Корпоративна пошта може працювати без помилок на перший погляд: листи відправляються, клієнти відповідають, повідомлення надходять у поштову скриньку. Але частина листів при цьому потрапляє у спам, а шахраї можуть підробляти адресу відправника та розсилати повідомлення від імені вашого домену.
Для захисту використовуються три DNS-механізми: SPF, DKIM і DMARC. Вони виконують різні завдання, але найкращий результат дають лише разом.
Коротка відповідь
SPF визначає сервери, яким дозволено надсилати листи від імені домену. DKIM додає до повідомлення цифровий підпис. DMARC перевіряє результати SPF і DKIM та вказує поштовим сервісам, що робити з підозрілими листами.
Безпечна схема впровадження виглядає так:
- зібрати список усіх сервісів, які надсилають пошту;
- налаштувати SPF;
- увімкнути DKIM;
- додати DMARC у режимі моніторингу;
- перевірити звіти;
- поступово посилити політику DMARC.
Навіщо домену поштовий захист
Звичайна адреса на кшталт sales@example.com сама по собі не доводить, що лист дійсно був надісланий із серверів компанії. Поле відправника технічно можна підробити.
Через це виникають дві основні проблеми:
- легальні листи компанії потрапляють у спам;
- зловмисники використовують домен для фішингу та шахрайських розсилок.
SPF, DKIM і DMARC допомагають поштовим сервісам відрізняти справжні повідомлення від підроблених.
Як працюють SPF, DKIM і DMARC разом
| Механізм | Що перевіряє | Головне завдання |
|---|---|---|
| SPF | IP-адресу або сервер відправника | Дозволити відправлення лише визначеним сервісам |
| DKIM | Цифровий підпис повідомлення | Підтвердити автентичність і цілісність листа |
| DMARC | Результати SPF, DKIM та відповідність доменів | Визначити політику для підозрілих повідомлень |
Один SPF не забезпечує повного захисту. DKIM також не вирішує всі проблеми окремо. DMARC об’єднує результати перевірок і дозволяє власнику домену контролювати політику обробки листів.
Що потрібно підготувати перед налаштуванням
Перед внесенням DNS-записів складіть перелік усіх систем, які можуть надсилати пошту від імені вашого домену.
Це можуть бути:
- поштовий сервіс компанії;
- форма зворотного зв’язку на сайті;
- CRM;
- сервіс email-маркетингу;
- система рахунків або повідомлень;
- інтернет-магазин;
- служба підтримки;
- сторонній SMTP-сервіс.
Якщо забути хоча б один легальний сервіс, його листи можуть не проходити перевірку.
Крок 1. Налаштування SPF
SPF публікується у DNS як TXT-запис. Він перелічує джерела, яким дозволено надсилати пошту від імені домену.
Спрощений приклад:
v=spf1 include:mail-service.example ~all
У цьому записі:
- v=spf1 — версія SPF;
- include — дозвіл серверам конкретного поштового сервісу;
- ~all — м’яке позначення інших джерел як підозрілих.
Головне правило SPF
Для одного домену повинен існувати лише один SPF-запис. Якщо різні сервіси надали окремі записи, їх потрібно об’єднати в один.
Неправильно:
v=spf1 include:service-one.example ~all
v=spf1 include:service-two.example ~all
Правильно:
v=spf1 include:service-one.example include:service-two.example ~all
Що означають завершальні механізми
| Механізм | Значення | Коли використовувати |
|---|---|---|
| ~all | SoftFail | Під час початкового налаштування та тестування |
| -all | Fail | Коли всі легальні джерела вже точно враховані |
| ?all | Neutral | Майже не дає захисту |
| +all | Дозволяє всім | Не рекомендується |
Не варто одразу переходити на жорсткий варіант -all, якщо ви не впевнені, що внесли всі сервіси.
Крок 2. Налаштування DKIM
DKIM використовує пару криптографічних ключів. Приватний ключ зберігається у поштовому сервісі, а відкритий публікується у DNS.
Під час відправлення сервер додає до листа цифровий підпис. Одержувач знаходить відкритий ключ у DNS і перевіряє, чи не було повідомлення змінено.
Де взяти DKIM-запис
DKIM зазвичай генерується у панелі вашого поштового провайдера або хостингу. Сервіс надає:
- ім’я DNS-запису;
- тип запису TXT або CNAME;
- значення ключа;
- селектор DKIM.
Приклад імені:
selector1._domainkey.example.com
Селектор дозволяє використовувати кілька DKIM-ключів для різних сервісів або поступово замінювати старі ключі.
Типові помилки DKIM
- неправильно скопійоване значення ключа;
- зайві лапки або пробіли;
- дублювання домену панеллю DNS;
- використання запису не для того селектора;
- DKIM створено у DNS, але не активовано в поштовій панелі.
Крок 3. Додавання DMARC
DMARC також створюється як TXT-запис, але завжди для спеціального піддомену:
_dmarc.example.com
Безпечний початковий приклад:
v=DMARC1; p=none; rua=mailto:dmarc@example.com; pct=100
Тут:
- v=DMARC1 — версія протоколу;
- p=none — режим моніторингу без блокування;
- rua — адреса для агрегованих звітів;
- pct=100 — політика застосовується до всіх листів.
Три режими DMARC
| Політика | Що відбувається | Рекомендація |
|---|---|---|
| p=none | Листи лише перевіряються, але не блокуються | Початкове впровадження |
| p=quarantine | Підозрілі листи можуть потрапляти у спам | Після аналізу звітів |
| p=reject | Підозрілі листи відхиляються | Після повної перевірки всіх джерел |
Найбезпечніше починати з p=none. Після кількох тижнів моніторингу можна перейти на quarantine, а потім — на reject.
Що таке вирівнювання доменів
DMARC перевіряє не лише технічне проходження SPF або DKIM. Важливо, щоб домен, який бачить користувач у полі «Від кого», відповідав домену, перевіреному SPF або DKIM.
Це називається alignment — вирівнювання доменів.
Через відсутність вирівнювання лист може пройти SPF, але не пройти DMARC. Таке часто трапляється під час використання сторонніх сервісів розсилки без правильно налаштованого домену відправника.
Покрокова схема безпечного впровадження
- Зберіть усі джерела відправлення пошти.
- Перевірте наявний SPF-запис.
- Об’єднайте дозволені джерела в один SPF.
- Активуйте DKIM для кожного поштового сервісу.
- Додайте DMARC з політикою p=none.
- Перевірте тестові листи.
- Проаналізуйте DMARC-звіти.
- Усуньте невідомі або неправильно налаштовані джерела.
- Перейдіть на p=quarantine.
- Після перевірки використовуйте p=reject.
Як перевірити налаштування
Після оновлення DNS зачекайте, поки зміни поширяться, а потім перевірте домен через спеціальні аналізатори SPF, DKIM і DMARC.
Додатково надішліть тестовий лист і перегляньте технічні заголовки повідомлення. У результатах повинні з’явитися статуси:
- SPF: pass;
- DKIM: pass;
- DMARC: pass.
Один успішний тест ще не гарантує, що правильно працюють усі сервіси. Перевіряйте окремо листи з CRM, сайту, служби підтримки та системи розсилок.
Типові помилки під час налаштування
Кілька SPF-записів
Це одна з найчастіших причин помилок. Усі правила потрібно об’єднувати в один TXT-запис.
Забутий сервіс відправлення
Наприклад, корпоративна пошта врахована, а сайт надсилає листи через окремий SMTP-сервер.
Жорстка DMARC-політика відразу
У такому випадку частина легальних повідомлень може бути відхилена.
Форма сайту використовує адресу відвідувача як From
Це часто порушує DMARC. Адресу користувача краще передавати у полі Reply-To, а відправником встановлювати адресу вашого домену.
Відсутність аналізу звітів
Створити p=none і забути про нього недостатньо. Сенс режиму моніторингу полягає саме в аналізі джерел.
Коли SPF, DKIM і DMARC не вирішать проблему
Ці механізми не гарантують автоматичного потрапляння у вхідні. На доставку також впливають:
- репутація IP-адреси;
- вміст листа;
- кількість скарг;
- частота розсилок;
- наявність підозрілих посилань;
- технічний стан поштового сервера.
Якщо всі перевірки проходять успішно, але листи продовжують потрапляти у спам, потрібно аналізувати репутацію відправника та структуру розсилки.
Сигнали, що налаштування потрібно перевірити
- корпоративні листи регулярно потрапляють у спам;
- клієнти отримують підроблені повідомлення від вашого домену;
- після підключення нового сервісу впала доставка;
- у технічних заголовках видно SPF, DKIM або DMARC fail;
- частина форм із сайту перестала надсилати повідомлення;
- DMARC-звіти показують невідомі джерела.
Практичний чек-лист
- Створено один SPF-запис.
- Враховано всі легальні сервіси.
- DKIM активовано для кожного джерела.
- DMARC спочатку працює у режимі p=none.
- Налаштована адреса для звітів.
- Перевірено вирівнювання доменів.
- Тестові листи проходять SPF, DKIM і DMARC.
- Політика посилюється лише після аналізу.
FAQ
Чи можна використовувати тільки SPF?
Можна, але цього недостатньо для повноцінного захисту. Найкращий результат дає спільне використання SPF, DKIM і DMARC.
Чи потрібно налаштовувати записи, якщо пошта працює через хостинг?
Так. Потрібно перевірити, чи хостинг створив коректні SPF і DKIM-записи, а DMARC зазвичай налаштовується власником домену окремо.
Чому не можна одразу встановити p=reject?
Якщо не враховано хоча б один легальний сервіс, його листи можуть бути відхилені. Спочатку варто використати режим моніторингу.
Чи захищає DMARC поштову скриньку від злому?
Ні. DMARC захищає домен від підміни, але не замінює складні паролі, двофакторну авторизацію та контроль доступу.
Чи потрібен окремий DMARC-запис для кожної поштової скриньки?
Ні. Запис створюється для домену, а не для кожної адреси окремо.
Що читати далі
Після налаштування поштової автентифікації варто перевірити, як захистити сайт від DDoS-атак, налаштувати резервне копіювання сайту та переконатися, що використовується безпечне з’єднання замість звичайного FTP.
Якщо повідомлення з форм не надходять, окремо перевірте причини, через які не працює відправлення листів із сайту.
Висновок
SPF, DKIM і DMARC — це не три взаємозамінні записи, а послідовна система захисту корпоративної пошти.
SPF контролює дозволені сервери, DKIM підтверджує справжність повідомлення, а DMARC визначає політику для листів, які не пройшли перевірку.
Правильний підхід — не копіювати випадкові записи з інтернету, а врахувати всі реальні джерела пошти, почати з моніторингу та поступово посилювати політику. Так можна покращити доставку легальних листів і одночасно ускладнити підміну домену шахраями.