2.24.5.1. Настройка SPF
Важные моменты:
- Если в MX-записи домена указан наш сервер, то в SPF-записи нельзя указывать ключ
+mx
, так как это приведёт к проблемам с доставкой писем. Для корректной отправки почты с наших серверов достаточно указатьinclude:_spf.ukraine.com.ua
. - У домена должна быть только одна SPF-запись. Если требуется учесть сразу несколько почтовых сервисов, их нужно объединить в одной SPF-записи.
- В SPF записи нельзя указывать большое количество доменов, так как максимально допустимое количество DNS запросов равно 14, при превышении которого почта будет отклоняться почтовыми серверами.
SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. Благодаря SPF можно проверить, не подделан ли домен отправителя.
SPF позволяет владельцу домена указать в TXT-записи, соответствующей имени домена, список серверов, имеющих право отправлять электронную почту с обратными адресами в этом домене. Агенты передачи почты, получающие почтовые сообщения, могут запрашивать SPF-информацию с помощью простого DNS-запроса, верифицируя таким образом сервер отправителя.
Без наличия SPF-записи многие почтовые сервисы могут отправлять всю почту, отправленную с почтовых ящиков домена, в спам, вне зависимости от её содержимого.
Настройка
Домен на наших NS
Если почтовые ящики домена размещены у нас на хостинге и домен обслуживается на наших NS, то для настройки SPF установите нашу MX-запись. При этом в настройках домена также автоматически будет добавлена и нужная SPF-запись.
Внимание!
SPF-запись при направлении домена на наши NS автоматически добавляется только один раз. Если запись не существует, следует добавить её вручную.
Как выглядит наша SPF-запись в настройках домена:
Домен на сторонних NS
Если почтовые ящики домена размещены у нас на хостинге, но домен обслуживается на NS другого провайдера, в панели владельца этих NS добавьте такую TXT-запись:
v=spf1 include:_spf.ukraine.com.ua ~all
Описание SPF
Запись SPF состоит из множества ключей, используемых для формирования подходящих и корректных правил. После указания ключа нужно установить символ :
и указать нужный узел.
Часто используемые и важные ключи:
v=spf1
— версия SPF.- Параметры, определяющие поведение для указанных ключей:
+
— параметр, указывающий на приём писем (Pass). Устанавливается по умолчанию, если нет других.-
— отклонить (Fail). Письмо не будет принято.~
— «мягкое» отклонение (SoftFail). Письмо будет принято, но будет помечено как спам.?
— нейтральное восприятие отправителя.
- Ключи для определения узлов:
mx
— включает в себя все адреса серверов, указанные в MX-записях домена. Внимание! Не используйте данный ключ, если домен использует наши MX, так как они не участвуют в отправке писем и указание такого ключа может привести к ошибкам.ip4
— указание конкретных IP.ptr
— проверка PTR-записи на наличие указанного домена.exists
— проверка работоспособности домена. Важно учитывать, что эта проверка также будет давать положительный ответ, если используются адреса вида127.0.0.1
и т. д., из-за чего её использование довольно сомнительно.a
— применение правил к конкретному домену, производя сравнение IP-адреса отправителя с IP-адресом, указанным в А-записях домена.include
— использование разрешённых узлов, указанных в SPF-записях другого домена.redirect
— правило указывает на то, что SPF-политика, используемая для этого домена, указана в другом домене. В некоторой степени аналогinclude
с игнорированием записей текущего домена.all
— все адреса, не указанные в записи.
Правило для отправки писем с нашего хостинга чаще всего выглядит так:
v=spf1 include:_spf.ukraine.com.ua ~all
В этом правиле задано, что письма, отправленные с хостов, указанных в записи _spf.ukraine.com.ua
, разрешены и будут доставлены, а отправленные с других серверов будут доставлены, но помечены как спам.
Для указания нескольких серверов достаточно перечислить их. Примеры:
- Используется отправка с нашей почты и с собственного сервера mail.example.com:
v=spf1 include:_spf.ukraine.com.ua a:mail.example.com ~all
В таком случае письма, отправляемые с серверов нашего хостинга, а также с сервера, IP-адрес которого указан в А-записи домена mail.example.com, будут доставлены успешно.
- Используется отправка с нашей почты и с Google:
v=spf1 include:_spf.ukraine.com.ua include:_spf.google.com ~all
- Требуется разрешить отправку с одного домена, но запретить с другого:
v=spf1 +a:mail.example.com -a:mail.example.org ~all
В таком случае отправка с серверов, на которые указывает А-запись домена mail.example.org, будет запрещена и письма будут отклоняться.