Как часто мне следует проверять свою запись SPF?

Проверяйте свою запись SPF всякий раз, когда вы вносите изменения в настройки электронной почты, добавляете новых поставщиков или устраняете проблемы с доставкой.

Почему моя запись SPF не найдена?

Убедитесь, что доменное имя правильное и распространено. Изменения DNS могут занять до 48 часов. Убедитесь, что записи опубликованы у вашего DNS-провайдера.

Могу ли я проверить записи SPF других доменов?

Да, наш чекер работает с любым доменом. Это помогает проверить настройки конкурентов и понять лучшие практики аутентификации электронной почты.

Что означает механизм «все» в SPF?

«~all» — это механизм softfail, который сообщает почтовым серверам принимать почту, даже если она немного не проходит проверку SPF. Используйте «-all» для строгого отклонения неавторизованных отправителей.

Проверьте вашу SPF-запись

Бесплатно проверьте свою DNS-запись SPF (Sender Policy Framework). Убедитесь, что ваш домен авторизован для отправки электронных писем.

Что такое SPF?

SPF (Sender Policy Framework) — это протокол аутентификации электронной почты, определенный в RFC 7208. Он работает путем публикации DNS-записи типа TXT для вашего домена, в которой перечислены все IP-адреса или имена хостов, которым разрешено отправлять почту «от имени» этого домена. Когда принимающий почтовый сервер получает сообщение, якобы отправленное вами, он запрашивает ваш DNS, чтобы проверить, входит ли IP-адрес отправителя в ваш список разрешенных.

Без SPF любой может подделать обратный путь (envelope From) письма и сделать так, чтобы оно выглядело как отправленное с вашего домена — этот прием часто используется в фишинговых и спам-кампаниях.

Зачем вам нужен SPF?

1Предотвращение спуфинга

Останавливает злоумышленников, подделывающих ваш домен в качестве адреса отправителя

2Улучшение доставляемости

Принимающие серверы доверяют авторизованным отправителям и снижают показатели спама

3Необходим для DMARC

SPF — один из двух механизмов, на которые опирается DMARC для проверки соответствия (alignment)

4Защита репутации

Неавторизованные отправители не смогут испортить репутацию вашего домена

Как работает SPF — пошагово

Вы публикуете TXT-запись в `_your-domain.com`, перечисляя авторизованные IP и включения (includes).

Ваш почтовый сервер отправляет письмо; адрес конверта «From» содержит ваш домен.

Принимающий сервер извлекает IP отправителя и домен из конверта From.

Он запрашивает вашу DNS-запись SPF и проверяет, указан ли в ней IP отправителя.

Результат: `pass`, `fail`, `softfail`, `neutral` или `permerror` — используется для принятия решения о фильтрации спама.

Синтаксис записи SPF

Пример DNS TXT записи

v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net -all

Разбор механизмов

v=spf1— версия, всегда в начале

ip4:— авторизация IPv4-адреса/диапазона

ip6:— авторизация IPv6-адреса/диапазона

include:— наследование SPF другого домена

a— авторизация IP-адреса из A-записи домена

mx— авторизация MX-серверов домена

redirect=— делегирование полному SPF другого домена

Квалификаторы (префикс перед каждым механизмом)

+ (по умолчанию)Pass — авторизовано

-Fail — отклонять неавторизованных отправителей

~SoftFail — пометить как подозрительное, но не отклонять

?Neutral — никаких утверждений

Частые ошибки SPF и их решения

Слишком много DNS-запросов

«Разгладьте» (flatten) вашу запись SPF, заменив includes на чистые IP-адреса, или используйте сервис SPF flattening

Отсутствует сервис рассылки

Добавьте тег include: вашего сервиса (например, Mailchimp, Zendesk) в запись SPF

Несколько записей SPF

Разрешена только ОДНА TXT-запись, начинающаяся с v=spf1 — объедините их в одну

Пересланные письма (Forwarding)

SPF ломается при пересылке, так как IP сервера пересылки нет в вашем списке — это решает DKIM

Часто задаваемые вопросы

Запись TXT в DNS, содержащая список IP-адресов, которым разрешено отправлять почту от имени вашего домена.

Для защиты серверов лимит проверок ограничен 10. Превышение ведет к ошибке PermError. Используйте IP вместо имен хостов для оптимизации.

'~all' (мягкий отказ) помечает письмо как подозрительное, '-all' (жесткий отказ) требует от сервера отклонить письмо.

Из-за синтаксических ошибок, наличия нескольких записей SPF или превышения лимита в 10 запросов.

Нет, должна быть только одна запись 'v=spf1'. Несколько записей приведут к автоматическому сбою аутентификации.

Нет, он проверяет технический адрес Return-Path. Для защиты видимого адреса 'От' нужен DMARC.