Email-аутентификация: что это и как настроить
Зачем нужна email-аутентификация
Преимущество | Что даёт | Почему это важно |
---|---|---|
Защита от мошенников | Злоумышленники не смогут отправлять письма от вашего имени | Снижается риск фишинга и подделки писем |
Повышение доставляемости | Письма чаще попадают во «Входящие» | Увеличивается открываемость и отклик |
Улучшение репутации домена | Почтовые сервисы начинают доверять вашему домену | Эффективность будущих рассылок растёт |
Доступ к аналитике | Открывается доступ к инструментам постмастеров | Можно отслеживать ошибки доставки и жалобы на спам |
Основные протоколы аутентификации: SPF, DKIM, DMARC
Суть email-аутентификации сводится к трём основным технологиям, которые настраиваются через DNS-записи домена. Это SPF, DKIM и DMARC — стандарты, которые подтверждают, что ваш домен действительно имеет право отправлять письма. Они также дают почтовым сервисам инструкции, как поступать с письмами, которые не проходят проверку.
SPF (Sender Policy Framework)
Когда кто-то получает емейл якобы от вашего домена, почтовый сервер сверяет IP-адрес отправителя письма с этим списком. Если IP не найден, сообщение будет отклонено или попадёт в спам — система сочтёт его подозрительным.
v=spf1
, а дальше идёт перечень допустимых серверов. Пример: primer.com TXT "v=spf1 include:spf.ваш_сервис.com -all"include:spf.ваш_сервис.com
подключает список серверов рассылочного сервиса, который вы используете. А -all
в конце означает, что любые другие серверы — не из этого списка — отправлять почту не имеют права.
Если вы используете платформу Altcraft, рекомендуется добавить include:spf.aksend.net
— это её собственный список серверов для рассылки. include:
к уже существующему списку. Не создавайте отдельную запись с v=spf1
.
Также обращайте внимание на формат записи: не вставляйте лишние кавычки вручную — они нужны только для отображения, а не для хранения в DNS.
Если ваш домен защищён SPF-записью, злоумышленникам будет труднее отправить письма от вашего имени. Плюс, SPF даёт обратную связь: если письмо не доставлено, вы получите уведомление (если настроен Return-Path). Это помогает быстрее реагировать на проблемы.
Однако стоит понимать, что SPF — это только один из слоёв защиты. Например, если письмо пересылается через другой сервер (форвард), SPF может не пройти. Именно поэтому его всегда используют в связке с DKIM и DMARC — вместе они дают комплексную проверку подлинности письма.
DKIM (DomainKeys Identified Mail)
Когда вы отправляете письмо, сервис рассылки или ваш почтовый сервер подписывает его специальной криптографической подписью. Эту подпись система создаёт с помощью приватного ключа.
Когда письмо приходит на сервер получателя, система обращается к DNS-записям домена отправителя, чтобы найти открытый ключ. С его помощью она проверяет, совпадает ли цифровая подпись с данными в письме и указанным доменом. Если проверка проходит успешно — письмо считается достоверным. В противном случае оно признаётся подозрительным и отправляется в спам.
Чтобы всё это работало, нужно:
ak
— это и есть селектор, то есть имя ключа. Он может быть любым: mail
, default
, dkim1
и так далее. Например, у Altcraft используется селектор ak
— он идёт в комплекте с остальными настройками домена при подключении.o=-
, что означает: все письма должны быть подписаны).Как только вы добавите DKIM-запись в DNS и она начнёт работать, сервис будет автоматически подписывать письма, а почтовые системы — проверять эту подпись при получении.
У DKIM сразу два важных преимущества:
- Подтверждение подлинности. Получатель (и его почтовый сервис) видят, что письмо действительно пришло с вашего домена. Никто не может подделать подпись без доступа к вашему приватному ключу — значит, письмо настоящее.
- Гарантия целостности. Даже если письмо как-то перехватят в пути, изменить его содержание не получится — любая мелочь, даже одна буква, нарушит подпись, и письмо не пройдёт проверку.
Для email-маркетинга это очень важно. Получатели видят, что письма подписаны вашим брендом, и начинают вам больше доверять. А почтовые сервисы (Google, «Яндекс», Mail.ru и другие) учитывают DKIM-подпись при оценке вашей репутации как отправителя. Чем чаще вы отправляете подписанные и валидные письма — тем лучше репутация вашего домена.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
Если всё в порядке — емейл считается подлинным. Если нет — применяется политика, которую вы указали:
none
— ничего не делать, просто присылать отчёты.quarantine
— отправлять подозрительные емейлы в спам.reject
— полностью отклонять такие письма.
Что здесь важно:
p=none
— пока просто наблюдаем (мониторинг), не блокируем письма.rua=mailto:
— адрес электронной почты, куда будут приходить отчёты (обычно раз в сутки, в виде XML-файлов).
none
, чтобы собрать данные и понять, кто и как рассылает письма от вашего имени. А когда вы убедитесь, что все ваши легитимные сервисы проходят проверки, можно усилить политику — сначала до quarantine
, а затем и до reject
.DMARC — это следующий уровень защиты, который закрывает «дыры» в SPF и DKIM. Например:
- Кто-то может использовать разрешённый SPF-сервер, но изменить адрес «От кого».
- Или подписать письмо валидной DKIM-подписью чужого домена.
DMARC в таких случаях заметит, что домен в From не совпадает с тем, что прошёл проверку — и применит вашу политику (например, отклонит письмо).
С 2024 года Google (Gmail) и Yahoo требуют, чтобы все домены, с которых отправляется более пяти тысяч писем в день, обязательно имели настроенный DMARC. В противном случае такие письма могут автоматически отклоняться. То есть без DMARC сейчас нельзя всерьёз заниматься массовыми email-рассылками.
Как аутентификация влияет на доставляемость писем
Как работает аутентификация в Altcraft
- SPF. Altcraft попросит добавить в вашу существующую SPF-запись строчку
include:spf.aksend.net
. Это нужно, чтобы серверы имели право отправлять письма от вашего имени. Если SPF уже есть — просто допишите эту часть. Главное — не создавать вторую запись, SPF должен быть один. - DKIM. Платформа сгенерирует для вас уникальный DKIM-ключ — это подпись, которая подтверждает, что письмо действительно от вас и не было изменено. Вы получите два значения:
ak._domainkey
)Эти записи тоже добавляются в DNS.
- DMARC. Это последняя ступень защиты. Рекомендуется сразу указать строгую политику
p=reject
, чтобы любые сомнительные письма от имени вашего домена автоматически блокировались. Также указываете email, на который будут приходить отчёты.
Когда все записи внесены, письма от вашего домена начинают проходить проверку по всем правилам:
- не попадают в спам,
- подписываются как положено,
- не могут быть подделаны другими.
Заключение
Email-аутентификация — это уже стандарт, без которого невозможно представить профессиональную рассылку. Сегодня письма без SPF, DKIM и DMARC воспринимаются как подозрительные: почтовые сервисы не доверяют им, а пользователи просто не видят их во «Входящих».
Но всё это несложно настраивается. Особенно если вы используете такие платформы, как Altcraft — они берут на себя техническую часть и дают понятные инструкции. В результате вы экономите время, избегаете ошибок и можете быть уверены, что письма действительно доходят до получателей.