относится; не рекомендуется, если используются субдомены;
«h» — предпочитаемый hash-алгоритм, может принимать значения «h=sha1» и «h=sha256»;
«s» — тип сервиса, использующего DKIM. Принимает значения «s=email» (электронная почта) и «s=*» (все сервисы). По умолчанию «*»;
«;» — разделитель.
Помимо этого можно создать необязательную запись, которая подскажет, что делать с неподписанными письмами:
Название записи | Формат | Содержание |
_adsp._domainkey.ваш_домен. | TXT | dkim=all |
Обратите внимание, что некоторые хостинги не поддерживают доменные записи длиннее 255, а то и 200 символов. В таком случае нужно разбить строку переводом. Но у некоторых хостингов и это не работает, обратитесь в поддержку вашего хостинга, чтобы узнать это заранее.
Некоторые хостинги проставляют кавычки для всех записей самостоятельно, об этом тоже можно спросить у поддержки или проставить по аналогии с другими TXT-записями домена, если они присутствуют.
Проверить DKIM можно здесь.
SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять почту с вашего домена. Наличие SPF снижает вероятность попадания вашего письма в спам.
Важно помнить, что SPF запись может быть только одна для одного домена. В рамках одной SPF может быть несколько записей (например, если письма отправляются с нескольких ESP — маловероятно, но все же, чуть позже будет пример). Для поддоменов нужны свои записи.
Пример записи SPF:
Название записи | Формат | Содержание |
ваш_домен. (у некоторых хостингов вместо этого может подставляться @ или оставаться пустое поле. При написании названия «ваш_домен.» оно заменится автоматически) | TXT | v=spf1 +a +mx -all |
Как добавить запись SPF
Войдите в консоль управления на сайте регистратора своего домена и перейдите на страницу, на которой можно обновить TXT-записи DNS. Информация о том, как найти эту страницу, приведена в документации вашего регистратора.
В консоли управления введите указанные в таблице значения на странице или в форме для записей TXT.
Примечание. Если вы добавляете запись SPF для субдомена, укажите этот субдомен вместо @. Дополнительную информацию можно найти в разделе Как применить запись SPF для субдомена с помощью параметра хоста.
Если для отправки электронной почты вы используете только Google Workspace, укажите эту запись SPF:
Расширенная настройка записи SPF
Примечание. Это статья для тех, у кого есть опыт настройки почтовых серверов.
Чтобы включить SPF для своего домена, добавьте соответствующую TXT-запись DNS на сайте регистратора домена.
Важно!
- Названия полей из приведенных ниже инструкций могут отличаться от тех, которые использует ваш регистратор. Названия полей в TXT-записях DNS могут быть разными у разных регистраторов.
- Аутентификация SPF активируется в течение 48 часов после добавления записи SPF.
Механизмы записи SPF
В таблице ниже перечислены механизмы, используемые при создании записей SPF. Почтовые серверы получателей проверяют письма на соответствие механизмам в том порядке, в котором они указаны в записи SPF.
- Помимо механизмов можно использовать необязательные квалификаторы записи SPF.
- В записи TXT для SPF можно упоминать не более 10 других доменов и серверов. Эти упоминания называются запросами. Подробнее о том, как проверить DNS-запросы в записи SPF…
Версия SPF. Этот тег является обязательным и должен быть первым тегом в записи. Этот механизм должен иметь следующее значение:
Задает разрешенные почтовые серверы на основе IPv4-адреса или диапазона адресов. Значение должно представлять собой IPv4-адрес или диапазон в стандартном формате. Например:
Задает разрешенные почтовые серверы на основе IPv6-адреса или диапазона адресов. Значение должно представлять собой IPv6-адрес или диапазон в стандартном формате. Например:
Задает разрешенные почтовые серверы на основе доменного имени. Например:
Задает один или несколько разрешенных почтовых серверов на основе записи MX домена. Например:
Если в записи SPF нет этого механизма, по умолчанию используются записи MX домена, в котором создана эта запись SPF.
Задает разрешенных сторонних отправителей электронной почты на основе домена. Например:
Указывает, что механизм применяется ко всем входящим письмам. Рекомендуем всегда включать его в запись SPF.
Механизм all должен быть последним в записи. Механизмы, следующие за ним, игнорируются.
Какой вариант следует использовать: ~all или - all ?
Если запись SPF содержит элемент ~all (квалификатор неполного отказа), как правило, серверы получателей принимают письма от отправителей, которые не включены в запись SPF, но помечают их как подозрительные.
Если запись SPF содержит элемент -all (квалификатор полного отказа), серверы получателей могут отклонять письма от отправителей, которые не включены в запись SPF. Если запись SPF настроена неправильно, наличие квалификатора отказа может привести к тому, что подлинные письма из вашего домена будут попадать в спам.
Совет. Чтобы защитить от спуфинга домены, которые не отправляют почту, задайте для домена запись SPF v=spf1 ~all .
DMARC
Пример записи DMARC (не имеет значения, какими сервисами для рассылки вы пользуетесь):
Название записи | Формат | Содержание |
_dmarc.ваш_домен. | TXT | v=DMARC1; p=reject; sp=reject; ruf=mailto:postmaster@your.tld; fo=1 |
Синтаксис DMARC
«v» — версия, всегда принимает значение «v=DMARC1» (обязательный параметр);
«p» — правило для домена (обязательный параметр). Может принимать значения «none», «quarantine» и «reject», где «p=none» не делает ничего, кроме подготовки отчетов; «p=quarantine» добавляет письмо в спам; «p=reject» отклоняет письмо.
Тег «sp» отвечает за субдомены и может принимать такие же значения, как и «p».
«aspf» и «adkim» позволяют проверять соответствие записям и могут принимать значения «r» и «s», где «r» — «relaxed» (более мягкая проверка), а «s» — «strict» (строгое соответствие).
«pct» отвечает за кол-во писем, подлежащих фильтрации, указывается в процентах, например, «pct=20» будет фильтровать 20% писем.
«rua» — позволяет отправлять ежедневные отчеты на email, пример: «rua=mailto:postmaster@your.tld», также можно указать несколько email через запятую без пробелов.
«ruf» — отчеты для писем, не прошедших проверку DMARC.
Тег «fo» служит для генерации отчетов, если один из механизмов сломается. «fo=0» (используется по умолчанию) — присылать отчет, если не пройден ни один этап аутентификации; «fo=1» — присылать отчет, если не пройден хотя бы один этап аутентификации; «fo=d» — присылать отчет, если не пройдена аутентификация DKIM; «fo=s» — присылать отчет, если не пройдена аутентификация SPF.
Запись DMARC может быть одна для домена и поддоменов, т.к. в ней можно явно указать действия для тега «sp». Если вам требуется специфическая запись для поддоменов, можно создать отдельную запись с наименованием «_dmarc.ваш_поддомен.ваш_домен.».
Проверить DMARC можно здесь.
Надеюсь, что эта статья помогла вам разобраться в синтаксисе записей, и теперь вы с легкостью сможете написать ТЗ для системного администратора или программиста на внесение этих записей в DNS.
Это статья для тех, кто еще никогда не настраивал записи SPF или почтовые серверы. В ней показаны примеры стандартных записей SPF для отправки почты как с помощью только Google Workspace, так и с помощью Google Workspace в сочетании с другими почтовыми серверами или сервисами. Подробные технические сведения о записях SPF (включая предъявляемые к ним требования, используемый синтаксис и то, как записи влияют на доставку почты) можно найти в этой статье.
Запись SPF определяет почтовые серверы и домены, которым разрешено отправлять почту от имени вашего домена. Почтовые серверы, принимающие электронные письма от вашего домена, проверяют запись SPF, чтобы убедиться, что эти письма отправлены с разрешенных вами серверов.
Если электронные письма в вашей организации отправляются только с помощью Google Workspace, следуйте инструкциям по базовой настройке записи SPF.
У каждого домена может быть только одна запись SPF, но в ней можно указать несколько серверов и сторонних почтовых сервисов.
Настройте SPF, добавив соответствующую TXT-запись DNS на сайте регистратора домена.
Синтаксис SPF
«v=spf1» — версия SPF, обязательный параметр, всегда spf1, никакие другие версии не работают;
«+» — принимать письма (по умолчанию);
«-» — отклонить;
«~» — «мягкое» отклонение (письмо будет принято, но будет помечено как спам);
«?» — нейтральное отношение;
«mx» — включает в себя все адреса серверов, указанные в MXзаписях домена;
«ip4» — позволяет указать конкретный IP-адрес или сеть адресов;
«a» — IP-адрес в A-записи;
«include» — включает в себя хосты, разрешенные SPF-записью указанного домена;
«all» — все остальные сервера, не перечисленные в SPF-записи;
«ptr» — проверяет PTR-запись IP-адреса отправителя (разрешено отправлять всем IP-адресам, PTR-запись которых направлена на указанный домен) (не рекомендуется к использованию согласно RFC 7208);
«exists» — выполняется проверка работоспособности доменного имени;
«redirect» — указывает получателю, что нужно проверять SPF запись указанного домена, вместо текущего домена.
Так как запись должна быть всего одна, через include необходимо прописывать все возможные сервера, через которые вы отправляете письма.
Пример записи SPF, если вы пользуетесь одновременно сервисом Mandrill и при этом отправляете письма через Gmail (несколько записей в рамках одной SPF, как я упоминала ранее):
Проверить SPF можно здесь.
Как SPF защищает домен от спуфинга
Спамеры могут сфальсифицировать ваше доменное имя или название организации и рассылать поддельные письма якобы от вашей компании. Это называется спуфингом. Поддельные письма могут использоваться со злым умыслом, например для передачи ложной информации, рассылки вредоносного ПО или получения конфиденциальной информации обманным путем. SPF помогает серверам получателей убедиться, что письма, якобы отправленные из домена организации, являются настоящими, а не поддельными.
Чтобы защитить домен организации от спуфинга и других атак через электронную почту, рекомендуем также настроить DKIM и DMARC.
Запись SPF (Google Workspace и другие отправители)
Если для отправки почты вы используете не только Google Workspace, но и другие серверы или сторонние сервисы, создайте собственную запись SPF, чтобы указать их в качестве разрешенных. Если вы не знаете, какие сервисы используются, определите всех отправителей электронной почты в своей организации с помощью инструкций в статье Подготовка к настройке записи SPF.
Запись SPF должна содержать ссылку на Google Workspace, а также на домены и IP-адреса всех серверов и сервисов, которые отправляют почту от имени вашего домена.
Примеры записей SPF (Google Workspace и другие отправители)
Добавьте других отправителей своей организации в запись SPF для отправки почты с помощью Google Workspace:
Важно! В таблице указаны примеры IP-адресов и доменных имен. Замените их IP-адресами и доменами своих отправителей.
В Google Workspace используются 3 стандарта аутентификации электронных писем, которые помогают защитить электронную почту организации от спуфинга и фишинга, а также предотвратить попадание отправляемых из организации писем в папку "Спам" получателей. Мы рекомендуем администраторам Workspace всегда настраивать для Gmail следующие стандартные способы аутентификации:
-
– позволяет указать серверы и домены, с которых разрешено отправлять письма от имени вашей организации. – добавляет к каждому отправляемому письму цифровую подпись, с помощью которой принимающие серверы могут проверить, не было ли письмо подделано или изменено при доставке. – сообщает принимающим почтовым серверам, что делать с полученными из организации письмами, которые не прошли проверку SPF или DKIM.
SPF – это стандартный способ аутентификации электронной почты. Он позволяет защитить домен от спуфинга и предотвратить попадание писем, отправляемых из организации, в папку "Спам" получателей. SPF определяет почтовые серверы, которые могут отправлять почту от имени домена. Почтовые серверы, принимающие электронные письма от вашего домена, с помощью SPF могут убедиться, что эти письма отправлены с разрешенных вами серверов.
Если SPF не используется, система с большей вероятностью будет помечать письма из организации или домена как спам.
Квалификаторы записи SPF
Квалификатор – это необязательный префикс, который можно добавить к любому механизму в записи SPF. Он сообщает почтовым серверам получателей, следует ли считать письмо прошедшим аутентификацию при совпадении с механизмом в записи SPF.
В этом примере запись SPF разрешает отправлять электронную почту от имени вашего домена только системе Google Workspace. Для механизма all используется квалификатор отказа (-), поэтому все письма от любых других отправителей не проходят проверку SPF и могут отклоняться сервером получателя.
Механизмы проверяются в том порядке, в котором они указаны в записи. Если обнаруживается совпадение с механизмом, у которого нет квалификатора, по умолчанию применяется квалификатор "Допуск". Если письмо не соответствует ни одному из механизмов, к нему по умолчанию применяется нейтральное действие: оно не проходит аутентификацию, но и не отклоняется.
Используйте необязательные квалификаторы, чтобы указать, какое действие почтовым серверам получателей следует предпринимать в отношении писем, соответствующих механизмам в записи SPF.
Формат записи SPF
Запись SPF – это строка обычного текста со списком тегов и значений. Эти теги называются механизмами. Значениями обычно являются IP-адреса и доменные имена.
Вы можете добавить запись SPF та сайте регистратора домена в виде TXT-записи DNS. Подробнее о TXT-записях DNS…
Запись SPF может содержать до 255 символов. Размер файла записи TXT не должен превышать 512 байт.
Итак, что же такое DKIM?
DKIM (Domain Keys Identified Mail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.
Название записи | Формат | Содержание |
для Mandrill (селектор — mandrill): mandrill._domainkey.ваш_домен. (в некоторых панелях управления можно указывать без вашего домена, зависит исключительно от вашего хостинга) | TXT | v=DKIM1; k=rsa; p=(сгенерированный публичный ключ) |
для Gmail (селектор — google): google._domainkey.ваш_домен. | TXT | v=DKIM1; k=rsa; p=(сгенерированный публичный ключ) |
Как добавить в запись SPF сведения о новых отправителях
Когда вы начинаете использовать новый почтовый сервер или сторонний сервис электронной почты, вам необходимо:
Если вы не обновите запись SPF, письма от новых отправителей могут помечаться как спам.
Важно! У вашего домена должна быть только одна запись SPF. Исключением является случай, когда вы применяете запись SPF для субдомена с помощью параметра хоста. Регистратор домена может разрешать добавлять несколько записей SPF для одного домена. Однако в этом случае письма будут проходить аутентификацию SPF некорректно.
Как SPF защищает домен от спуфинга и предотвращает попадание подлинных писем в спам
С чего начать
Если электронные письма в вашей организации отправляются только с помощью Google Workspace, следуйте инструкциям по базовой настройке записи SPF.
Читайте также: