Что такое СПФ?

SPF (Sender Policy Framework) — это запись DNS, которая определяет, какие почтовые серверы имеют право отправлять электронные письма от имени вашего домена.

Как добавить запись SPF в DNS?

Войдите в систему своего DNS-провайдера, добавьте новую запись TXT и вставьте сгенерированное значение записи SPF. Изменения обычно вступают в силу в течение 24–48 часов.

Могу ли я иметь несколько записей SPF?

Нет, у вас может быть только одна запись SPF для каждого домена. Если вам нужно несколько включений, добавьте их все в одну запись SPF.

Что означает механизм «все» в SPF?

«~all» — это программный сбой, который сообщает почтовым серверам принимать почту, даже если она слегка не проходит проверку SPF. Используйте «-all» для строгого отклонения неавторизованных отправителей.

Генератор SPF-записей

Создайте DNS-записи SPF для вашего домена с помощью нашего бесплатного пошагового мастера.

Введите ваш домен

Начните с ввода домена, для которого вы хотите создать SPF-запись.

Доменное имя *

Что такое SPF?

SPF (Sender Policy Framework) — это протокол аутентификации электронной почты, определенный в RFC 7208. Он работает путем публикации DNS-записи типа TXT для вашего домена, в которой перечислены все IP-адреса или имена хостов, которым разрешено отправлять почту «от имени» этого домена. Когда принимающий почтовый сервер получает сообщение, якобы отправленное вами, он запрашивает ваш DNS, чтобы проверить, входит ли IP-адрес отправителя в ваш список разрешенных.

Без SPF любой может подделать обратный путь (envelope From) письма и сделать так, чтобы оно выглядело как отправленное с вашего домена — этот прием часто используется в фишинговых и спам-кампаниях.

Зачем вам нужен SPF?

1Предотвращение спуфинга

Останавливает злоумышленников, подделывающих ваш домен в качестве адреса отправителя

2Улучшение доставляемости

Принимающие серверы доверяют авторизованным отправителям и снижают показатели спама

3Необходим для DMARC

SPF — один из двух механизмов, на которые опирается DMARC для проверки соответствия (alignment)

4Защита репутации

Неавторизованные отправители не смогут испортить репутацию вашего домена

Как работает SPF — пошагово

Вы публикуете TXT-запись в `_your-domain.com`, перечисляя авторизованные IP и включения (includes).

Ваш почтовый сервер отправляет письмо; адрес конверта «From» содержит ваш домен.

Принимающий сервер извлекает IP отправителя и домен из конверта From.

Он запрашивает вашу DNS-запись SPF и проверяет, указан ли в ней IP отправителя.

Результат: `pass`, `fail`, `softfail`, `neutral` или `permerror` — используется для принятия решения о фильтрации спама.

Синтаксис записи SPF

Пример DNS TXT записи

v=spf1 ip4:203.0.113.10 include:_spf.google.com include:sendgrid.net -all

Разбор механизмов

v=spf1— версия, всегда в начале

ip4:— авторизация IPv4-адреса/диапазона

ip6:— авторизация IPv6-адреса/диапазона

include:— наследование SPF другого домена

a— авторизация IP-адреса из A-записи домена

mx— авторизация MX-серверов домена

redirect=— делегирование полному SPF другого домена

Квалификаторы (префикс перед каждым механизмом)

+ (по умолчанию)Pass — авторизовано

-Fail — отклонять неавторизованных отправителей

~SoftFail — пометить как подозрительное, но не отклонять

?Neutral — никаких утверждений

Частые ошибки SPF и их решения

Слишком много DNS-запросов

«Разгладьте» (flatten) вашу запись SPF, заменив includes на чистые IP-адреса, или используйте сервис SPF flattening

Отсутствует сервис рассылки

Добавьте тег include: вашего сервиса (например, Mailchimp, Zendesk) в запись SPF

Несколько записей SPF

Разрешена только ОДНА TXT-запись, начинающаяся с v=spf1 — объедините их в одну

Пересланные письма (Forwarding)

SPF ломается при пересылке, так как IP сервера пересылки нет в вашем списке — это решает DKIM

Часто задаваемые вопросы

Перечислите все сервисы отправки через 'include' и завершите запись механизмом ~all или -all.

Используйте 'ip4:' или 'ip6:'. Это не тратит лимит DNS-запросов.

v=spf1, include, ip4, a, mx.

Для своих серверов лучше ip4 (быстрее), для сторонних — include.

Просто перечислите их: v=spf1 include:_spf.google.com include:sendgrid.net ~all