SPF-запись

Ежедневно на электронную почту поступает масса писем, которые получатель «не заказывал» или не ждал. Это рекламные предложения, системные сообщения от различных сервисов. Часть из них является откровенным спамом или даже мошенничеством. Чтобы снизить риски получения таких нежелательных отправлений почтовые провайдеры используют специальную защиту.

Она включает SPF-запись, DKIM-подпись и политику DMARKS. Фактически в систему внедряется «пропуск», по которому почтовик принимает решение – пропускать письмо или нет, разместить его в разделе «Входящие» или закинуть в «Спам». Наличие SPF-записи позволяет компаниям иметь хорошую репутацию у провайдеров, получать высокую доставляемость писем.

Рассмотрим технологию подробнее. SPF-запись (Sender Policy Framework) – это отметка в системе доменных имен отправителя (DNS). Она представляет собой каталог, где буквенные наименования доменов (сайтов) соотнесены с их IP. При помощи сравнения внесенных в отправления сведений с базой DNS почтовый провайдер определяет, действительно ли они присланы с того сервера, какой отмечен в служебной информации.

Типовая схема работы:

1. Сервер, например, с IP-адресом 192.1.4.2 отправил рекламу от имени домена сайт.ru.
2. Система почтового провайдера автоматически ищет в базе DNS SPF-запись этого домена.
3. При наличии такового в списках проводится проверка, соответствует ли IP сайту.
4. При подтверждении соответствия письмо направляется в раздел «Входящие».

Если подтверждения IP-адрес не получил, отправление будет направлено в раздел «Спам». Таким образом провайдеры борются с фишингом, спуфингом, когда жулики пытаются манипулировать за счет рассылки писем с указанием «чужого отправителя». Это особенно актуально для защиты при использовании адресов государственных учреждений вроде портала Госуслуги, банков и т.д.

Выглядит стандартная SPF-подпись так:
v=spf1 ip4:192.1.4.2 include: сайт.ru ~all

Отметим, что при массовых рассылках нередко применяют несколько IP-адресов. Например, один для продающих писем, второй – для транзакционных писем, третий – для «внутренней почты». При таких настройках задать соответствующую SPF-запись необходимо для каждого адреса.

Проговорим подробнее функционал, зачем пользователям разбираться, как проверить SPF-подпись и как ее настраивать, если этого еще не было сделано. Немало владельцев доменов пренебрегают этой необходимостью, но это зря. Подпись способна уберечь от множества проблем.

Причины заняться настройкой SPF-записи:

1. Защита от спуфинга. Это ключевой шаг к защите своего почтового адреса. У мошенников принято маскироваться под известные бренды. Они это делают в расчете на кражу данных банковских карт, персональной информации пользователей.
2. Поступление писем во «Входящие». Почтовые провайдеры довольно лояльно относятся к тем отправителям, у кого настроена SPF. Сообщения от них с высокой долей вероятности будут попадать в раздел «Входящие».

Наличие SPF-записи позволяет подключаться к постмастерам, сервисам, предоставляющим доступ к статистике по рассылкам. Использование таких инструментов повышает эффективность Email-маркетинга, снижает риски попадания в спам.

Структура записи включает несколько тегов (механизмов). В каждый из них вносится информация для почтового сервиса, необходимая для более подробной идентификации отправления: откуда оно пришло, безопасно ли для получателя, что с ним делать.

Возьмем пример: v=spf1 ip4:192.1.4.2 include: сайт.ru ~all:

1. Тег v=spf1 – версия SPF. Она одинакова у всех записей.
2. Тег ip4:192.1.4.2. Цифры указывают, с какого IP-адреса разрешена отправка.
3. Тег include: сайт.ru. Отражает, настройки SPF какого домена учитывать.
4. Тег ~all. Показывает, что правило применимо ко всем входящим.

Префиксы или квалификаторы +,-, ~ и ? помогают управлять почтовым сервером. При их отсутствии считается, что проверка пройдена успешно.

Назначение:

1. Префикс «~» – письмо принять, но поставить отметку «подозрительное».
2. Префикс «+» – отправление принять и отправить в раздел «Входящие».
3. Префикс «-» – отклонить входящее сообщение.
4. Префикс «?» – отмечает отсутствие явных ограничений (нейтральная реакция).

Прописывать самому квалификаторы необязательно. Проще обратиться к генератору SPF-записей, который обеспечивает безошибочный синтаксис.

Отметим, что для комплексной проверки письма требуется еще настроить DKIM-подписи вместе с политикой DMARC. Они упростят прохождение спам-фильтров и повысят репутацию еще больше, по сравнению с только одной SPF-записью.

Остановимся подробнее на настройке SPF-записи для популярных почтовых провайдеров вроде Яндекс Почты или Gmail. Процедура везде выглядит схоже, но все равно заострим внимание на особенностях.

Настройка SPF Яндекс Почты
Наличие защитной записи предотвращает подделку отправителя, повышает доставляемость писем и защищает получателей от спама, фишинговых атак.
Последовательность действий:

1. Откройте панель управления записями DNS домена (через веб-интерфейс провайдера).
2. Зайдите в раздел, где открыт доступ к настройкам TTX-записей вашего сайта.
3. Создайте новую запись со стандартным именем v=spf1 и задайте значение:

v=spf1 include:spf.yandex.net ~all
Первый префикс означает, что Яндексу предоставляется право отправлять письма от имени вашего сайта. Второй указывает на то, что любые другие отправляющие серверы нужно воспринимать с определенной осторожностью.
Остается сохранить изменения в DNS-записях и дождаться, пока они вступят в силу. Происходит это в течение нескольких часов или минут (зависит от загруженности системы). Проверить статус легко при помощи специализированных онлайн-сервисов.

Настройка SPF для Google
Процедура настройки SPF-записи для Google аналогична. Пользователю также требуется зайти в панель управления своего домена, найти раздел, где есть доступ к добавлению и редактированию DNS-записей и внести соответствующие изменения.
Выглядеть SPF будет так: v=spf1 include:_spf.google.com ~all
Принцип работы тот же. Первый префикс указывает, чтобы система включила запись для домена Google, а второй для активации проверки отправлений с других сайтов. Перед рассылками лучше убедиться, что все настроено правильно (при помощи онлайн-инструментов).

При обращении за рассылками к специальным сервисам убедиться в работоспособности проще всего. Такую функцию они предоставляют автоматически. Например, при корректно настроенной SPF-записи в адрес может быть отмечен зеленым цветом.

Бесплатный способ проверки – специальные сервисы вроде https://mailtester.com/. Они предлагают отправить тестовое письмо на предлагаемый адрес. Система проверит, насколько велики шансы на размещение в разделе «Входящие» и есть ли риски попадания в спам.

Рассылочные сервисы ради повышения лояльности клиентов нередко самостоятельно подключают требуемые для успешной рассылки подписи/записи. В этом случае настраивать что-то самому не обязательно, т.к. система автоматически будет включать в тело писем проверяемые сведения. Такие особенности стоит уточнять в техподдержке сервиса, каким планируется пользоваться.

Что делать, если письма не проходят проверку SPF?
Проверьте, нет ли дублирующей записи, указаны ли в ней все действующие отправители почты. Если обнаружены ошибки, исправьте их.

Разрешено ли создавать несколько записей SPF?
Нет. При наличии дубля система проверки работать откажется и все письма будут оцениваться как потенциальный спам.

Как работает SPF-запись?
Почтовый сервер сверяет сведения из SPF с теми, что транслируются от исходящего хоста. Если они совпадают, письмо размещается во «Входящих». Если нет, то в «Спам».

Применение SPF-записи и других элементов, подтверждающих легитимность отправлений дает возможность повысить доставляемость писем, снижает риски ухода домена в бан из-за отметки на нем «спамер». Это необходимо учитывать при организации массовых рассылок.