SPF: как правильно настраивается и зачем нужна

SPF-запись (на английском — Sender Policy Framework record) — это специальная запись в DNS, в которой перечислены серверы и IP-адреса, имеющие право отправлять письма от имени вашего домена. Проще говоря, с её помощью почтовые сервисы определяют, какие отправители действительно имеют право рассылать письма от вашего имени.

Пример SPF-записи

Зачем нужна SPF-запись

Сегодня большинство фишинговых атак происходит за счёт подделки адреса отправителя. Злоумышленники указывают в письме чужой домен, хотя на самом деле отправляют его со своих серверов. В итоге настоящие владельцы доменов страдают: их репутация падает, письма начинают блокироваться или попадать в «Спам», а компаниям приходится доказывать, что они тут ни при чём.

SPF-запись нужна именно для того, чтобы предотвратить подобные проблемы. Это своего рода публичный список разрешённых серверов, которым позволено отправлять почту от имени вашего домена. Почтовые сервисы при получении письма обращаются к этой записи и проверяют, является ли отправитель официальным.

Корректная SPF-запись даёт сразу несколько важных преимуществ:

• Защита от спуфинга и фишинга. Почтовые системы выявляют и отклоняют поддельные письма, якобы отправленные от вашего имени.

• Повышение доставляемости писем. Домены с корректной SPF-записью вызывают больше доверия у почтовиков. Их письма реже попадают в спам и чаще оказываются в папке «Входящие».

Настройка SPF вместе с DKIM существенно увеличивает шансы на успешную доставку писем. А вот отсутствие SPF-записи или её ошибки, наоборот, могут стать причиной блокировки или понижения приоритета доставки.

• Сохранение репутации вашего бренда. Если SPF-запись настроена правильно и запрещает отправку неавторизованным серверам (через -all), мошенникам будет намного сложнее отправлять спам от вашего имени.

Стоит помнить, что до 95% всех кибератак начинаются именно с фишинговых писем. Поэтому важно использовать все доступные средства защиты, и настройка SPF — один из самых простых и эффективных способов повысить безопасность.

Как работает SPF-проверка

При отправке письма сервер или сервис рассылки прописывает в заголовках домен, от имени которого идёт отправка. Почтовый сервер получателя при приёме письма делает запрос к DNS и ищет специальную TXT-запись с настройками SPF — она всегда начинается с v=spf1.

Эта запись задаёт перечень серверов и IP-адресов, имеющих право отправлять электронные письма от вашего домена. Сервер-получатель сравнивает IP отправителя с этим списком и принимает решение:

• PASS — IP найден в списке, письмо проходит проверку.
• FAIL — IP не разрешён, письмо отклоняется или попадает в спам (если политика SPF жёсткая, через -all).
• SOFTFAIL — IP не найден, но политика мягкая (~all), письмо обычно попадает в спам, но не блокируется сразу.
• NEUTRAL — политика ?all, получатель не делает выводов, доверять письму или нет.
• NONE — у домена нет SPF-записи, проверять нечего — самый рискованный вариант.

Любая SPF-запись заканчивается правилом all, которое задаёт, что делать с емейлами от неизвестных источников. Самые безопасные варианты — -all (строгий запрет) или ~all (мягкий запрет). Категорически нельзя использовать +all — это как разрешить отправку кому угодно, что полностью сводит SPF на нет и открывает дверь для спуфинга.

Важно помнить: SPF проверяет домен отправителя, указанный в техническом адресе обратной связи (Return-Path), а не в поле «От». Он не подписывает письмо и не шифрует его — этим занимается DKIM. Вместе с DMARC все три технологии обеспечивают максимальную защиту.

Настройка SPF-записи

Вот как настроить SPF-запись:

1. Определите все источники отправки писем. Составьте список всех серверов и сервисов, которые рассылают почту от вашего домена.

2. Сформируйте SPF-запись. Начинайте с v=spf1, затем укажите:

• ip4 или ip6, если у вас есть конкретные IP-адреса;
• a или mx, если хотите разрешить отправку с IP вашего сайта или почтового сервера;
• include, если подключаете сторонние сервисы. Например: include:_spf.google.com для Google или include:spf.aksend.net для платформы Altcraft.

В конце добавьте политику -all (запретить всё остальное) или ~all (мягкий режим для тестирования).

3. В настройках DNS домена добавьте новую TXT-запись (для корня домена обычно используется символ @) и укажите в ней вашу SPF-строку. В большинстве случаев кавычки вставляются системой автоматически.

4. Убедитесь, что для домена существует только одна SPF-запись, начинающаяся с v=spf1. Если в DNS окажется две или больше таких записей, это вызовет ошибки при проверке, и эл. почта не дойдёт до получателей или попадёт в спам. При подключении новых сервисов всегда дополняйте уже существующую запись, а не добавляйте новую отдельно.

5. Проведите проверку настройки. После добавления SPF-записи используйте инструменты вроде nslookup или онлайн-проверки, чтобы убедиться, что запись корректно отображается, не содержит ошибок и включает всех нужных отправителей.

Как проверить SPF-запись

После того как вы добавили или изменили SPF-запись, важно убедиться, что всё работает правильно.

Проверить SPF можно несколькими способами:

1. Через консольные утилиты (nslookup или dig). Откройте терминал и выполните команду: nslookup -type=TXT такойтодомен.com В ответе должна появиться ваша SPF-запись. Проверьте:

• что запись вообще есть (значит, DNS уже обновился);
• что запись только одна — если их несколько, это ошибка;
• что синтаксис правильный: запись начинается с v=spf1, нет лишних кавычек, пробелов или дубликатов.

2. Через онлайн-сервисы. Существует множество бесплатных инструментов для проверки SPF-записей. Введите имя своего домена, и сервис сразу покажет:

• есть ли запись;
• есть ли ошибки в её оформлении;
• не превышен ли лимит DNS-запросов.

Если система выдаёт предупреждение вроде «Multiple SPF records found» или «Too many DNS lookups», нужно скорректировать запись.

3. Через отправку тестового письма. Отправьте письмо с вашего домена на внешний адрес электронной почты (например, Gmail). В правом верхнем углу письма нажмите три точки и выберите «Показать оригинал».

• spf=pass — всё настроено верно;
• spf=fail — есть ошибка, которую нужно устранить.

Частые ошибки при настройке SPF

Наличие нескольких SPF-записей. Для одного домена допустима только одна строка с настройкой v=spf1. Иногда появляется несколько SPF-записей — например, когда при подключении новых сервисов старую запись не редактируют, а создают новую. В таком случае проверка SPF может не сработать вообще, и почтовые системы начнут отправлять письма в спам.

Что делать: оставляйте одну запись, в которую включены все разрешённые источники. Если записей уже несколько, их нужно объединить.

Превышение лимита DNS-запросов. По правилам SPF нельзя делать больше десяти DNS-запросов при проверке одной записи. А каждый include, a, mx, ptr и exists создаёт отдельный запрос. Если вы добавляете слишком много сторонних сервисов, лимит легко превысить. В таком случае SPF-проверка выдаст ошибку PermError, а письма будут блокироваться.

Что делать: сокращайте количество include, удаляйте неиспользуемые сервисы, а при необходимости — используйте технику «SPF flattening» (разворачивание всех IP-адресов в один список). Но с ней тоже стоит быть аккуратным, чтобы не сделать запись слишком громоздкой.

Ошибки в синтаксисе. SPF чувствителен к мелочам: пропущенные двоеточия, лишние пробелы, неправильные доменные имена, запятые вместо пробелов — всё это поломает проверку.

Что делать: после каждой правки обязательно проверяйте запись через валидатор SPF.

Использование +all. Иногда в спешке или для тестирования в SPF ставят +all, что разрешает отправлять письма абсолютно всем. Это полностью обесценивает SPF и делает ваш домен лёгкой мишенью для спамеров.

Что делать:всегда ограничивайте отправку только доверенными адресами. Заканчивайте запись на -all или, если тестируете, на ~all.

Проблемы при пересылке писем. Если письмо пересылается через другой сервер, SPF может не пройти проверку, потому что фактический отправитель меняется.

Что делать: правильно настраивать DKIM-подпись и использовать механизмы вроде SRS (Sender Rewriting Scheme), чтобы сохранить аутентификацию при пересылке.

Заключение

SPF-запись — это один из базовых элементов защиты электронной почты. SPF снижает риск подделки писем и укрепляет репутацию домена в глазах почтовых сервисов.

Важно понимать, что SPF — это лишь часть общей системы защиты. В связке с DKIM (подпись писем) и DMARC (политика обработки подозрительных сообщений) он защищает ваши письма и поддерживает высокую доставляемость.

В мире email-маркетинга, где на кону результаты кампаний и репутация бренда, игнорировать SPF — значит рисковать слишком многим. С SPF вы будете уверены: письма с вашего домена доходят до адресатов, а спамеры не могут использовать ваше имя незаметно.

Подписывайтесь на наш Telegram-канал. Там вы найдёте самые интересные тренды и новости в сфере digital-маркетинга и технологий. Будьте в теме вместе с нами!