Как настроить SPF, DKIM и DMARC на DreamHost

Ваш домен размещен на DreamHost, письма отправляются, но ответы клиентов попадают в спам, отправленные через контактную форму WordPress формы пропадают, а письма из Google Workspace возвращаются с ошибками аутентификации.

Основная причина почти всегда заключается в аутентификации электронной почты, а именно в отсутствии записи SPF, её неполноте или неправильной настройке после подключения стороннего почтового сервиса.

DreamHost работает с SPF лучше, чем большинство хостинг-провайдеров. Сервис автоматически генерирует рабочую запись SPF для каждого домена

Однако как только вы настраиваете запись, добавляя Google Workspace, Mailchimp или любой другой сервис рассылки, DreamHost незаметно удаляет свою запись по умолчанию. Если вы не включите собственные механизмы DreamHost в новую запись, аутентификация электронной почты, размещенной на DreamHost, внезапно прекратится. 

В этом руководстве подробно описано, как DreamHost по умолчанию обрабатывает SPF, DKIM и DMARC, как настроить каждую из этих технологий для конфигураций с одним или несколькими отправителями, какие особенности работы DreamHost могут незаметно привести к сбоям в работе электронной почты, а также как постоянно проверять и отслеживать все эти параметры.

Какова запись SPF по умолчанию в DreamHost?

SPF (Sender Policy Framework) — это запись TXT в системе DNS, которая определяет, каким почтовым серверам разрешено отправлять электронные письма с вашего домена. Принимающие серверы проверяют эту запись, чтобы определить, является ли входящее письмо подлинным или потенциально поддельным.

DreamHost автоматически добавляет следующую запись SPF к каждому домену, использующему почту DreamHost:

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all

Вот для чего нужна каждая часть записи SPF:

Если вы отправляете электронную почту исключительно через DreamHost и не используете сторонние почтовые сервисы, эта запись по умолчанию является полной. Вам не нужно ничего менять.

Воспользуйтесь бесплатным проверку SPF от PowerDMARC , чтобы проверить, работает ли ваша запись по умолчанию DreamHost. Введите свой домен, и через несколько секунд вы увидите запись, проверку синтаксиса, количество запросов DNS и все перечисленные механизмы.

Особенности работы DreamHost, о которых необходимо знать перед внесением каких-либо изменений:

Добавление пользовательской записи SPF в DreamHost автоматически удаляет запись по умолчанию. Это одна из наиболее распространённых причин сбоев при аутентификации электронной почты на DreamHost. Если вы добавите пользовательскую запись, содержащую только строку include:_spf.google.com -all, вы тем самым лишите авторизации собственные почтовые серверы DreamHost, и с этого момента каждая электронная почта, отправленная через DreamHost, будет проваливать проверку SPF.

Если вы удалите свою настраиваемую запись SPF, DreamHost автоматически восстановит запись по умолчанию. Это может пригодиться в качестве резервного варианта на случай сбоев.

Как добавить или изменить запись SPF в DreamHost

Изменить запись SPF необходимо только в том случае, если вы отправляете электронные письма через сервисы, отличные от DreamHost, Google Workspace, Mailchimp, SendGrid, HubSpot или любых других сторонних почтовых сервисов.

Шаг 1: Определите все источники отправки

Перечислите все системы, которые отправляют электронные письма от имени вашего домена. Типичные источники для пользователей DreamHost:

• Электронная почта DreamHost → include:netblocks.dreamhost.com include:relay.mailchannels.net
• Google Workspace → включить:_spf.google.com
• Mailchimp → include:servers.mcsv.net
• SendGrid → include:sendgrid.net
• HubSpot → include:_spf.hubspot.com
• Zoho Mail → include:zoho.com
• Другие поставщики → ознакомьтесь с документацией по SPF данного поставщика, чтобы узнать значение параметра include:

Не знаете, какие сервисы отправляют письма с вашего домена? 

PowerDMARC совокупные отчеты DMARC показывают каждый источник отправки, включая легитимные и несанкционированные, в течение 72 часов после развертывания. Это самый надежный метод обнаружения, особенно для доменов с теневыми ИТ-отправителями, которых отделы маркетинга или продаж задействовали, никому об этом не сообщив.

Шаг 2: Создание одной объединенной записи SPF

Объедините все источники отправки в одну запись SPF. На каждый домен может быть только одна запись SPF TXT, так как наличие нескольких записей приводит к PermError и нарушают аутентификацию для всех отправителей.

Отслеживайте количество запросов. Каждый механизм include: запускает один или несколько запросов DNS (включая вложенные include), но согласно RFC 7208 для SPF установлен лимит в 10 запросов. Стандартные механизмы DreamHost уже используют 3–4 запроса. Добавьте Google (2–3), Mailchimp (1–2) и SendGrid (1–2), и вы получите 8–11 запросов, что потенциально превышает лимит.

Воспользуйтесь генератор SPF от PowerDMARC для правильного создания комбинированной записи. Он проверяет синтаксис, подсчитывает количество запросов, включая вложенные включения, и предупреждает вас, прежде чем вы достигнете предела в 10 запросов. Если вы уже превысили 10, PowerSPF автоматически преобразует цепочки include: в записи ip4: и обновляет запись при смене IP-адресов поставщиками, без необходимости ручного редактирования DNS.

Шаг 3: Добавьте запись в панели управления DreamHost

В этих инструкциях предполагается, что ваши серверы имен указывают на DreamHost. Если они указывают на Cloudflare или другого провайдера, добавьте запись TXT там, поскольку настройки DNS в панели управления DreamHost игнорируются, когда серверы имен указывают на другой ресурс.

• Перейдите в раздел «Управление веб-сайтами».
• Нажмите на кнопку с тремя вертикальными точками под вашим доменом → выберите «Настройки DNS».
• Нажмите «Добавить запись» → наведите курсор на «Запись TXT» → нажмите «ДОБАВИТЬ».
• Поле «Хост»: оставьте пустым для корневого домена (или введите субдомен, если необходимо).
• Значение TXT: вставьте скомпонованную строку SPF.
• Нажмите «Добавить запись», чтобы сохранить.

Это действие удаляет запись SPF, установленную по умолчанию в DreamHost. Ваша объединенная запись ДОЛЖНА включать механизмы DreamHost (netblocks.dreamhost.com и relay.mailchannels.net), если вы по-прежнему отправляете электронную почту через DreamHost. Перед сохранением тщательно проверьте настройки.

Шаг 4: Проверьте запись

• Подождите от 15 минут до 6 часов, пока обновятся настройки DNS на DreamHost (согласно базе знаний DreamHost, это может занять до 6 часов).
• Запустите PowerDMARC SPF Checker , чтобы убедиться, что запись разрешается правильно, а количество запросов не превышает 10.
• Отправьте тестовое письмо на личный аккаунт Gmail. Откройте письмо → нажмите «Показать исходный текст» → найдите строку spf=pass в заголовке Authentication-Results.

Крайний случай в Google Workspace

При настройке Google Workspace через интеграцию DreamHost панель управления DreamHost делает поле SPF недоступным для редактирования. Однако вместо автоматически настроенного поля вы можете использовать пользовательский путь к записи DNS в DreamHost (Добавить запись → TXT). Если ваши серверы имен находятся в Cloudflare, добавьте запись TXT непосредственно в панели управления DNS Cloudflare, чтобы полностью обойти ограничение DreamHost.

Как проверить и настроить DKIM на DreamHost

DKIM (DomainKeys Identified Mail) добавляет криптографическую подпись к исходящим электронным письмам, позволяя принимающим серверам проверять, что сообщение не было изменено при передаче.

DreamHost автоматически генерирует DKIM

Если вы используете почту, размещённую на DreamHost, DKIM уже настроен:

• DreamHost автоматически создает записи DKIM в DNS для всех доменов и субдоменов, использующих почтовую службу DreamHost.
• Эти записи отображаются в настройках DNS; их можно узнать по наличию символов «_domainkey» в названии записи (тип: TXT).
• DreamHost поддерживает 2048-битные ключи DKIM.
• Каждое письмо, отправленное по протоколу SMTP через почтовый сервер DreamHost, автоматически подписывается.

Воспользуйтесь проверку DKIM от PowerDMARC , чтобы проверить, опубликован ли ключ и является ли он действительным. Введите свой домен и селектор (обычно yourdomain.com._domainkey для почты, хостируемой на DreamHost), чтобы подтвердить.

Когда DKIM НЕ применяется (критическая уязвимость)

Письма, отправляемые через Sendmail или PHP Mail, НЕ подписываются с помощью DKIM. Это касается и контактных форм WordPress, использующих функцию mail() языка PHP, которая является стандартной для большинства плагинов форм WordPress. Эти письма полностью обходят SMTP-сервер DreamHost, поэтому закрытый ключ DKIM к сообщению не применяется.

Это самая распространённая причина, по которой письма из контактных форм сайтов WordPress на DreamHost попадают в спам. Форма работает и отправляет письмо, но без DKIM (и зачастую без правильного согласования SPF) серверы-получатели помечают его как подозрительное.

Решение: Установите плагин WP Mail SMTP (или аналогичный). Настройте его так, чтобы все письма, генерируемые сайтом, отправлялись через SMTP-сервер DreamHost (mail.yourdomain.com, порт 465 с SSL или порт 587 с TLS). При этом письма будут проходить через почтовый сервер, который автоматически добавляет подпись DKIM.

Если ваши серверы имен НЕ находятся на DreamHost

Если вы используете Cloudflare, Route 53 или другого поставщика DNS, но ваша электронная почта обслуживается DreamHost, вам необходимо скопировать записи DKIM из панели управления DreamHost и добавить их вручную у своего поставщика DNS.

Внимательно скопируйте ключ DKIM, не оставляя пробелов ни в одном месте строки ключа. Панель управления DreamHost допускает записи с пробелами, однако электронные письма не пройдут проверку DKIM, если опубликованный ключ содержит пробелы. 

Если вы пользуетесь услугами стороннего почтового провайдера

Если вашу электронную почту обслуживает Google Workspace, Zoho или другой сервис (а не DreamHost), то именно этот провайдер отвечает за подпись DKIM. Получите у него открытый ключ DKIM и селектор, а затем добавьте соответствующую запись TXT в настройках DNS DreamHost (или у вашего внешнего провайдера DNS). Точный формат селектора и значение ключа см. в документации провайдера.

Как настроить запись DMARC на DreamHost

DMARC (Domain-based Message Authentication, Reporting and Conformance) объединяет протоколы SPF и DKIM. Он проверяет, проходит ли хотя бы один из них проверку И соответствует ли он домену, указанному в поле «От:», а затем сообщает принимающим серверам, как действовать в случае сбоя аутентификации. Без DMARC протоколы SPF и DKIM существуют, но их соблюдение никому не контролируется.

Воспользуйтесь генератор DMARC от PowerDMARC для создания записи. Выберите уровень политики, добавьте адреса электронной почты для отчетов и скопируйте сгенерированное значение TXT. 

Пошаговая инструкция в панели управления DreamHost

Прежде чем настроить DMARC, убедитесь, что SPF и DKIM уже настроены и работают. В блоге DreamHost рекомендуется подождать 48 часов после настройки SPF и DKIM, прежде чем публиковать запись DMARC.

• Перейдите в раздел «Управление сайтами» → «Настройки DNS» → нажмите «Добавить запись» → «TXT».
• Ведущий: _dmarc
• Значение TXT:

v=DMARC1; p=none; rua=mailto:[email protected];ruf=mailto:[email protected]; pct=100

• Нажмите «Добавить запись», чтобы сохранить.

DreamHost рекомендует создать два отдельных адреса электронной почты для отчетов DMARC (общих и аналитических), так как их количество может быть значительным. В качестве альтернативы можно настроить параметр rua= на адрес приема данных PowerDMARC и полностью избавиться от лишних писем, чтобы отчеты поступали напрямую на визуальную панель управления.

План поэтапного внедрения

DMARC не следует настраивать на отклонение (p=reject) с самого первого дня. Поэтапный подход позволяет избежать случайного блокирования легитимных писем:

Фаза	Политика	Что происходит
Недели 1–4	p=нет	Только для мониторинга. Собирайте сводные отчеты DMARC. Определите всех легитимных отправителей и устраните все сбои аутентификации.
5–8-я недели	p=карантин	Неаутентифицированные письма попадают в спам. Убедитесь, что все легитимные отправители теперь проходят проверку. Следите за отчетами на предмет ложных срабатываний.
9-я неделя и далее	p=отклонить	Полное соблюдение правил. Неавторизованные электронные письма сразу отклоняются. Ваш домен теперь защищен от подделки.

Чтобы обновить политику, отредактируйте запись TXT _dmarc в панели управления DreamHost (нажмите на значок карандаша рядом с записью) и измените значение p=none на p=quarantine, а затем — на p=reject.

Необработанные отчеты DMARC в формате XML невозможно прочитать без специальных инструментов. PowerDMARC автоматически импортирует их и предоставляет наглядную аналитику, включая показатели успешности и неудач по источникам, статус соответствия SPF и DKIM, данные об обнаружении неавторизованных отправителей, а также графики динамики. 

Распространенные проблемы с аутентификацией электронной почты DreamHost (и способы их устранения)

Каждый из приведенных ниже сценариев следует одной и той же схеме диагностики: симптом → причина → устранение.

После добавления SPF-записи Google Workspace письма от DreamHost попадают в папку «Спам»

• Симптом: Письма, отправленные с почтовых ящиков, размещенных на DreamHost, попадают в спам или возвращаются. Письма из Google Workspace работают нормально.
• Причина: Пользовательская запись SPF была добавлена только с включением Google (include:_spf.google.com -all), что привело к автоматическому удалению записи по умолчанию DreamHost. Почтовые серверы DreamHost больше не авторизованы.
• Исправление: Объединить в одну запись, включающую механизмы DreamHost и Google:
• v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all

Письма из контактной формы WordPress не проходят проверку SPF/DKIM

• Проблема: Отправленные через контактную форму сообщения не доходят до адресата или попадают в папку «Спам». Прямые письма с того же домена доходят без проблем.
• Причина: WordPress использует функцию mail() PHP вместо SMTP. Почта PHP не проходит через почтовый сервер DreamHost, поэтому проверка SPF завершается сбоем, а DKIM не применяется.
• Решение: Установите плагин WP Mail SMTP. Настройте его на отправку через SMTP-сервер DreamHost (mail.yourdomain.com, порт 465 SSL или 587 TLS, с использованием ваших учетных данных электронной почты DreamHost). Это гарантирует, что каждое письмо, сгенерированное сайтом, пройдет аутентификацию.

SPF PermError: Слишком много запросов DNS

• Симптом: Проверка SPF возвращает PermError. Некоторые или все электронные письма не проходят аутентификацию.
• Причина: Объединенная запись SPF с DreamHost + Google + Mailchimp + SendGrid + другими сервисами превышает лимит в 10 запросов DNS. Только механизмы DreamHost по умолчанию используют 3–4 запроса, поэтому добавление 3–4 сторонних включений приводит к превышению лимита.
• Решение: Проверьте количество запросов с помощью SPF-проверки, учитывающей вложенные include. Удалите устаревшие include для сервисов, которыми вы больше не пользуетесь. Замените include: на прямые записи ip4: там, где IP-адреса поставщиков стабильны. Направляйте отправщиков с большим объемом почты через субдомены (каждый получает свой собственный бюджет из 10 запросов). Или используйте PowerSPF для автоматического упрощения.

Письма из Gmail возвращаются с ошибкой «Неаутентифицировано»

• Симптом: Gmail отклоняет ваши письма с ошибкой «сообщение не прошло аутентификацию». Записи SPF и DKIM в панели DreamHost выглядят корректно.
• Причина: Ваши серверы имен указывают на Cloudflare (или другого провайдера), но ваши записи SPF и DKIM были добавлены только в панели DreamHost. Когда серверы имен не указывают на DreamHost, DNS DreamHost невидим для остальной части Интернета.
• Решение: Добавьте все записи DNS для аутентификации электронной почты (SPF TXT, DKIM TXT, DMARC TXT) в панели управления DNS Cloudflare, а не в панели DreamHost. Скопируйте записи из DreamHost и опубликуйте их там, куда фактически указывают ваши серверы имен.

DMARC не проходит проверку, хотя SPF и DKIM проходят ее по отдельности

• Симптом: В заголовках сообщений отображается spf=pass и dkim=pass, но dmarc=fail.
• Причина: Несоответствие. DMARC требует, чтобы домен в проверке SPF (отправитель конверта / Return-Path) ИЛИ подпись DKIM (тег d=) совпадали с доменом в видимом заголовке From:. Если ваш отправитель конверта — [email protected], но ваш заголовок From: — [email protected], то SPF проходит для dreamhost.com, но не совпадает с yourdomain.com.
• Решение: Убедитесь, что домен отправителя конверта и домен подписи DKIM совпадают с доменом адреса «От:». Для электронной почты, хостируемой DreamHost, это обычно происходит автоматически. Для сторонних отправителей настройте их так, чтобы они использовали ваш домен в качестве домена отправителя конверта (большинство ESP предлагают настройку пользовательского обратного пути).

Хватит гадать, какой источник вызывает сбой и почему. Панель сводных отчетов PowerDMARC отображает результаты аутентификации по каждому IP-адресу и источнику для всех получателей, обрабатывающих вашу почту. Выявляйте точную причину сбоя, устраняйте ее и проверяйте результаты — и все это на одном экране. Начните 15-дневную бесплатную пробную версию

Как проверить работоспособность аутентификации электронной почты DreamHost

После настройки SPF, DKIM и DMARC, пройдите по этому контрольному списку, чтобы убедиться, что все работает и проходит проверку:

• Отправьте тестовое письмо на личный аккаунт Gmail. Откройте письмо → нажмите «Показать исходный текст» → убедитесь, что в заголовке указаны следующие значения: SPF: PASS, DKIM: PASS и DMARC: PASS.
• Запустите PowerDMARC SPF Checker , чтобы убедиться, что запись разрешается, синтаксис верный, а количество запросов не превышает 10.
• Запустите PowerDMARC DKIM Checker с вашим селектором (yourdomain.com._domainkey для DreamHost или любой другой селектор, который использует ваш сторонний провайдер), убедитесь, что ключ опубликован, а длина подписи составляет 2048 бит.
• Запустите PowerDMARC DMARC Checker , чтобы убедиться, что запись TXT _dmarc активна, политика настроена правильно, а адреса rua/ruf действительны.
• Через 72 часа проверьте сводные отчеты DMARC. В них отражены реальные показатели успешности и неудач по всем почтовым сервисам (Gmail, Yahoo, Microsoft и т. д.), а не только по одному тестовому сообщению. Именно здесь вы сможете увидеть, не провалился ли какой-либо источник отправки, который не был выявлен в ходе тестирования.

Запустите бесплатный сканер доменов . Он проверяет SPF, DKIM, DMARC, BIMI, MTA-STS и общий уровень безопасности электронной почты за одно сканирование. Получите мгновенную оценку от A+ до F для вашего домена DreamHost.

Рекомендации по аутентификации электронной почты DreamHost

Настройка SPF, DKIM и DMARC — это лишь начало. Долгосрочная доставляемость писем на DreamHost зависит от поддержания чистоты записей аутентификации, отслеживания отклонений в настройках и приведения ваших методов рассылки в соответствие с меняющимися требованиями почтовых провайдеров.

• При добавлении пользовательских записей SPF всегда включайте серверы DreamHost (netblocks.dreamhost.com и relay.mailchannels.net). Функция автоматического удаления застает большинство пользователей врасплох.
• Используйте SMTP для всех писем, генерируемых сайтом. Контактные формы WordPress, уведомления о заказах WooCommerce и подтверждения регистрации должны отправляться через SMTP для обеспечения подписи DKIM.
• SPF обрабатывает субдомены отдельно. Если с адресов blog.yourdomain.com или shop.yourdomain.com отправляются электронные письма, для каждого из них требуется собственная запись SPF. Записи субдоменов не наследуются от родительского домена.
• Внедряйте DMARC поэтапно: сначала установите параметр p=none, отслеживайте отчеты через PowerDMARC, а затем приступайте к принудительному применению. Переход сразу к параметру p=reject без предварительного мониторинга чреват риском блокировки легитимных писем.
• Проводите проверку записи SPF ежеквартально, а также сразу после подключения любого нового сервиса рассылки писем. Поставщики меняют диапазоны IP-адресов, маркетинговые команды внедряют новые инструменты, а записи со временем теряют актуальность.
• Если серверы имен находятся на Cloudflare или у другого внешнего провайдера, все DNS-записи для электронной почты (SPF, DKIM, DMARC) необходимо добавлять именно там, а не в панели управления DreamHost. Настройки DNS DreamHost игнорируются, если серверы имен указывают на другой провайдер.

Хватит вслепую решать проблемы с аутентификацией электронной почты на DreamHost. PowerDMARC поможет вам отслеживать SPF, DKIM и DMARC в режиме реального времени, выявлять скрытые сбои до того, как снизится доставляемость, и обеспечивать соответствие ваших настроек требованиям при подключении новых сервисов рассылки. 

Начните 15-дневную бесплатную пробную версию

Часто задаваемые вопросы

Какова запись SPF по умолчанию для DreamHost?

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all. DreamHost добавляет это автоматически для всех доменов, использующих почту DreamHost. Ручная настройка не требуется, если DreamHost является вашим единственным отправителем почты.

Как настроить SPF-записи DreamHost для Google Workspace?

Создайте одну объединенную запись, включающую оба набора механизмов:

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all

Если добавить только SPF от Google, это приведет к удалению записи по умолчанию от DreamHost, что нарушит работу почты DreamHost. Всегда указывайте обе записи.

DreamHost настраивает DKIM автоматически?

Да, для доменов, использующих почту на хостинге DreamHost с SMTP. Запись DKIM создается автоматически, и письма подписываются при отправке через почтовый сервер DreamHost. Однако письма, отправляемые через PHP-почту (контактные формы WordPress без SMTP), НЕ подписываются DKIM. Чтобы исправить это, установите плагин WP Mail SMTP.

Почему мои письма с DreamHost попадают в спам?

К наиболее распространённым причинам относятся отсутствие или некорректность записи SPF (особенно после добавления стороннего отправителя, что приводит к удалению записи по умолчанию DreamHost), отсутствие DKIM из-за отправки писем через PHP-mail вместо SMTP, отсутствие опубликованной записи DMARC или ситуация, когда серверы имен указывают на Cloudflare, в то время как записи DNS существуют только в панели управления DreamHost. Проведите бесплатное сканирование с помощью инструмента Domain Analyzer от PowerDMARC, чтобы точно определить, в чём заключается проблема.

Можно ли создать две записи SPF на DreamHost?

Нет. Согласно стандарту RFC 7208, для каждого домена должна быть только одна запись SPF типа TXT. Если существуют две записи, начинающиеся с v=spf1, SPF возвращает ошибку PermError, и аутентификация всех отправителей завершается неудачей. Объедините всех авторизованных отправителей в одну запись.