Email-аутентификация: что это и как настроить

Email-аутентификация — это способ убедиться, что письмо действительно отправлено тем, кто указан в поле «от кого». Почтовые сервисы проверяют емейлы с помощью специальных механизмов, чтобы отличить легитимных отправителей от мошенников.

Зачем нужна email-аутентификация

Преимущество	Что даёт	Почему это важно
Защита от мошенников	Злоумышленники не смогут отправлять письма от вашего имени	Снижается риск фишинга и подделки писем
Повышение доставляемости	Письма чаще попадают во «Входящие»	Увеличивается открываемость и отклик
Улучшение репутации домена	Почтовые сервисы начинают доверять вашему домену	Эффективность будущих рассылок растёт
Доступ к аналитике	Открывается доступ к инструментам постмастеров	Можно отслеживать ошибки доставки и жалобы на спам

Основные протоколы аутентификации: SPF, DKIM, DMARC

Суть email-аутентификации сводится к трём основным технологиям, которые настраиваются через DNS-записи домена. Это SPF, DKIM и DMARC — стандарты, которые подтверждают, что ваш домен действительно имеет право отправлять письма. Они также дают почтовым сервисам инструкции, как поступать с письмами, которые не проходят проверку.

SPF (Sender Policy Framework)

SPF — это механизм, с помощью которого вы указываете, какие серверы имеют право отправлять емейлы от имени вашего домена. Для этого в DNS добавляется специальная текстовая запись со списком разрешённых IP-адресов.

Когда кто-то получает емейл якобы от вашего домена, почтовый сервер сверяет IP-адрес отправителя письма с этим списком. Если IP не найден, сообщение будет отклонено или попадёт в спам — система сочтёт его подозрительным.

Как настроить SPF

Чтобы включить SPF, нужно создать в DNS вашего домена TXT-запись. Она всегда начинается с v=spf1, а дальше идёт перечень допустимых серверов. Пример: primer.com TXT "v=spf1 include:spf.ваш_сервис.com -all"

Здесь include:spf.ваш_сервис.com подключает список серверов рассылочного сервиса, который вы используете. А -all в конце означает, что любые другие серверы — не из этого списка — отправлять почту не имеют права. Если вы используете платформу Altcraft, рекомендуется добавить include:spf.aksend.net — это её собственный список серверов для рассылки.

Важно! SPF-запись должна быть только одна. Если создать несколько, система может запутаться и не понять, какую использовать, — в результате проверка не пройдёт. Поэтому, если у вас уже есть SPF-запись (например, для корпоративной почты), просто добавьте новый include: к уже существующему списку. Не создавайте отдельную запись с v=spf1.

Также обращайте внимание на формат записи: не вставляйте лишние кавычки вручную — они нужны только для отображения, а не для хранения в DNS.

Почему SPF важен

Если ваш домен защищён SPF-записью, злоумышленникам будет труднее отправить письма от вашего имени. Плюс, SPF даёт обратную связь: если письмо не доставлено, вы получите уведомление (если настроен Return-Path). Это помогает быстрее реагировать на проблемы.

Однако стоит понимать, что SPF — это только один из слоёв защиты. Например, если письмо пересылается через другой сервер (форвард), SPF может не пройти. Именно поэтому его всегда используют в связке с DKIM и DMARC — вместе они дают комплексную проверку подлинности письма.

DKIM (DomainKeys Identified Mail)

DKIM — это механизм, который доказывает, что письмо действительно отправлено с указанного домена и его содержимое осталось неизменным при доставке. Для этого к письму добавляется цифровая подпись, которую почтовые сервисы проверяют с помощью открытого ключа в DNS.

Когда вы отправляете письмо, сервис рассылки или ваш почтовый сервер подписывает его специальной криптографической подписью. Эту подпись система создаёт с помощью приватного ключа.

Когда письмо приходит на сервер получателя, система обращается к DNS-записям домена отправителя, чтобы найти открытый ключ. С его помощью она проверяет, совпадает ли цифровая подпись с данными в письме и указанным доменом. Если проверка проходит успешно — письмо считается достоверным. В противном случае оно признаётся подозрительным и отправляется в спам.

Как настроить DKIM

Чтобы всё это работало, нужно:

Сгенерировать пару ключей — закрытый и открытый. Закрытый остаётся у вас, открытый публикуется в DNS вашего домена.

Добавить в DNS TXT-запись с открытым ключом.

Эта запись размещается в специальном поддомене, который называется селектор. Пример: ak.domainkey.primer.com TXT "v=DKIM1; k=rsa; p=ОТКРЫТЫЙКЛЮЧ"

Где ak — это и есть селектор, то есть имя ключа. Он может быть любым: mail, default, dkim1 и так далее. Например, у Altcraft используется селектор ak — он идёт в комплекте с остальными настройками домена при подключении.

Иногда дополнительно указывается служебная запись, которая определяет политику использования DKIM на вашем домене (например, o=-, что означает: все письма должны быть подписаны).

Как только вы добавите DKIM-запись в DNS и она начнёт работать, сервис будет автоматически подписывать письма, а почтовые системы — проверять эту подпись при получении.

Совет: используйте ключи длиной не менее 1024 бит, а лучше — 2048. Короткие ключи (например, 512) считаются небезопасными и могут быть взломаны. Если вы решили обновить DKIM-ключ, сначала добавьте новый, начните с ним работать, и только потом удаляйте старый — это поможет избежать проблем с доставкой писем в переходный период.

Чем полезен DKIM

У DKIM сразу два важных преимущества:

Подтверждение подлинности. Получатель (и его почтовый сервис) видят, что письмо действительно пришло с вашего домена. Никто не может подделать подпись без доступа к вашему приватному ключу — значит, письмо настоящее.
Гарантия целостности. Даже если письмо как-то перехватят в пути, изменить его содержание не получится — любая мелочь, даже одна буква, нарушит подпись, и письмо не пройдёт проверку.

Для email-маркетинга это очень важно. Получатели видят, что письма подписаны вашим брендом, и начинают вам больше доверять. А почтовые сервисы (Google, «Яндекс», Mail.ru и другие) учитывают DKIM-подпись при оценке вашей репутации как отправителя. Чем чаще вы отправляете подписанные и валидные письма — тем лучше репутация вашего домена.

Как правильно настроить емейл-маркетинг? Читайте в статье.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC — это механизм, который отвечает за то, как обрабатываются письма, отправленные от имени вашего домена. Он работает в связке с SPF и DKIM и задаёт правила, по которым почтовые службы решают, доверять письму или нет.

Как работает DMARC Когда приходит емайл от вашего домена, почтовый сервис проверяет:

1. Прошёл ли емейл проверку SPF или DKIM.

2. Совпадает ли домен в поле «От кого» (From) с доменом, который использовался в этих проверках.

Если всё в порядке — емейл считается подлинным. Если нет — применяется политика, которую вы указали:

none — ничего не делать, просто присылать отчёты.
quarantine — отправлять подозрительные емейлы в спам.
reject — полностью отклонять такие письма.

Как настроить DMARC

DMARC настраивается через одну TXT-запись в DNS, например: _dmarc.primer.com TXT "v=DMARC1; p=none; rua=mailto:reports@vashdomain.com"

Что здесь важно:

p=none — пока просто наблюдаем (мониторинг), не блокируем письма.
rua=mailto: — адрес электронной почты, куда будут приходить отчёты (обычно раз в сутки, в виде XML-файлов).

На старте лучше использовать именноnone, чтобы собрать данные и понять, кто и как рассылает письма от вашего имени. А когда вы убедитесь, что все ваши легитимные сервисы проходят проверки, можно усилить политику — сначала до quarantine, а затем и до reject.

Чем полезен DMARC

DMARC — это следующий уровень защиты, который закрывает «дыры» в SPF и DKIM. Например:

Кто-то может использовать разрешённый SPF-сервер, но изменить адрес «От кого».
Или подписать письмо валидной DKIM-подписью чужого домена.

DMARC в таких случаях заметит, что домен в From не совпадает с тем, что прошёл проверку — и применит вашу политику (например, отклонит письмо).

С 2024 года Google (Gmail) и Yahoo требуют, чтобы все домены, с которых отправляется более пяти тысяч писем в день, обязательно имели настроенный DMARC. В противном случае такие письма могут автоматически отклоняться. То есть без DMARC сейчас нельзя всерьёз заниматься массовыми email-рассылками.

Как аутентификация влияет на доставляемость писем

1. Повышает шанс попасть во «Входящие». Письма, у которых правильно настроены SPF, DKIM и DMARC, реже попадают в спам. Почтовые сервисы доверяют таким письмам больше — они проходят фильтры и чаще доходят до получателя. Без аутентификации электронная почта наверняка окажется в спаме.

2. Улучшает репутацию домена. Почтовые провайдеры следят за историей отправки: сколько спама, сколько жалоб, сколько открытий. Чем чаще вы отправляете аутентифицированные письма, тем выше доверие к вашему домену. А чем выше репутация — тем лояльнее к вам фильтры.

3. Помогает избежать блокировок. Крупные почтовики, вроде Gmail и Yahoo, с 2024 года требуют обязательной аутентификации (минимум SPF или DKIM). Без этого эл.почта может просто не доходить. Если у вас указан чужой домен в From — тоже повод для автоматического отклонения.

4. Защищает от отказов на уровне сервера. Некоторые почтовые системы блокируют письма ещё до их попадания в ящик, если они не проходят SPF или нарушают политику DMARC. Это влияет на общую доставку и может стоить вам части аудитории.

5. Даёт отчётность и контроль. DMARC позволяет получать отчёты о том, кто и откуда рассылает письма от вашего имени. Вы сможете вовремя заметить ошибки в настройках или попытки подделки и быстро их исправить.

Как работает аутентификация в Altcraft

Если вы отправляете рассылки через Altcraft, важно правильно подключить свой домен. Altcraft помогает настроить емейл-аутентификацию пошагово: после добавления домена вы получите список DNS-записей, которые нужно прописать у себя на хостинге. Это займёт буквально 10-15 минут.

Что именно нужно сделать:

SPF. Altcraft попросит добавить в вашу существующую SPF-запись строчку include:spf.aksend.net. Это нужно, чтобы серверы имели право отправлять письма от вашего имени. Если SPF уже есть — просто допишите эту часть. Главное — не создавать вторую запись, SPF должен быть один.
DKIM. Платформа сгенерирует для вас уникальный DKIM-ключ — это подпись, которая подтверждает, что письмо действительно от вас и не было изменено. Вы получите два значения:

1. Основная DKIM-запись с публичным ключом (в поддомене ak._domainkey)

2. Дополнительная запись-политика, которая говорит, что все письма должны быть подписаны

Эти записи тоже добавляются в DNS.

DMARC. Это последняя ступень защиты. Рекомендуется сразу указать строгую политику p=reject, чтобы любые сомнительные письма от имени вашего домена автоматически блокировались. Также указываете email, на который будут приходить отчёты.

Что это даёт

Когда все записи внесены, письма от вашего домена начинают проходить проверку по всем правилам:

не попадают в спам,
подписываются как положено,
не могут быть подделаны другими.

Заключение

Email-аутентификация — это уже стандарт, без которого невозможно представить профессиональную рассылку. Сегодня письма без SPF, DKIM и DMARC воспринимаются как подозрительные: почтовые сервисы не доверяют им, а пользователи просто не видят их во «Входящих».

Но всё это несложно настраивается. Особенно если вы используете такие платформы, как Altcraft — они берут на себя техническую часть и дают понятные инструкции. В результате вы экономите время, избегаете ошибок и можете быть уверены, что письма действительно доходят до получателей.

Подписывайтесь на наш Telegram-канал. Там вы найдёте самые интересные тренды и новости в сфере digital-маркетинга и технологий. Будьте в теме вместе с нами!