Как обеспечить доставку электронных писем и защиту от спуфинга с помощью SPF

Узнайте, как обеспечить защиту от поддельных писем от имени вашей организации и не допустить, чтобы ваши письма были помечены как спам.

Sender Policy Framework (SPF) – это метод аутентификации электронных писем, определяющий почтовые серверы, которым разрешено отправлять электронную почту от имени домена вашей организации. SPF помогает защитить домен организации от спуфинга и обеспечить правильную доставку писем. Почтовые серверы, принимающие электронные письма от вашего домена, с помощью SPF могут убедиться, что эти письма действительно отправлены вашей организацией.

  • SPF снижает риск спуфинга. Спамеры могут сфальсифицировать ваше доменное имя или название организации и рассылать поддельные письма якобы от вашей компании. Это называется спуфингом. Поддельные письма могут использоваться со злым умыслом, например для передачи ложной информации, рассылки вредоносного ПО или получения конфиденциальной информации обманным путем. SPF помогает получателям убедиться, что сообщения действительно отправлены из домена организации с разрешенного сервера электронной почты.
  • SPF помогает доставить письма в папки "Входящие" почтовых ящиков получателей. Технология SPF предотвращает доставку почты из домена организации в папку "Спам". Если в вашем домене не используется SPF, почтовый сервер получателя не сможет убедиться, что письма действительно отправлены из вашего домена. Сервер может отклонить подлинные сообщения или поместить их в папку "Спам".

Примечание. Если при регистрации аккаунта G Suite вы приобрели домен у партнера Google, возможно, вам не потребуется настраивать записи SPF. Проверьте, не управляет ли записями SPF регистратор вашего домена.

Рекомендации по настройке аутентификации электронной почты

Мы рекомендуем настроить следующие методы аутентификации электронной почты в домене:

  • Записи SPF позволяют проверить, было ли письмо с указанным исходным доменом действительно отправлено с сервера, авторизованного владельцем этого домена.
  • Ключ DKIM добавляет цифровую подпись к каждому сообщению. Это позволяет принимающему серверу проверить, не было ли сообщение подделано или изменено при доставке.
  • Технология DMARC позволяет выполнять аутентификацию сообщений с помощью SPF и DKIM, а также обработку подозрительной входящей почты.
Подробнее о том, как улучшить защиту от спуфинга, фишинга и спама

Подготовка

Ознакомьтесь с изложенной в этом разделе информацией, прежде чем использовать SPF в своей организации.

Как определить регистратора домена
SPF следует включать в консоли управления регистратора домена, а не в консоли администратора Google. Если вы не знаете, кто является регистратором вашего домена, выполните указанные ниже действия.

Если вам не удалось найти платежные документы, попробуйте найти своего регистратора в Интернете. Перейдите на страницу некоммерческой организации ICANN, предоставляющей сведения о доменах, и выполните поиск в базе данных на этом сайте.

  1. Перейдите по адресу lookup.icann.org.
  2. Введите свое доменное имя в поле поиска и нажмите Lookup (Поиск).
  3. На странице результатов найдите раздел Registrar Information (Информация о регистраторе). Указанная здесь компания обычно и является регистратором домена.

Реселлеры доменов

Некоторые домены регистрируются реселлерами через других регистраторов. Если вам не удается войти на сайт своего регистратора или раздел "Регистратор" пуст, возможно, в роли регистратора выступает реселлер.

  1. На странице результатов поиска ICANN найдите раздел Raw Registry RDAP Response (Прямой ответ реестра RDAP).
  2. Найдите строку Reseller (Реселлер).
  3. Перейдите на сайт реселлера.
  4. Войдите с помощью учетных данных, которые вы использовали для покупки или переноса домена.
    Если вы забыли пароль, свяжитесь со службой поддержки реселлера.

Если реселлер не указан, обратитесь в службу поддержки указанного регистратора.

Сторонние поставщики услуг электронной почты

Подлинные электронные письма, отправленные сторонними поставщиками услуг электронной почты от имени вашего домена, могут не пройти проверку SPF. В этом случае сервер получателя может поместить такие письма в папку "Спам".

Чтобы электронные письма, отправляемые сторонними поставщиками услуг электронной почты, проходили проверки SPF:

  • Проверьте записи SPF поставщика услуг.
  • Направьте сообщения через домен или сеть вашей организации, настроив ретранслятор SMTP.
Запись TXT для SPF

Чтобы включить SPF для своего домена, измените запись TXT для SPF в консоли управления регистратора домена.

Запись TXT – это тип записи DNS. Она содержит текстовую информацию для серверов и других источников за пределами домена. Подробнее о записях TXT

Подробнее о том, как включить проверку SPF в домене

При необходимости проверьте текущую запись TXT для SPF

Возможно, ваш регистратор домена уже настроил запись TXT для SPF. Чтобы проверить ее наличие, используйте функцию Проверка MX из Набора инструментов G Suite.

  1. Откройте Набор инструментов G Suite.
  2. Введите доменное имя.
  3. Нажмите Начать проверку.
  4. После ее окончания нажмите Диапазоны действующих адресов SPF.
  5. Проверьте результаты. Среди них должны быть следующие:
    • _spf.google.com
    • _netblocks.google.com и несколько IP-адресов
    • _netblocks2.google.com и несколько IP-адресов
    • _netblocks3.google.com и несколько IP-адресов.

Шаг 1. Создайте запись TXT для SPF

В записи TXT для SPF перечислены почтовые серверы, которым разрешено отправлять электронные письма от имени вашего домена.

В домене может присутствовать только одна запись TXT для SPF, но в ней можно указать несколько серверов и доменов.

Содержимое записи TXT

Если все электронные письма в вашей организации отправляются с помощью G Suite, используйте запись TXT, состоящую из этой строки текста:

v=spf1 include:_spf.google.com ~all

Если вы отправляете почту не только через G Suite, но и каким-либо из перечисленных ниже способов, вам нужно создать собственную запись TXT для SPF.

  • Вы отправляете электронные письма с других серверов.
  • Вы используете сервис стороннего поставщика услуг электронной почты.
  • Ваш сайт использует сервис для автоматического создания стандартных писем, например на нем размещена форма обратной связи.

Создайте собственную запись TXT, следуя указаниям из разделов Информация о серверах, необходимая для записи TXT и Формат записи TXT.

Информация о серверах, необходимая для записи TXT
В вашу запись TXT для SPF должна входить информация о почтовых серверах.

IP-адреса серверов

Узнайте IP-адреса всех серверов, которые отправляют электронные письма от имени вашей организации. К ним могут относиться:

  • веб-серверы;
  • локальные почтовые серверы, например Microsoft Exchange;
  • почтовые серверы, используемые вашим поставщиком услуг;
  • сторонние поставщики или сервисы, которые отправляют электронные письма от имени вашего домена.

Все домены, управляемые вашей организацией

Определите все домены, контролируемые вашей организацией, даже если они не используются для отправки электронных писем. Спамеры могут пытаться отправлять поддельные письма из доменов, которые ваша организация не использует для электронной почты, особенно если вы защитите с помощью SPF те домены, которые действительно используются для отправки.

Формат записи TXT

Запись TXT – это строка обычного текста со списком тегов и значений. Эти теги называются механизмами. Другие необязательные теги, называемые квалификаторами, определяют действие, которое нужно предпринять при совпадении с механизмом в записи SPF.

Ниже приведены примеры записей TXT для SPF. Замените указанные в примерах IP-адреса и доменные имена на используемые в вашей организации.

v=spf1 ip4:192.168.0.1/16 -all

Эта запись TXT разрешает отправку электронной почты от имени вашего домена с любого IP-адреса в диапазоне между 192.168.0.1 и 192.168.255.255.

v=spf1 -all

Эта запись TXT обеспечивает защиту от спуфинга ваших доменов, которые не отправляют электронные письма.

Механизмы записи TXT для SPF

Теги, которые используются для создания записи TXT для SPF, называются механизмами.

Важно! Запись TXT для SPF может содержать до 10 DNS-запросов. Эти механизмы создают запросы следующих видов: a, mx и include. Если запись TXT предполагает более 10 запросов, электронные письма с вашего домена не пройдут проверку SPF на сервере получателя и могут попасть в спам. Подробные сведения представлены в разделе Проверьте DNS-запросы в записи SPF.

Ниже приведен список механизмов, которые можно использовать в записи TXT. Механизмы проверяются в том порядке, в котором они указаны в записи. Если будет обнаружено совпадение с механизмом, то при отсутствии квалификатора по умолчанию применяется квалификатор "Допуск".

Примечание. В таблице указаны примеры адресов и доменов. Замените их реальными IP-адресами и доменами почтовых серверов своей организации.

Механизм Описание и допустимые значения
v Версия SPF. Необходимое значение: spf1. Этот тег является обязательным, и он должен быть первым тегом в записи.
ip4 Указывает один или несколько почтовых серверов с помощью адреса IPv4 или диапазона. Допускаются адреса IPv4 в стандартном формате, например:
ip4:192.168.0.1
ip6 Указывает один или несколько почтовых серверов с помощью адреса IPv6 или диапазона. Допускаются адреса IPv6 в стандартном формате, например:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Указывает один или несколько почтовых серверов с помощью доменного имени, например:
a:vasha-kompaniya.com
mx

Указывает почтовый сервер по ссылке на запись MX, например:
mx:mail.vasha-kompaniya.com

Указание домена для этого механизма не является обязательным. Если домен не указан, по умолчанию используются записи MX из того домена, в котором создана эта запись SPF.

include

Указывает почтовые сервера из другого домена, который не принадлежит вашей организации, например:
include:pochta.com

Этот механизм позволяет разрешить отправку почты через сторонние сервисы.

all Этот тег обычно указывается в конце записи. Проверки SPF игнорируют любые механизмы после all. Рекомендуем использовать этот механизм с квалификатором неполного отказа: ~all.

Квалификаторы записи TXT для SPF

Необязательные теги, называемые квалификаторами, определяют действие, которое нужно предпринять при совпадении с механизмом в записи TXT для SPF.

Механизмы проверяются в том порядке, в котором они указаны в записи. Если квалификаторы не указаны, по умолчанию применяется квалификатор "Допуск". При отсутствии совпадения по умолчанию применяется квалификатор "Нейтральный".

Ниже приведен список квалификаторов, которые можно использовать в записи TXT. Квалификатор – это необязательный префикс, который можно добавить к любому механизму в записи. Он определяет действие, которое нужно предпринять при совпадении с механизмом в записи SPF.

В записи TXT для SPF мы рекомендуем использовать квалификатор ~all.

Квалификатор Описание
+ Допуск. Серверу с совпадающим IP-адресом или доменным именем разрешена отправка электронных писем от имени домена. Этот квалификатор используется по умолчанию, если другой не указан.
- Отказ. Серверу с совпадающим IP-адресом или доменным именем запрещена отправка электронных писем от имени домена. В записи SPF нет IP-адреса или доменного имени сервера, отправляющего письма.
~ Неполный отказ. Серверу с совпадающим IP-адресом или доменным именем может быть запрещена отправка электронных писем от имени домена. Сервер получателя обычно принимает такие сообщения и помечает их как подозрительные.
? Нейтральный. В записи SPF прямо не указано, что серверу с таким IP-адресом или доменным именем запрещена отправка электронных писем от имени домена. Записи SPF с таким квалификатором часто содержат ?all.

Шаг 2. Включите SPF для своего домена

Включите SPF у регистратора домена, добавив запись TXT DNS для SPF.

  • Названия полей из четвертого пункта приведенных ниже инструкций могут отличаться от тех, которые использует ваш регистратор. Названия полей в записях TXT DNS могут быть разными у разных регистраторов.
  • Если ваша организация или домен отправляет все электронные письма с помощью G Suite, используйте значение записи TXT из раздела "Шаг 4" ниже. Если вы создали другую запись TXT, введите ее значение.

Чтобы включить SPF, измените запись TXT DNS для SPF у регистратора домена.

  1. Подготовьте текстовый файл или строку, представляющие запись TXT.
  2. Войдите в консоль управления своего регистратора домена. Подробнее о том, как узнать, кто является регистратором домена
  3. Перейдите на страницу, на которой можно изменить записи TXT домена.
  4. Добавьте новую запись TXT для почтовых серверов G Suite:
    Name/Host/Alias (Имя/хост/псевдоним) Time to Live (TTL) (Время жизни) DNS TXT record to update (Запись TXT DNS, которую нужно изменить) Priority (Приоритет) Value/Answer/Destination (Значение/ответ/назначение)
    @
    (или пустое значение)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Сохраните изменения. Запись SPF начнет использоваться для защиты вашего домена от спуфинга и доставки электронных писем в течение 48 часов.
  6. При необходимости повторите эти шаги для каждого домена организации, которым вы управляете. 

Как добавить почтовый сервер или домен в записи SPF

Обновляйте запись TXT для SPF у регистратора домена каждый раз, когда вы:

  • добавляете почтовые сервера для организации;
  • начинаете использовать сторонних отправителей.

Если вы не укажете в записи TXT сведения о новом сервере или отправителе, электронные письма от него могут попасть в спам.

Сначала укажите в записи TXT сведения о новых серверах или доменах, следуя инструкциям из раздела Шаг 1. Создайте запись TXT для SPF. Затем обновите запись SPF у регистратора домена, следуя инструкциям из раздела Шаг 2. Включите SPF для своего домена.

Устранение неполадок с записями SPF

Если даже после включения SPF отправляемые из вашего домена письма по-прежнему оказываются в папке "Спам", выполните следующие рекомендации по устранению неполадок.

Убедитесь, что письма успешно проходят проверку SPF

Для этого проверьте письмо, отправленное из вашего домена.
Попросите получателя письма, отправленного из вашего домена, открыть письмо и сообщить вам его полные заголовки. Найдите в них результаты проверки SPF. Если из заголовков следует, что письмо не прошло проверку SPF, определите возможные ошибки в записи SPF. Убедитесь, что в записи указаны все серверы и домены, отправляющие почту от имени вашей организации.
Сначала выполните шаг 1 , при необходимости внеся изменения в запись TXT. Затем обновите эту запись у регистратора домена, выполнив инструкции из раздела Шаг 2. Включите SPF для своего домена.
Проверьте DNS-запросы в записи TXT

Запись TXT для SPF может содержать до 10 запросов, поэтому в ней нельзя упоминать больше 10 доменов. Если в записи TXT указать больше 10 запросов, электронные письма из вашего домена не пройдут проверку SPF на сервере получателя и могут попасть в спам.

Каждый из тегов a, mx, include, ptr, присутствующий в записи TXT, создает запрос.

При этом также учитываются вложенные запросы. Таким образом, если в записи TXT для SPF домена в теге include упоминаются другие домены, эти домены также учитываются при подсчете количества запросов.

Если сообщения по-прежнему попадают в спам, проверьте количество запросов для записи TXT с помощью функции "Проверка MX" из Набора инструментов G Suite.

Вот несколько способов уменьшить количество запросов в записи TXT:

  • Не используйте теги include без необходимости.
  • По возможности используйте тег ip4 или ip6 вместо include.
  • Удалите теги, которые дублируются или ссылаются на один и тот же домен.

Указывайте только домены, активно используемые для отправки писем в вашей организации. Удалите выражения include со сведениями партнеров, которые больше не отправляют письма от имени вашего домена.

Google, Google Workspace и другие связанные товарные знаки и логотипы принадлежат компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.