Как настроить запись SPF для Gmail

Без надлежащей записи SPF в Google агенты передачи почты Gmail могут ошибочно классифицировать ваши законные электронные письма как фишинг или спам. Это может стать проблемой, если вы ведете бизнес в Google Workspace.

SPF (Sender Policy Framework) — это запись DNS TXT, которая определяет, какие почтовые серверы имеют право отправлять электронные письма от имени вашего домена. Она действует как шлюз, гарантируя, что только определенные серверы могут отправлять электронные письма от вашего имени. Google теперь требует аутентификации электронной почты для всех отправителей, что делает настройку SPF обязательной.

В этом руководстве подробно описано, как настроить SPF в Gmail и Google Workspace; правильный синтаксис записи SPF для почты Google, шаги по проверке, распространенные ошибки, которых следует избегать, а также как использовать DKIM и DMARC для полной защиты.

Что такое записи SPF Gmail?

Запись SPF (Sender Policy Framework) указывает, какие почтовые серверы имеют право отправлять электронные письма от имени вашего домена. При получении электронного письма принимающий сервер проверяет запись SPF домена в поле «От», чтобы убедиться, что письмо пришло с авторизованного сервера.

Он публикуется в DNS вашего домена в виде записи SPF TXT. Она содержит список IP-адресов или имен хостов серверов, которым разрешено отправлять электронные письма от имени вашего домена. Эта запись может включать несколько серверов и сторонних сервисов.

Если электронное письмо отправлено из неавторизованного источника, принимающий сервер проверит запись SPF домена с помощью запись DNS TXT.

Важность SPF-записи в Gmail

Google требует от всех отправителей электронной почты внедрения аутентификации, а отправители массовых писем (более 5000 сообщений в день) должны иметь настроенные SPF, DKIM и DMARC. Игнорирование этих требований влечет за собой реальные последствия. Без записи SPF Google Workspace:

• Ваши электронные письма могут быть помечены как спам получающими серверами, которые не могут проверить легитимность вашего домена.
• Ваш домен или IP-адрес могут быть занесены в черный список, что значительно усложнит восстановление доставки по сравнению с настройкой аутентификации с самого начала.
• Репутация вашего домена страдает из-за количество жалоб на спам , что со временем усугубляется и влияет на все будущие отправки.

Записи SPF служат важной линией защиты вашего домена от вредоносных действий, таких как подделка электронной почты и фишинговые атаки.

Помимо безопасности, внедрение записи SPF может значительно повысить надежность и авторитетность домена у крупных почтовых провайдеров, таких как Gmail, Outlook и Yahoo. Это напрямую увеличивает вероятность того, что ваши письма попадают в папку «Входящие», а не в папку «Спам».

Как работает запись SPF?

Запись SPF публикуется в DNS вашего домена в виде записи TXT. Это одна строка простого текста, состоящая из тегов, которые указывают IP-адреса и доменные имена ваших авторизованных источников отправки.

Записи SPF могут содержать до 255 символов в каждой строке DNS, а общий размер файла записей TXT не должен превышать 512 байт.

Когда отправляется электронное письмо, принимающий сервер проверяет запись SPF домена в адресе «От», чтобы убедиться, что письмо пришло с авторизованного сервера. Для этого он сравнивает IP-адрес отправляющего сервера со списком разрешенных IP-адресов, опубликованным в вашей записи SPF. Gmail автоматически проверяет входящие сообщения по записи SPF домена отправителя, чтобы убедиться в их легитимности в рамках этого процесса.

На основании этой проверки почтовый сервер получателя присваивает один из следующих результатов:

• Пропустить означает, что IP-адрес отправляющего сервера указан в записи SPF и имеет право отправлять электронную почту для данного домена.
• Неудача означает, что IP-адрес не авторизован, что указывает на потенциальную подделку электронной почты, и сообщение может быть сразу отклонено.
• Softfail означает, что IP-адрес не имеет явного разрешения, но владелец домена использовал ~all , чтобы указать, что серверы должны принимать, но, вероятно, помечать сообщения от IP-адресов, не указанных в списке.
• Нейтральный означает, что домен не дает никаких утверждений о том, является ли IP-адрес авторизованным или нет.
• Нет означает нет записи SPF для домена, поэтому проверка аутентификации не может быть выполнена.

SPF помогает предотвратить подделку электронной почты, предоставляя механизм аутентификации электронной почты, который проверяет, соответствует ли IP-адрес отправляющего почтового сервера разрешенным IP-адресам для домена.

Если IP-адрес не совпадает и запись использует жесткий отказ (-all), сообщение отклоняется. При мягкой ошибке (~all) сообщение принимается, но помечается как подозрительное.

Компоненты записи SPF

Чтобы правильно создать и интерпретировать запись SPF для Gmail или Google Workspace, необходимо понимать ключевые механизмы и квалификаторы, из которых состоит запись.

Механизмы SPF

Каждая запись SPF состоит из механизмов, которые определяют, какие серверы имеют право отправлять электронную почту от имени вашего домена.

Каждый механизм учитывается в пределе 10 DNS-запросов, за исключением ip4 , который указывает непосредственно на IP-адрес и не запускает поиск. При добавлении записи SPF убедитесь, что вы не превышаете этот максимум, чтобы избежать сбоев при проверке.

Квалификаторы SPF

Каждому механизму может предшествовать квалификатор, который сообщает принимающему серверу, как обрабатывать результат.

Для большинства настроек Google Workspace рекомендуемая запись SPF выглядит следующим образом v=spf1 include:_spf.google.com ~all.

Квалификатор мягкой ошибки ~all в конце указывает, что серверы должны принимать, но, вероятно, помечать сообщения от IP-адресов, не указанных в списке. Это позволяет вам видеть неавторизованных отправителей, не отклоняя сразу легитимные письма, которые могут быть неправильно настроены.

Необходимые условия перед настройкой записи SPF

Прежде чем настроить запись SPF для Gmail, убедитесь, что у вас есть:

• Полный перечень отправителей электронных писем: Перечислите все сервисы, которые отправляют электронные письма от вашего имени (Google Workspace, маркетинговые платформы, CRM-системы и т. д.).
• Доступ к управлению DNS: Предоставьте администратору доступ к настройкам DNS вашего домена.
• Понимание структуры вашего домена: Убедитесь, что вы полностью осведомлены о субдоменах, которые отправляют электронную почту.
• Проверка текущей записи SPF: Проверить, существует ли уже запись SPF
• Документация сторонних сервисов: Включите заявления от ваших поставщиков услуг электронной почты.

💡 Совет от профессионала: Для организаций с несколькими сторонними отправителями создайте таблицу, в которой будут отслеживаться требования SPF для каждой службы. Это позволит избежать превышения лимита в 10 DNS-запросов.

Как создать и добавить запись SPF для Gmail

Настройка записи SPF для почты Google не представляет сложности. Весь процесс происходит вне Google, в настройках DNS вашего регистратора домена. Вот как настроить SPF в Gmail шаг за шагом.

Шаг 1: Войдите в систему регистратора домена.

Чтобы создать запись SPF для Google Workspace, войдите в свою учетную запись домена, где вы приобрели и управляете своим доменом: GoDaddy, Namecheap, Cloudflare или любой другой провайдер доменов, которым вы пользуетесь.

Если вы не знаете, где зарегистрирован ваш домен, обратитесь к ИТ-специалистам или посмотрите запись WHOIS вашего домена.

Шаг 2: Перейдите к настройкам DNS

После входа в систему найдите область управления DNS.

В настройках DNS найдите раздел «Записи TXT». Здесь вы добавите свою запись SPF. Запись SPF публикуется в DNS вашего домена как запись TXT, поэтому в большинстве регистраторов вы не найдете отдельного типа записи «SPF».

Шаг 3: Проверьте наличие существующих записей SPF

Прежде чем добавлять что-либо новое, проверьте, есть ли у вашего домена запись SPF. Для Gmail можно иметь только одну запись SPF на домен. Наличие нескольких записей SPF для одного домена может привести к сбоям в аутентификации электронной почты.

Если он уже существует, вы будете редактировать его на следующем шаге, а не создавать новый.

Шаг 4: Создайте запись SPF для почты Google

Добавьте новую запись TXT со следующими значениями:

• Хост / Имя: @ (или пустое поле, в зависимости от вашего провайдера)
• Тип записи: TXT
• Значение: v=spf1 include:_spf.google.com ~all
• TTL: По умолчанию (обычно 3600)

Рекомендуемая запись SPF для Google Workspace: v=spf1 include:_spf.google.com ~all.

Если вы используете другие почтовые сервисы для отправки писем, вам необходимо включить их в свою запись SPF. Поскольку для каждого домена можно создать только одну запись, объедините все в одну строку:

v=spf1 include:_spf.google.com include:servers.mcsv.net include:sendgrid.net ~all

Несколько моментов, на которые следует обратить внимание: Не превышайте максимальное количество 10 DNS-запросов, каждый из которых include: срабатывает по крайней мере один раз, а вложенные включения также учитываются. Записи SPF могут содержать до 255 символов в каждой строке DNS. Если ваша запись превышает этот размер, большинство провайдеров автоматически разбивают ее на части.

Шаг 5: Сохраните и подождите, пока изменения вступят в силу

После создания записи SPF сохраните изменения и подождите до 48 часов, пока запись не будет распространена.

Большинство провайдеров распространяют изменения в течение нескольких часов, но полное окно учитывает более медленные сети DNS. Избегайте внесения дальнейших изменений в течение этого периода, если только вы не обнаружите явную ошибку.

Шаг 6: Проверьте свою запись SPF

После завершения распространения, чтобы проверить вашу запись SPF, используйте инструмент проверки SPF, чтобы убедиться, что она действительна и правильно настроена. Есть два способа сделать это:

• Инструмент для проверки SPF: MXToolbox, Dmarcian или Kitterman позволяют ввести ваш домен и мгновенно проверить, что ваша запись SPF для почты Google опубликована, синтаксически верна и не превышает лимит в 10 запросов.
• Тестовое письмо: Отправьте сообщение на адрес Gmail, откройте его, нажмите на меню с тремя точками, выберите «Показать оригинал» и найдите spf=pass в заголовке Authentication-Results.

Шаг 7: Настройте SPF для субдоменов (если применимо)

Если вы используете субдомены для отправки электронной почты (например, marketing.yourdomain.com), вам необходимо настроить записи SPF для каждого субдомена отдельно, если ваш провайдер это позволяет.

Политика SPF не наследуется от корневого домена. Каждому субдомену требуется собственная запись TXT. Процесс настройки идентичен; просто измените поле «Хост/Имя» с @ на субдомен.

Распространенные ошибки в записях SPF и как их избежать

Даже небольшая ошибка в настройках может полностью нарушить аутентификацию электронной почты. При настройке SPF избегайте распространенных ошибок, таких как наличие нескольких записей или неправильный синтаксис. Ниже приведены наиболее частые из них.

Несколько записей SPF в одном домене

Вы можете иметь только одну запись SPF на домен.

Если принимающий сервер обнаруживает два или более, он возвращает постоянную ошибку и проваливает проверку. Если вам необходимо авторизовать дополнительные службы, объедините все include: в одну запись; не создавайте вторую запись TXT.

Использование +all вместо ~all

Все +all указатель сообщает получающим серверам принимать электронную почту с любого IP-адреса, что полностью сводит на нет цель SPF. Всегда используйте:

• ~все (мягкая ошибка): рекомендуемое Google значение по умолчанию
• -все (жесткий отказ): более строгий, сразу отклоняет неавторизованных отправителей

Превышение лимита в 10 запросов DNS

Записи SPF ограничены максимум 10 DNS-поисками; превышение этого предела приведет к сбою аутентификации. Каждый include, a, mxи redirect считается поиском, а вложенные включения также учитываются. Если вы приближаетесь к пределу, используйте инструменты уплощения SPF для преобразования включений в прямые IP-адреса.

Забыли включить новые источники отправки

Добавили новый CRM, маркетинговый инструмент или сервис транзакционных писем? Если вы не обновите свою запись SPF, чтобы включить их, письма, отправленные через эти сервисы, не пройдут аутентификацию. Регулярный мониторинг вашей записи SPF может помочь выявить потенциальные проблемы, прежде чем они повлияют на доставку писем.

Как устранить сбои SPF в Gmail

Вы настроили запись SPF, дождались ее распространения, но письма по-прежнему попадают в спам или не проходят аутентификацию? Вот краткий чек-лист для диагностики и устранения распространенных проблем с SPF.

• Проверьте заголовки электронных писем: Отправьте тестовое письмо на адрес Gmail, нажмите «Показать оригинал» и найдите строку spf=pass, spf=softfailили spf=fail в заголовке Authentication-Results.
• Запустите поиск SPF: Используйте MXToolbox или Dmarcian, чтобы убедиться, что ваша запись опубликована, синтаксически правильна и не превышает лимит в 10 запросов.
• Убедитесь, что все отправители включены: Убедитесь, что все сторонние службы (CRM, службы поддержки, маркетинговые платформы) указаны в вашей записи. Если электронное письмо отправлено из источника, не указанного в списке, принимающий сервер проверяет вашу запись SPF и отклоняет сообщение.
• Проверка на наличие дубликатов записей: Убедитесь, что есть только одна запись TXT, начинающаяся с v=spf1 ; наличие нескольких записей SPF для одного домена приводит к сбоям аутентификации.
• Регулярно проверяйте: Проверяйте записи SPF после добавления новых инструментов или смены поставщиков. Проблемы не всегда проявляются сразу, и их раннее выявление позволяет предотвратить проблемы с доставкой.

Проверка и мониторинг вашей записи SPF

Настройка записи SPF — это только половина дела. Если в записи есть синтаксическая ошибка, она превышает лимит в 10 запросов или становится неактуальной после добавления новой службы отправки, ваши электронные письма могут незаметно начать проходить аутентификацию. Регулярная проверка и мониторинг гарантируют, что ваша запись SPF для Gmail остается функциональной, а доставка писем — бесперебойной.

Первоначальные этапы проверки

• Вы можете использовать наш инструмент поиска SPF , чтобы мгновенно проверить настройки записи SPF в Gmail.
• Просмотрите запись TXT вашей реализованной записи SPF, чтобы убедиться, что статус является действительным.
• Еще раз проверьте, содержит ли запись все авторизованные IP-адреса и сторонние поставщики, которых вы используете для отправки электронных писем.
• Убедитесь, что вы не опубликовали несколько записей SPF для одного домена. Если вы используете для маркетинга по электронной почте других сторонних поставщиков, кроме Google Workspace, вы можете использовать механизм «include» в той же записи SPF.
• Убедитесь, что вы соблюдаете правильное форматирование.

Если в вашей записи SPF обнаружены несоответствия, обновите ее, чтобы удалить эти ошибки, и повторно проверьте настройки.

Лучшие практики постоянного мониторинга

• Периодические проверки SPF: Ежемесячно проверяйте свои записи SPF на точность и полноту.
• Анализ заголовков электронных писем: Регулярно проверяйте заголовки электронных писем на наличие результатов аутентификации SPF.
• Мониторинг отчетов DMARC: Используйте отчеты DMARC для выявления сбоев SPF и неавторизованных отправителей.
• Управление изменениями: Обновляйте записи SPF при добавлении новых почтовых сервисов или смене провайдера.
• Автоматический мониторинг: Настройте оповещения о сбоях аутентификации SPF.

Рекомендуемое чтение: Как настроить DMARC: пошаговое руководство по настройке

Внедрение DMARC и SPF с помощью PowerDMARC

Внедрение SPF наряду с DKIM и DMARC обеспечивает комплексную защиту, гарантируя, что каждое сообщение, отправленное с вашего домена, будет проверено и признано надежным. Вместе эти протоколы защищают ваш домен от кибератак, основанных на электронной почте, таких как спуфинг, фишинг и BEC.

PowerDMARC поможет вам быстрее достичь этой цели с помощью:

• Автоматическое обнаружение ошибок: Обнаружение неверных настроек SPF, синтаксических ошибок и нарушений ограничений поиска до того, как они повлияют на доставку электронной почты.
• Мониторинг в режиме реального времени: получайте мгновенные уведомления в случае сбоя аутентификации SPF, DKIM или DMARC, чтобы принять меры до снижения доставляемости.
• Отчетность о соответствии требованиям: Создавайте готовые к аудиту отчеты, которые соответствуют отраслевым требованиям по соблюдению нормативных требований и дают вам полную информацию о том, кто отправляет электронные письма от вашего имени.
• Круглосуточная поддержка экспертов: Обращайтесь к сертифицированным специалистам по безопасности электронной почты, когда вам нужна помощь с настройкой, устранением неполадок или обеспечением соблюдения правил.

Клиент делится своим опытом: «С помощью PowerDMARC мы обнаружили ошибки в настройках SPF, прежде чем они привели к проблемам с доставкой. Их поддержка на высшем уровне!» – ИТ-менеджер, SaaS-компания

Настройка записи SPF в Google Workspace — это только первый шаг к защите вашего домена. Начните бесплатную 15-дневную пробную версию с PowerDMARC уже сегодня!

Часто задаваемые вопросы (FAQ)

1. Что такое запись SPF для электронной почты?

Запись SPF (Sender Policy Framework) — это запись DNS TXT, которая указывает, какие почтовые серверы имеют право отправлять электронные письма от имени вашего домена. Она предотвращает подделку электронных писем и улучшает доставляемость, позволяя принимающим серверам проверять, что электронные письма поступают из законных источников.

2. Как исправить сбой SPF в Gmail?

Чтобы исправить ошибки SPF в Gmail:

• Проверьте, включает ли ваша запись SPF строку «include:_spf.google.com»
• Убедитесь, что у вас есть только одна запись SPF на домен.
• Убедитесь, что синтаксис SPF правильный
• Убедитесь, что вы не превысили лимит в 10 DNS-запросов.
• Дождитесь распространения DNS после внесения изменений

3. Все ли еще SPF актуален для безопасности электронной почты?

Да, SPF по-прежнему играет важную роль в обеспечении безопасности электронной почты. Google требует от всех отправителей электронных писем внедрения SPF или DKIM, а SPF является основным компонентом аутентификации электронной почты в сочетании с DKIM и DMARC.

4. Могу ли я иметь несколько записей SPF для разных субдоменов?

Да. Хотя для каждого домена можно создать только одну запись SPF, каждый поддомен может иметь свою отдельную запись SPF. Если вы используете поддомены для отправки электронной почты, вам необходимо настроить записи SPF для каждого поддомена отдельно, если ваш провайдер это позволяет, поскольку политика SPF не наследуется от корневого домена.

5. В чем разница между ~all и -all в записях SPF?

~all (softfail) означает, что электронные письма из неавторизованных источников должны приниматься, но помечаться как подозрительные, а -all (hardfail) означает, что электронные письма из неавторизованных источников должны отклоняться. Начните с ~all, чтобы проконтролировать результаты, а затем перейдите к -all для более строгого применения, когда будете уверены, что ваша запись SPF завершена.