Sender Policy Framework (SPF) – это метод аутентификации электронных писем, определяющий почтовые серверы, которым разрешено отправлять электронную почту от имени домена вашей организации. SPF помогает защитить домен организации от спуфинга и обеспечить правильную доставку писем. Почтовые серверы, принимающие электронные письма от вашего домена, с помощью SPF могут убедиться, что эти письма действительно отправлены вашей организацией.
- SPF снижает риск спуфинга. Спамеры могут сфальсифицировать ваше доменное имя или название организации и рассылать поддельные письма якобы от вашей компании. Это называется спуфингом. Поддельные письма могут использоваться со злым умыслом, например для передачи ложной информации, рассылки вредоносного ПО или получения конфиденциальной информации обманным путем. SPF помогает получателям убедиться, что сообщения действительно отправлены из домена организации с разрешенного сервера электронной почты.
- SPF помогает доставить письма в папки "Входящие" почтовых ящиков получателей. Технология SPF предотвращает доставку почты из домена организации в папку "Спам". Если в вашем домене не используется SPF, почтовый сервер получателя не сможет убедиться, что письма действительно отправлены из вашего домена. Сервер может отклонить подлинные сообщения или поместить их в папку "Спам".
Примечание. Если при регистрации аккаунта Google Workspace вы приобрели домен у партнера Google, возможно, вам не потребуется настраивать записи SPF. Проверьте, не управляет ли записями SPF регистратор вашего домена.
Рекомендации по настройке аутентификации электронной почты
Мы рекомендуем настроить следующие методы аутентификации электронной почты в домене:
- Записи SPF позволяют проверить, было ли письмо с указанным исходным доменом действительно отправлено с сервера, авторизованного владельцем этого домена.
- Ключ DKIM добавляет цифровую подпись к каждому сообщению. Это позволяет принимающему серверу проверить, не было ли сообщение подделано или изменено при доставке.
- Технология DMARC позволяет выполнять аутентификацию сообщений с помощью SPF и DKIM, а также обработку подозрительной входящей почты.
Подготовка
Ознакомьтесь с изложенной в этом разделе информацией, прежде чем использовать SPF в своей организации.
Если вам не удалось найти платежные документы, попробуйте найти своего регистратора в Интернете. Перейдите на страницу некоммерческой организации ICANN, предоставляющей сведения о доменах, и выполните поиск в базе данных на этом сайте.
- Перейдите по адресу lookup.icann.org.
- Введите свое доменное имя в поле поиска и нажмите Lookup (Поиск).
- На странице результатов найдите раздел Registrar Information (Информация о регистраторе). Указанная здесь компания обычно и является регистратором домена.
Реселлеры доменов
Некоторые домены регистрируются реселлерами через других регистраторов. Если вам не удается войти на сайт своего регистратора или раздел "Регистратор" пуст, возможно, в роли регистратора выступает реселлер.
- На странице результатов поиска ICANN найдите раздел Raw Registry RDAP Response (Прямой ответ реестра RDAP).
- Найдите строку Reseller (Реселлер).
- Перейдите на сайт реселлера.
- Войдите с помощью учетных данных, которые вы использовали для покупки или переноса домена.
Если вы забыли пароль, свяжитесь со службой поддержки реселлера.
Если реселлер не указан, обратитесь в службу поддержки указанного регистратора.
Сторонние поставщики услуг электронной почты
Подлинные электронные письма, отправленные сторонними поставщиками услуг электронной почты от имени вашего домена, могут не пройти проверку SPF. В этом случае сервер получателя может поместить такие письма в папку "Спам".
Чтобы электронные письма, отправляемые сторонними поставщиками услуг электронной почты, проходили проверки SPF:
- Проверьте записи SPF поставщика услуг.
- Направьте сообщения через домен или сеть вашей организации, настроив ретранслятор SMTP.
Чтобы включить SPF для своего домена, измените запись TXT для SPF в консоли управления регистратора домена.
Запись TXT – это тип записи DNS. Она содержит текстовую информацию для серверов и других источников за пределами домена. Подробнее о записях TXT…
Подробнее о том, как включить проверку SPF в домене…
При необходимости проверьте текущую запись TXT для SPF
Возможно, ваш регистратор домена уже настроил запись TXT для SPF. Это можно выяснить с помощью функции Проверка MX из Набора инструментов администратора Google:
- Откройте Набор инструментов администратора Google.
- Введите доменное имя.
- Нажмите Начать проверку.
- После ее окончания нажмите Диапазоны действующих адресов SPF.
- Проверьте результаты. Среди них должны быть следующие:
_spf.google.com_netblocks.google.comи несколько IP-адресов_netblocks2.google.comи несколько IP-адресов_netblocks3.google.comи несколько IP-адресов.
Шаг 1. Создайте запись TXT для SPF
В записи TXT для SPF перечислены почтовые серверы, которым разрешено отправлять электронные письма от имени вашего домена.
В домене может присутствовать только одна запись TXT для SPF, но в ней можно указать несколько серверов и доменов.
Содержимое записи TXT
Если все электронные письма в вашей организации отправляются с помощью Google Workspace, используйте следующую запись TXT:
v=spf1 include:_spf.google.com ~all
Важно! Если вы отправляете почту не только через Google Workspace, но и каким-либо из перечисленных ниже способов, вам нужно создать собственную запись TXT для SPF.
- Вы отправляете электронные письма с других серверов.
- Вы используете сервис стороннего поставщика услуг электронной почты.
- Ваш сайт использует сервис для автоматического создания стандартных писем, например на нем размещена форма обратной связи.
Пример:
v=spf1 ip4:192.168.0.1/16 include:_spf.google.com include:sparkpostmail.com ~all
Создайте собственную запись TXT, следуя указаниям из разделов Информация о серверах, необходимая для записи TXT и Формат записи TXT.
IP-адреса серверов
Узнайте IP-адреса всех серверов, которые отправляют электронные письма от имени вашей организации. К ним могут относиться:
- веб-серверы;
- локальные почтовые серверы, например Microsoft Exchange;
- почтовые серверы, используемые вашим поставщиком услуг;
- сторонние поставщики или сервисы, которые отправляют электронные письма от имени вашего домена.
Все домены, управляемые вашей организацией
Определите все домены, контролируемые вашей организацией, даже если они не используются для отправки электронных писем. Спамеры могут пытаться отправлять поддельные письма из доменов, которые ваша организация не использует для электронной почты, особенно если вы защитите с помощью SPF те домены, которые действительно используются для отправки.
Запись TXT – это строка обычного текста со списком тегов и значений. Эти теги называются механизмами. Другие необязательные теги, называемые квалификаторами, определяют действие, которое нужно предпринять при совпадении с механизмом в записи SPF.
Ниже приведены примеры записей TXT для SPF. Замените указанные в примерах IP-адреса и доменные имена на используемые в вашей организации.
v=spf1 ip4:192.168.0.1/16 -all
v=spf1 -all
Механизмы записи TXT для SPF
Теги, которые используются для создания записи TXT для SPF, называются механизмами.
Важно! Запись TXT для SPF может содержать до 10 DNS-запросов. Эти механизмы создают запросы следующих видов: a, mx и include. Если запись TXT предполагает более 10 запросов, электронные письма с вашего домена не пройдут проверку SPF на сервере получателя и могут попасть в спам. Подробные сведения представлены в разделе Проверьте DNS-запросы в записи SPF.
Ниже приведен список механизмов, которые можно использовать в записи TXT. Механизмы проверяются в том порядке, в котором они указаны в записи. Если будет обнаружено совпадение с механизмом, то при отсутствии квалификатора по умолчанию применяется квалификатор "Допуск".
Примечание. В таблице указаны примеры адресов и доменов. Замените их реальными IP-адресами и доменами почтовых серверов своей организации.
| Механизм | Описание и допустимые значения |
|---|---|
| v | Версия SPF. Необходимое значение: spf1. Этот тег является обязательным, и он должен быть первым тегом в записи. |
| ip4 | Указывает один или несколько почтовых серверов с помощью адреса IPv4 или диапазона. Допускаются адреса IPv4 в стандартном формате, например:ip4:192.168.0.1 |
| ip6 | Указывает один или несколько почтовых серверов с помощью адреса IPv6 или диапазона. Допускаются адреса IPv6 в стандартном формате, например:ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF |
| a | Указывает один или несколько почтовых серверов с помощью доменного имени, например:a:vasha-kompaniya.com |
| mx |
Указывает почтовый сервер по ссылке на запись MX, например: Указание домена для этого механизма не является обязательным. Если домен не указан, по умолчанию используются записи MX из того домена, в котором создана эта запись SPF. |
| include |
Указывает почтовые сервера из другого домена, который не принадлежит вашей организации, например: Этот механизм позволяет разрешить отправку почты через сторонние сервисы. |
| all | Этот тег обычно указывается в конце записи. Проверки SPF игнорируют любые механизмы после all. Рекомендуем использовать этот механизм с квалификатором неполного отказа: ~all. |
Квалификаторы записи TXT для SPF
Необязательные теги, называемые квалификаторами, определяют действие, которое нужно предпринять при совпадении с механизмом в записи TXT для SPF.
Механизмы проверяются в том порядке, в котором они указаны в записи. Если квалификаторы не указаны, по умолчанию применяется квалификатор "Допуск". При отсутствии совпадения по умолчанию применяется квалификатор "Нейтральный".
Ниже приведен список квалификаторов, которые можно использовать в записи TXT. Квалификатор – это необязательный префикс, который можно добавить к любому механизму в записи. Он определяет действие, которое нужно предпринять при совпадении с механизмом в записи SPF.
В записи TXT для SPF мы рекомендуем использовать квалификатор ~all.
| Квалификатор | Описание |
|---|---|
| + | Допуск. Серверу с совпадающим IP-адресом или доменным именем разрешена отправка электронных писем от имени домена. Этот квалификатор используется по умолчанию, если другой не указан. |
| - | Отказ. Серверу с совпадающим IP-адресом или доменным именем запрещена отправка электронных писем от имени домена. В записи SPF нет IP-адреса или доменного имени сервера, отправляющего письма. |
| ~ | Неполный отказ. Серверу с совпадающим IP-адресом или доменным именем может быть запрещена отправка электронных писем от имени домена. Сервер получателя обычно принимает такие сообщения и помечает их как подозрительные. |
| ? | Нейтральный. В записи SPF прямо не указано, что серверу с таким IP-адресом или доменным именем запрещена отправка электронных писем от имени домена. Записи SPF с таким квалификатором часто содержат ?all. |
Шаг 2. Включите SPF для своего домена
Включите SPF у регистратора домена, добавив запись TXT DNS для SPF.
- Названия полей из четвертого пункта приведенных ниже инструкций могут отличаться от тех, которые использует ваш регистратор. Названия полей в записях TXT DNS могут быть разными у разных регистраторов.
- Если ваша организация или домен отправляет все электронные письма с помощью Google Workspace, используйте значение записи TXT из раздела "Шаг 4" ниже. Если вы создали другую запись TXT, введите ее значение.
Чтобы включить SPF, измените запись TXT DNS для SPF у регистратора домена.
- Подготовьте текстовый файл или строку, представляющие запись TXT.
- Войдите в консоль управления своего регистратора домена. Подробнее о том, как узнать, кто является регистратором домена…
- Перейдите на страницу, на которой можно изменить записи TXT домена.
- Добавьте новую запись TXT для почтовых серверов Google Workspace.
Как добавить почтовый сервер или домен в записи SPF
Обновляйте запись TXT для SPF у регистратора домена каждый раз, когда вы:
- добавляете почтовые сервера для организации;
- начинаете использовать сторонних отправителей.
Если вы не укажете в записи TXT сведения о новом сервере или отправителе, электронные письма от него могут попасть в спам.
Сначала укажите в записи TXT сведения о новых серверах или доменах, следуя инструкциям из раздела Шаг 1. Создайте запись TXT для SPF. Затем обновите запись SPF у регистратора домена, следуя инструкциям из раздела Шаг 2. Включите SPF для своего домена.
Устранение неполадок с записями SPF
Если даже после включения SPF отправляемые из вашего домена письма по-прежнему оказываются в папке "Спам", выполните следующие рекомендации по устранению неполадок.
Убедитесь, что письма успешно проходят проверку SPF
Для этого проверьте письмо, отправленное из вашего домена.Попросите получателя письма, отправленного из вашего домена, открыть письмо и сообщить вам его полные заголовки. Найдите в них результаты проверки SPF. Если из заголовков следует, что письмо не прошло проверку SPF, определите возможные ошибки в записи SPF. Убедитесь, что в записи указаны все серверы и домены, отправляющие почту от имени вашей организации.Сначала выполните шаг 1 , при необходимости внеся изменения в запись TXT. Затем обновите эту запись у регистратора домена, выполнив инструкции из раздела Шаг 2. Включите SPF для своего домена.Проверьте DNS-запросы в записи TXTЗапись TXT для SPF может содержать до 10 запросов, поэтому в ней нельзя упоминать больше 10 доменов. Если в записи TXT указать больше 10 запросов, электронные письма из вашего домена не пройдут проверку SPF на сервере получателя и могут попасть в спам.
Каждый из тегов a, mx, include, ptr, присутствующий в записи TXT, создает запрос.
При этом также учитываются вложенные запросы. Таким образом, если в записи TXT для SPF домена в теге include упоминаются другие домены, эти домены также учитываются при подсчете количества запросов.
Если письма по-прежнему попадают в спам, проверьте количество запросов для записи TXT с помощью функции "Проверка MX" из Набора инструментов администратора Google.
Вот несколько способов уменьшить количество запросов в записи TXT:
- Не используйте теги include без необходимости.
- По возможности используйте тег ip4 или ip6 вместо include.
- Удалите теги, которые дублируются или ссылаются на один и тот же домен.
Указывайте только домены, активно используемые для отправки писем в вашей организации. Удалите выражения include со сведениями партнеров, которые больше не отправляют письма от имени вашего домена.
Google, Google Workspace и другие связанные товарные знаки и логотипы принадлежат компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.
