SPF, DKIM и DMARC: как защитить почтовый домен от спуфинга

Зачем нужна защита почтового домена?

Без специальных настроек любой злоумышленник может отправить письмо с адреса boss@yourcompany.com, даже не имея доступа к почтовому серверу. Это называется email spoofing (подмена адреса). Для защиты от этого существуют три технологии: SPF, DKIM и DMARC. Все они настраиваются через DNS-записи домена.

SPF (Sender Policy Framework)

SPF — список IP-адресов и серверов, которым разрешено отправлять почту от имени вашего домена. Настраивается как TXT-запись в DNS.

Пример SPF-записи:

v=spf1 include:_spf.google.com ip4:185.10.20.30 ~all

Разбор:

• v=spf1 — версия SPF
• include:_spf.google.com — разрешены серверы Google (Gmail)
• ip4:185.10.20.30 — разрешён конкретный IP
• ~all — все остальные «мягко» запрещены (Soft Fail). Замените на -all для жёсткого запрета.

DKIM (DomainKeys Identified Mail)

DKIM добавляет цифровую подпись к каждому письму. Почтовый сервер отправителя подписывает письмо приватным ключом, а получатель проверяет подпись через публичный ключ, опубликованный в DNS.

DKIM-запись выглядит так (поддомен default._domainkey):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...

DKIM гарантирует, что содержимое письма не было изменено в процессе доставки и что письмо действительно отправлено сервером, владеющим приватным ключом.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC — политика, которая говорит почтовым серверам получателей: «Что делать с письмами, не прошедшими проверку SPF или DKIM?»

Пример DMARC-записи (TXT для _dmarc.yourdomain.com):

v=DMARC1; p=quarantine; rua=mailto:reports@yourdomain.com; pct=100

• p=none — только мониторинг, никаких действий
• p=quarantine — подозрительные письма отправляются в спам
• p=reject — письма, не прошедшие проверку, полностью отклоняются
• rua= — адрес для отчётов об ошибках

Рекомендуемый порядок настройки

1. Настройте SPF — укажите все серверы, отправляющие почту от вашего имени.
2. Настройте DKIM — получите ключи у вашего почтового провайдера (Google Workspace, Yandex 360, cPanel) и добавьте в DNS.
3. Начните с DMARC p=none для сбора отчётов. Убедитесь, что легитимная почта проходит проверку.
4. Переключитесь на DMARC p=quarantine, затем на p=reject.

Как проверить SPF, DKIM, DMARC?

Через инструмент DNS Check на kit.uz: введите домен и посмотрите TXT-записи. Ищите записи, начинающиеся с v=spf1 и записи с _dmarc в поддомене.

Для проверки DKIM нужно знать «селектор» — имя поддомена (например default, google, mail). Запрос: default._domainkey.yourdomain.com TXT.