SPF, DKIM, DMARC: что это такое и почему они важны

SPF, DKIM и DMARC — это три протокола аутентификации электронной почты, которые работают вместе, чтобы подтвердить подлинность ваших писем, защитить ваш бренд от подделки и контролировать, что происходит, когда сообщение не проходит проверку.

Сегодня это важно как никогда. Google, Yahoo, Apple, а теперь и Microsoft требуют от отправителей больших объемов писем наличие SPF, DKIM и DMARC. С 5 мая 2025 года Microsoft отклоняет несоответствующие требованиям электронные письма с доменов, отправляющих более 5000 сообщений в день в Outlook. Аутентификация электронной почты больше не является опцией.

В этом руководстве подробно описано, как работают SPF, DKIM и DMARC, зачем нужны все три протокола и как их правильно внедрить.

Что такое SPF, DKIM и DMARC?

SPF (Sender Policy Framework)

SPF (Sender Policy Framework) — это протокол проверки электронной почты, который позволяет владельцам доменов определять список авторизованных почтовых серверов, которым разрешено отправлять электронные письма от имени их домена.

Считайте это списком гостей для вашего домена. Если сервер не входит в список, принимающий почтовый сервер понимает, что что-то не так. Это помогает снизить риск подделку электронной почты и гарантирует, что только авторизованные серверы могут отправлять электронные письма с использованием определенного домена.

Однако у SPF есть свои ограничения. Он не проверяет содержание электронного письма и не сообщает получающему серверу, что делать в случае неудачной проверки.

Именно здесь на помощь приходят DKIM и DMARC.

Рекомендуемое чтение: DMARC против DKIM | Что лучше для вас и почему?

DKIM

DKIM (DomainKeys Identified Mail) — это метод аутентификации электронной почты, который добавляет цифровую подпись к исходящим электронным письмам для обеспечения подлинности и целостности сообщения.

В то время как SPF подтверждает, кто имеет право отправлять сообщения, DKIM подтверждает, что сообщение не было изменено после того, как оно покинуло сервер отправителя.

DKIM обеспечивает необходимый уровень доверия, предотвращая подделку электронной почты и гарантируя целостность сообщений. Но, как и SPF, записи DKIM сами по себе не сообщают серверу получателя, какие действия следует предпринять в случае неудачной проверки. Для этого нужен DMARC.

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) позволяет владельцам доменов давать указания получателям электронной почты о том, как обрабатывать неаутентифицированные письма, отправленные с их домена.

Он сочетает в себе возможности SPF и DKIM и добавляет две важные функции, которые ни один из протоколов не предлагает самостоятельно: обеспечение соблюдения политик и отчетность.

Это единственный протокол, который сообщает почтовым ящикам, что делать с неудавшимися электронными сообщениями, и предоставляет вам информацию в виде отчетов.

SPF, DKIM и DMARC: основные различия

Все три протокола играют роль в аутентификации электронной почты, но каждый из них отвечает за свой элемент головоломки. Ниже приведено их сравнение.

Смотрите это видео, чтобы узнать больше:

Объяснение протоколов SPF, DKIM и DMARC

Как SPF, DKIM и DMARC работают вместе

SPF, DKIM и DMARC служат разным целям, и все три необходимы для полной защиты вашего домена от подделки, фишинга и подражания. Вот как работает процесс аутентификации, когда электронное письмо попадает в почтовый ящик получателя:

1. Проверка SPF: Получающий сервер проверяет IP-адрес отправителя и сравнивает его с авторизованными отправителями, указанными в записи SPF домена. Если IP-адрес находится в списке, SPF проходит проверку.
2. Проверка DKIM: Получающий сервер проверяет заголовок DKIM-Signature в электронном письме и извлекает открытый ключ из DNS отправителя. Если подпись действительна и сообщение не было изменено, DKIM проходит проверку.
3. Оценка DMARC: Затем DMARC проверяет, прошел ли хотя бы один из этих протоколов (SPF или DKIM) и соответствует ли домен, использованный в этой проверке, домену в адресе отправителя. Если соответствие проходит, электронное письмо доставляется в обычном режиме. Если оно не проходит, DMARC применяет политику, установленную владельцем домена (нет, карантин или отклонение).
4. Отчетность: Независимо от результата, DMARC отправляет владельцу домена отчеты с подробными сведениями о результатах аутентификации, источниках отправки и любых попытках подделки.

Без DMARC поддельное электронное письмо может пройти проверку SPF (если злоумышленник использует другой домен Return-Path) или обойти DKIM (если сообщение не подписано). DMARC устраняет эти пробелы, требуя согласования результатов аутентификации и видимого адреса отправителя.

Рекомендуемая статья: Почему DMARC не работает? Распространенные причины и решения

Как настроить SPF, DKIM и DMARC

Настройка всех трех протоколов может показаться сложной задачей, но процесс на самом деле прост, если знать, что к чему. Для внедрения SPF, DKIM и DMARC вам потребуется доступ к настройкам DNS-провайдера вашего домена.

Шаг 1: Настройте SPF

Запись SPF публикуется в виде записи TXT в DNS вашего домена. Ваша запись SPF сообщает принимающим серверам, какие IP-адреса и почтовые серверы имеют право отправлять электронную почту от имени вашего домена.

Чтобы создать запись SPF:

1. Определите все серверы и службы, которые отправляют электронную почту для вашего домена (ваш почтовый сервер, маркетинговые платформы, инструменты CRM и т. д.).
2. Создайте запись TXT в вашем DNS с авторизованными источниками отправки.
3. Опубликуйте запись и протестируйте ее, чтобы убедиться, что она проходит проверку SPF.

Запись SPF выглядит примерно так:

v=spf1 include:_spf.google.com include:sendgrid.net -all

В этом примере Google и SendGrid получают разрешение на отправку электронных писем для данного домена, а получатели получают указание отклонять все другие источники.

Шаг 2: Настройте DKIM

DKIM требует публикации открытого ключа в DNS отправителя для проверки цифровой подписи исходящих электронных писем.

Чтобы настройке DKIM:

1. Сгенерируйте пару ключей DKIM (открытый и закрытый ключ) через своего поставщика услуг электронной почты или почтовый сервер.
2. Добавьте открытый ключ в качестве записи TXT в DNS вашего домена.
3. Настройте почтовый сервер или провайдера так, чтобы исходящие сообщения подписывались с помощью закрытого ключа.
4. Проведите тест, отправив электронное письмо и проверив заголовки, чтобы убедиться в наличии и действительности подписи DKIM.

Шаг 3: Настройте DMARC

Записи DMARC также хранятся в виде записей TXT в DNS вашего домена. Чтобы настроить DMARC, вам необходимо определить политику, которая будет указывать принимающим серверам, как обрабатывать электронные письма, не прошедшие проверки SPF и DKIM.

Чтобы создать запись DMARC:

1. Начните с политики p=none , чтобы отслеживать свой почтовый трафик без ущерба для доставки.
2. Добавьте адрес для отчетности, чтобы получать сводные отчеты о результатах аутентификации.
3. Опубликуйте запись DMARC в вашем DNS.
4. Регулярно просматривайте свои отчеты, и как только вы убедитесь, что ваши легитимные электронные письма проходят, перейдите к p=quarantine и, в конечном итоге, к p=reject.

Базовая запись DMARC выглядит следующим образом:

v=DMARC1; p=none; rua=mailto:[email protected];

Шаг 4: Проверьте настройки

Вы можете проверить, прошло ли письмо проверку SPF, DKIM и DMARC, посмотрев заголовки письма. Отправьте тестовое письмо и проверьте заголовок Authentication-Results, чтобы убедиться, что все три протокола прошли проверку.

Бесплатные инструменты PowerDMARC делают это еще проще. Вы можете использовать генератор DMARC, генератор SPFи генератор DKIM , чтобы создать свои записи в один клик, а панель отчетности платформы предоставляет вам полную информацию о статусе вашей аутентификации.

Что произойдет, если вы не внедрите SPF, DKIM и DMARC?

Пропуск аутентификации электронной почты может показаться безобидным, пока не начнут накапливаться последствия. Вот что поставлено на карту, когда вы оставляете свой домен незащищенным.

Поврежденная репутация отправителя

Отказ от внедрения аутентификации электронной почты может привести к ущербу для репутации бренда из-за повышенной уязвимости к фишинговым атакам.

Если злоумышленники подделают ваш домен и отправят мошеннические электронные письма вашим клиентам, партнерам или сотрудникам, доверие, которое вы завоевали у своей аудитории, быстро исчезнет. Даже если вы не несете ответственности за эту атаку, получатели будут ассоциировать попытку фишинга с вашим брендом.

Снижение доставляемости электронной почты

Без аутентификации электронной почты легитимные письма могут быть помечены как спам, что приведет к снижению показателей доставки электронной почты.

Многие поставщики услуг электронной почты теперь требуют настройки DKIM и DMARC для успешной доставки электронных писем. Если ваши письма постоянно попадают в папку «Спам», снижается их открываемость, страдают ваши маркетинговые усилия, а важные транзакционные письма могут никогда не дойти до адресатов.

Финансовые потери и проблемы с доверием клиентов

Невыполнение аутентификации электронной почты может позволить злоумышленникам выдать себя за ваш домен, что приведет к потенциальным финансовым потерям и проблемам с доверием клиентов.

Атаки с использованием поддельных деловых писем (BEC), при которых злоумышленник выдаёт себя за руководителя или поставщика, могут привести к мошенническим банковским переводам, краже учётных данных и юридической ответственности.

Потеря видимости

Отказ от использования аутентификации электронной почты может привести к потере контроля над производительностью и безопасностью электронной почты, что затруднит выявление несанкционированного использования вашего домена.

Без отчетов DMARC вы не можете узнать, кто отправляет электронные письма от вашего имени, являются ли они законные электронные письма проходят аутентификацию правильно или злоумышленники активно подделывают ваш домен.

Лучшие практики SPF, DKIM и DMARC

Публикация ваших записей — это только начало. Чтобы максимально эффективно использовать SPF, DKIM и DMARC, следуйте этим рекомендациям, чтобы обеспечить надежную аутентификацию электронной почты в течение длительного времени.

Начните с DMARC при p=none и постепенно продвигайтесь вперед.

При первом внедрении DMARC начните с политики p=none , чтобы вы могли отслеживать свой почтовый трафик и определять все легитимные источники отправки.

Как только вы убедитесь, что все правильно аутентифицировано, перейдите к p=quarantine , а затем p=reject для полной защиты.

Обновляйте свои записи о SPF

Каждый раз, когда вы добавляете или удаляете почтовый сервис (новую маркетинговую платформу, CRM, инструмент службы поддержки и т. д.), обновляйте запись SPF, чтобы отразить изменения.

Устаревшая запись SPF может привести к сбою аутентификации легитимных электронных писем.

Периодически меняйте свои ключи DKIM

Регулярная ротация ключей DKIM снижает риск их компрометации. Большинство экспертов по безопасности рекомендуют проводить ротацию ключей не реже одного-двух раз в год.

Используйте платформу для упрощения управления

Управление SPF, DKIM и DMARC для нескольких доменов и источников отправки может быстро стать сложной задачей.

Платформа, такая как PowerDMARC, объединяет все в единую панель управления с хостингом управления записями, удобными для чтения отчетами и оповещениями в режиме реального времени, чтобы вы могли контролировать состояние аутентификации без ручного редактирования DNS.

Безопасно защитите свой домен с помощью PowerDMARC

Как ваш надежный партнер в области безопасности электронной почты, мы рекомендуем каждой организации внедрить протоколы SPF, DKIM и DMARC. Эти протоколы являются основой современной защиты электронной почты, помогая вам опережать киберугрозы и поддерживать доверие к каждому отправляемому сообщению.

Опираясь на многолетний опыт помощи организациям в обеспечении безопасности их почтовой инфраструктуры, наша команда в PowerDMARC рекомендует поэтапный подход к внедрению.

Начните с мониторинга, проанализируйте данные, а затем постепенно вводите более строгие правила по мере того, как вы будете обретать уверенность в своей настройке.

Чтобы упростить мониторинг, отчетность и постоянную оптимизацию, PowerDMARC объединяет управление SPF, DKIM и DMARC в одной платформе. Благодаря видимости в режиме реального времени, управляемому применению политик и автоматизированным аналитическим данным, этот процесс не требует больших ручных усилий, что помогает командам поддерживать безопасную и надежную настройку аутентификации электронной почты.

Начните бесплатную 15-дневную пробную версию , чтобы усилить защиту своего домена.

Часто задаваемые вопросы (FAQ)

1. В чем разница между SPF, DKIM и DMARC?

SPF проверяет, что электронные письма приходят с авторизованных IP-адресов, DKIM гарантирует, что содержание электронных писем не было подделано с помощью цифровых подписей, а DMARC обеспечивает соблюдение политики и отчетность на основе SPF и DKIM. Представьте себе SPF как проверку адреса отправителя электронного письма, DKIM как проверку целостности сообщения, а DMARC как общую политику безопасности, которая определяет, что делать, если проверка не прошла.

2. Нужны ли мне для моего домена и SPF, и DKIM?

Хотя вы можете внедрить SPF или DKIM по отдельности, использование обоих протоколов вместе обеспечивает значительно более надежную защиту. SPF может давать сбой при пересылке электронных писем, а DKIM сам по себе не проверяет инфраструктуру отправки. Для обеспечения максимальной безопасности и соответствия DMARC внедрите как SPF, так и DKIM, а затем добавьте DMARC для обеспечения соблюдения политик и отчетности.

3. Как я могу проверить, работают ли мои записи SPF, DKIM и DMARC?

Используйте инструменты поиска DNS для проверки наличия записей, отправляйте тестовые электронные письма и проверяйте заголовки на наличие результатов аутентификации домена, анализируйте отчеты DMARC на наличие сбоев и используйте онлайн-валидаторы, такие как бесплатные инструменты PowerDMARC. Регулярный мониторинг с помощью отчетов DMARC — это наиболее полный способ обеспечить постоянную защиту.

4. Влияют ли SPF, DKIM или DMARC на то, как мои электронные письма отображаются у получателей?

Нет. Эти протоколы работают в фоновом режиме и не изменяют внешний вид, содержание или макет ваших электронных писем. Получатели не увидят результаты SPF, DKIM или DMARC напрямую. Однако правильно аутентифицированные электронные письма с меньшей вероятностью будут помечены как спам, что улучшает их доставку в папку «Входящие» и повышает общий уровень доверия.

5. Как часто следует проверять или обновлять записи SPF, DKIM и DMARC?

Вы должны проверять свои записи каждый раз, когда добавляете или удаляете службы отправки электронной почты, а также в рамках регулярного обслуживания. Записи SPF часто требуют обновления при внедрении новых инструментов или поставщиков. Ключи DKIM должны периодически меняться в целях безопасности. Отчеты DMARC должны регулярно проверяться для раннего выявления проблем и обеспечения соблюдения политики.

• О сайте
• Последние сообщения

Ахона Рудра

Эксперт по безопасности доменов и электронной почты в PowerDMARC

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• Пример внедрения DMARC у MSP: как Digital Infinity IT Group оптимизировала управление DMARC и DKIM для клиентов с помощью PowerDMARC - 21 апреля 2026 г.
• Что такое DANE? Объяснение аутентификации именованных объектов на основе DNS (2026) - 20 апреля 2026 г.
• Основы безопасности VPN: лучшие практики по защите вашей конфиденциальности - 14 апреля 2026 г.