4.4.4. Настройка SPF

SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. Благодаря SPF можно проверить, не подделан ли домен отправителя.

SPF позволяет владельцу домена указать в TXT-записи, соответствующей имени домена, список серверов, которые имеют право отправлять электронную почту с обратными адресами в этом домене. Агенты передачи почты, получающие почтовые сообщения, могут запрашивать SPF-информацию с помощью простого DNS-запроса, верифицируя таким образом сервер отправителя.

Без наличия SPF-записи многие почтовые сервисы могут отправлять всю почту, отправленную с почтовых ящиков домена, в спам, вне зависимости от её содержимого.

Если почтовые ящики домена размещены у нас на хостинге и домен обслуживается на наших NS, то для настройки SPF установите нашу MX-запись. При этом в настройках домена также автоматически будет добавлена и нужная SPF-запись.

Как выглядит наша SPF-запись в настройках домена:

Если почтовые ящики домена размещены у нас на хостинге, но домен обслуживается на NS другого провайдера, в панели владельца этих NS добавьте такую TXT-запись:

v=spf1 include:_spf.ukraine.com.ua ~all

Запись SPF состоит из множества ключей, используемых для формирования подходящих и корректных правил. После указания ключа нужно установить символ : и указать нужный узел.

Часто используемые и важные ключи:

• v=spf1 — версия SPF.
• Поведение:
  • + — принимать письма (Pass). Используется по умолчанию, если нет других ключей поведения.
  • - — отклонять письма (Fail). Письма не будут приняты.
  • ~ — «мягкое» отклонение (SoftFail). Письма будут приняты, но отмечены как спам.
  • ? — нейтрально воспринимать отправителя.
• Узлы:
  • mx — включает в себя все адреса серверов, указанные в MX-записях домена. ⚠️ Не используйте этот ключ для доменов с нашей MX-записью, так как указанные в ней адреса не участвуют в отправке писем и использование ключа может привести к ошибкам.
  • ip4 — конкретные IP-адреса.
  • ptr — проверка PTR-записи на наличие указанного домена.
  • exists — проверка работоспособности домена. Важно учитывать, что эта проверка будет давать положительный ответ для адресов вида 127.0.0.1 и т. д., из-за чего её использование сомнительно.
  • a — применение правил к конкретному домену, производя сравнение IP-адреса отправителя с IP-адресом из А-записях домена. ⚠️ Не используйте данный ключ, если сайт размещается на нашем хостинге, так как это может привести к ошибкам.
  • include — использование разрешённых узлов, указанных в SPF-записях другого домена.
  • redirect — означает, что SPF-политика для этого домена указана в другом домене. В некоторой степени аналог include с игнорированием записей текущего домена.
  • all — все адреса, не указанные в записи.

Правило для отправки писем с нашего хостинга обычно выглядит так:

v=spf1 include:_spf.ukraine.com.ua ~all

В этом правиле задано, что письма, отправленные с хостов, указанных в записи _spf.ukraine.com.ua, разрешены и будут доставлены, а отправленные с других серверов будут доставлены, но помечены как спам.

Для указания нескольких серверов достаточно перечислить их. Примеры:

• Используется отправка с нашей почты и с собственного сервера mail.example.com:

  v=spf1 include:_spf.ukraine.com.ua a:mail.example.com ~all

  В таком случае письма, отправляемые с серверов нашего хостинга, а также с сервера, IP-адрес которого указан в А-записи домена mail.example.com, будут доставлены успешно.

• Используется отправка с нашей почты и с Google:

  v=spf1 include:_spf.ukraine.com.ua include:_spf.google.com ~all

• Требуется разрешить отправку с одного домена, но запретить с другого:

  v=spf1 +a:mail.example.com -a:mail.example.org ~all

  В таком случае отправка с серверов, на которые указывает А-запись домена mail.example.org, будет запрещена и письма будут отклоняться.

Чтобы не составлять запись вручную, можно использовать онлайн-генераторы SPF.

Наличие и корректность готовой записи можно проверить с помощью онлайн-инструментов проверки SPF.