Как настроить авторизацию отправителей с помощью записей SPF

Как защитить домен от спуфинга

Настройка записи SPF помогает предотвратить спуфинг – рассылку спамерами нежелательных писем из вашего домена. Для этого используется технология Sender Policy Framework (SPF). Чтобы предотвратить спуфинг, некоторые серверы электронной почты требуют подтверждения подлинности отправителя с помощью проверки SPF. Если она не настроена в домене, письма из него могут быть отклонены или помечены как спам.

Как использовать SPF с DKIM и DMARC

Помимо SPF, рекомендуем использовать проверки DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting & Conformance (DMARC).

  • SPF определяет, из каких доменов могут отправляться письма.
  • DKIM позволяет предотвратить изменение сообщения после отправки.
  • DMARC позволяет определить, что делать с подозрительными письмами.

Как включить проверку SPF в домене

Чтобы включить проверку SPF, добавьте запись SPF TXT на сайте регистратора домена. Это не отразится на работе электронной почты.

О записях TXT

У вашего регистратора домена хранятся настройки, представляющие собой текстовые записи. Их называют записями DNS. Они позволяют направить интернет-трафик в ваш домен. Узнайте больше о работе с записями TXT и при необходимости обратитесь к своему регистратору за помощью.

Запись SPF определяет почтовые серверы, которым разрешено отправлять электронную почту от имени домена. Сообщения с серверов, не включенных в этот список, могут быть помечены как спам. 

Как использовать записи SPF для нескольких почтовых серверов

Мы не рекомендуем использовать несколько записей SPF для разных почтовых серверов, так как это может вызывать проблемы авторизации. Используйте единую запись SPF для всех серверов электронной почты. 

Узнайте, как добавить в существующую запись SPF дополнительные серверы электронной почты.

Как добавить запись SPF TXT

Чтобы включить проверку SPF, добавьте в настройки домена запись TXT.

  1. Войдите в аккаунт своего домена на сайте регистратора (не в консоли администратора Google).

    Подробнее о том, как определить регистратора домена

  2. Откройте страницу, где можно обновить записи DNS. Эта страница может называться DNS management (Управление DNS), Name server management (Управление серверами доменных имен) или Advanced settings (Расширенные настройки).
  3. Найдите записи TXT и проверьте, есть ли среди них запись SPF. Она начинается с v=spf1.
  4. Если в домене есть запись SPF, удалите ее. В ином случае переходите к шагу 5.
  5. Создайте запись TXT с указанными ниже значениями.
    • Введите в поле Name/Host/Alias (Имя/хост/псевдоним) знак @ или оставьте его пустым. Верное значение может быть указано в других записях DNS для вашего домена.
    • В поле Time to Live (TTL) (Время жизни) введите 3600 или оставьте значение по умолчанию.
    • В поле Value/Answer/Destination (Значение/ответ/назначение) введите v=spf1 include:_spf.google.com ~all

  6. Сохраните изменения.

Новая запись SPF начнет действовать в течение 48 часов.

Как проверить запись SPF

Запись SPF можно проверить с помощью приложения Проверка MX, которое входит в Набор инструментов G Suite.

  1. Перейдите по адресу https://toolbox.googleapps.com/apps/checkmx/.
  2. Введите доменное имя.
  3. Нажмите Начать проверку.
  4. После ее окончания нажмите Диапазоны действующих адресов SPF.
  5. Проверьте результаты. Они должны содержать следующие строки:
    • _spf.google.com
    • _netblocks.google.com и несколько IP-адресов
    • _netblocks2.google.com и несколько IP-адресов
    • _netblocks3.google.com и несколько IP-адресов

Как добавить в запись SPF несколько почтовых серверов

В домене может использоваться только одна запись SPF. Не создавайте запись SPF для каждого почтового сервера, а используйте единую запись SPF для всех серверов электронной почты.

Например, если вы настроили шлюз исходящей почты, запись SPF будет содержать адрес сервера Gmail и адрес SMTP-сервера этого шлюза.

Чтобы добавить почтовый сервер в существующую запись SPF, введите перед аргументом ~all IP-адрес этого сервера в формате ip4:адрес или ip6:адрес, как показано в примере ниже.

v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all

Чтобы добавить домены почтового сервера, используйте для каждого из них выражение include. Пример:

v=spf1 include:serverdomain.com include:_spf.google.com ~all

Максимальное число DNS-запросов и проверок SPF

Максимально допустимое количество DNS-запросов для одной записи SPF равно 10. При этом также учитываются вложенные запросы. Если запись SPF предполагает более 10 запросов, то по достижении 10 проверок механизмы, превышающие установленный максимум, рассматриваются как недействительные, и проверка SPF для них не выполняется. 

Ознакомьтесь с дополнительной информацией об ограничениях для DNS-запросов в RFC 7208 (на английском языке).

В лимите на количество запросов учитываются следующие механизмы и модификаторы:

  • a
  • exists
  • include
  • mx
  • ptr
  • require

В лимите на количество запросов не учитываются следующие механизмы и модификаторы:

  • exp
  • ip4
  • ip6

Вот несколько способов уменьшить количество запросов в записи SPF:

  • Удалите лишние выражения include.
  • По возможности используйте вместо выражения include оператор ip4 или ip6.
  • Не используйте механизм ptr, так как он генерирует большое количество DNS-запросов.
  • Удалите повторяющиеся механизмы или механизмы, которые относятся к одному и тому же домену.
  • Указывайте только домены, активно использующиеся для отправки писем.
  • Удалите все выражения include в записях SPF партнеров, которые уже не отправляют письма из вашего домена.

Проверить количество запросов для записи SPF можно с помощью приложения Проверка MX, которое входит в Набор инструментов G Suite.

Статьи по теме

Дополнительная информация о том, что указывать в записях SPF, приведена в статье Диапазоны IP-адресов Google для исходящих SMTP-сообщений.

Эта информация оказалась полезной?
Как можно улучшить эту статью?