SPF: как правильно настраивается и зачем нужна
Зачем нужна SPF-запись
Сегодня большинство фишинговых атак происходит за счёт подделки адреса отправителя. Злоумышленники указывают в письме чужой домен, хотя на самом деле отправляют его со своих серверов. В итоге настоящие владельцы доменов страдают: их репутация падает, письма начинают блокироваться или попадать в «Спам», а компаниям приходится доказывать, что они тут ни при чём.
SPF-запись нужна именно для того, чтобы предотвратить подобные проблемы. Это своего рода публичный список разрешённых серверов, которым позволено отправлять почту от имени вашего домена. Почтовые сервисы при получении письма обращаются к этой записи и проверяют, является ли отправитель официальным.
Корректная SPF-запись даёт сразу несколько важных преимуществ:
- Защита от спуфинга и фишинга. Почтовые системы выявляют и отклоняют поддельные письма, якобы отправленные от вашего имени.
- Повышение доставляемости писем. Домены с корректной SPF-записью вызывают больше доверия у почтовиков. Их письма реже попадают в спам и чаще оказываются в папке «Входящие».
Настройка SPF вместе с DKIM существенно увеличивает шансы на успешную доставку писем. А вот отсутствие SPF-записи или её ошибки, наоборот, могут стать причиной блокировки или понижения приоритета доставки.
- Сохранение репутации вашего бренда. Если SPF-запись настроена правильно и запрещает отправку неавторизованным серверам (через -all), мошенникам будет намного сложнее отправлять спам от вашего имени.
Как работает SPF-проверка
При отправке письма сервер или сервис рассылки прописывает в заголовках домен, от имени которого идёт отправка. Почтовый сервер получателя при приёме письма делает запрос к DNS и ищет специальную TXT-запись с настройками SPF — она всегда начинается с v=spf1.
Эта запись задаёт перечень серверов и IP-адресов, имеющих право отправлять электронные письма от вашего домена. Сервер-получатель сравнивает IP отправителя с этим списком и принимает решение:
- PASS — IP найден в списке, письмо проходит проверку.
- FAIL — IP не разрешён, письмо отклоняется или попадает в спам (если политика SPF жёсткая, через -all).
- SOFTFAIL — IP не найден, но политика мягкая (~all), письмо обычно попадает в спам, но не блокируется сразу.
- NEUTRAL — политика ?all, получатель не делает выводов, доверять письму или нет.
- NONE — у домена нет SPF-записи, проверять нечего — самый рискованный вариант.
Любая SPF-запись заканчивается правилом all, которое задаёт, что делать с емейлами от неизвестных источников. Самые безопасные варианты — -all (строгий запрет) или ~all (мягкий запрет). Категорически нельзя использовать +all — это как разрешить отправку кому угодно, что полностью сводит SPF на нет и открывает дверь для спуфинга.
Важно помнить: SPF проверяет домен отправителя, указанный в техническом адресе обратной связи (Return-Path), а не в поле «От». Он не подписывает письмо и не шифрует его — этим занимается DKIM. Вместе с DMARC все три технологии обеспечивают максимальную защиту.
Настройка SPF-записи
Вот как настроить SPF-запись:
v=spf1
, затем укажите:ip4
илиip6
, если у вас есть конкретные IP-адреса;a
илиmx
, если хотите разрешить отправку с IP вашего сайта или почтового сервера;include
, если подключаете сторонние сервисы. Например:include:_spf.google.com
для Google илиinclude:spf.aksend.net
для платформы Altcraft.
-all
(запретить всё остальное) или ~all
(мягкий режим для тестирования).Как проверить SPF-запись
После того как вы добавили или изменили SPF-запись, важно убедиться, что всё работает правильно.
Проверить SPF можно несколькими способами:
nslookup -type=TXT такойтодомен.com
В ответе должна появиться ваша SPF-запись. Проверьте:- что запись вообще есть (значит, DNS уже обновился);
- что запись только одна — если их несколько, это ошибка;
- что синтаксис правильный: запись начинается с v=spf1, нет лишних кавычек, пробелов или дубликатов.
- есть ли запись;
- есть ли ошибки в её оформлении;
- не превышен ли лимит DNS-запросов.
Если система выдаёт предупреждение вроде «Multiple SPF records found» или «Too many DNS lookups», нужно скорректировать запись.
- spf=pass — всё настроено верно;
- spf=fail — есть ошибка, которую нужно устранить.
Частые ошибки при настройке SPF
Заключение
SPF-запись — это один из базовых элементов защиты электронной почты. SPF снижает риск подделки писем и укрепляет репутацию домена в глазах почтовых сервисов.
Важно понимать, что SPF — это лишь часть общей системы защиты. В связке с DKIM (подпись писем) и DMARC (политика обработки подозрительных сообщений) он защищает ваши письма и поддерживает высокую доставляемость.
В мире email-маркетинга, где на кону результаты кампаний и репутация бренда, игнорировать SPF — значит рисковать слишком многим. С SPF вы будете уверены: письма с вашего домена доходят до адресатов, а спамеры не могут использовать ваше имя незаметно.