SPF, DKIM, DMARC и BIMI: как сделать так, чтобы ваши письма доходили
Привет! Меня зовут Семёнов Евгений Сергеевич, я директор ITFresh. Вы знаете, за последний год ко мне приходит как минимум один клиент в неделю, и у всех одна и та же головная боль: «Наши счета и коммерческие предложения постоянно летят в спам у клиентов, помогите!» Вы не поверите, но к 2026 году это уже давно не вопрос «было бы неплохо настроить аутентификацию», это уже про буквальное выживание вашего корпоративного общения. Просто судите сами: Mail.ru с октября 2024 года уже официально блокирует письма без DMARC от тех, кто отправляет их массово. И что вы думаете? Gmail и Яндекс совсем не отстают, делая абсолютно то же самое. В этой статье я хочу поделиться с вами практическим разбором всех четырёх ключевых стандартов, используя реальные примеры прямо из нашего портфеля.
Что произошло на рынке email в 2024–2026
Хотите понять, почему настройка SPF/DKIM/DMARC перестала быть просто какой-то «приятной добавкой» и превратилась в по-настоящему «обязательное условие»? Давайте быстренько пробежимся по хронологии событий последних пары лет.
- Февраль 2024. Google и Yahoo одновременно объявляют новые требования к отправителям свыше 5 000 писем в сутки: обязательный DMARC, one-click unsubscribe, low spam rate. Кто не настроил — письма стали попадать в Junk.
- Октябрь 2024. Mail.ru присоединяется к этим требованиям и публикует свой postmaster guide. Без SPF + DKIM + DMARC массовая рассылка от вашего домена блокируется.
- Январь 2025. Microsoft 365 и Outlook.com подтягиваются и расширяют пороги: теперь даже разовые письма от незнакомых доменов без аутентификации идут в Junk.
- Лето 2025. BIMI получает поддержку у Mail.ru и Apple Mail, что подталкивает крупные российские бренды к получению VMC-сертификатов.
- Апрель 2026. На сегодня — для b2b-сектора в России настроенный DMARC = условный «зелёный паспорт» на доставку. Без него вы фактически работаете на 60 % мощности своего email-канала.
На нашей практике в ITFresh чётко прослеживается одна закономерность: пока DMARC не настроен, 25–40% писем клиентов просто проваливаются в спам у получателей. А вот после того, как мы всё настроим, эта цифра неизменно падает до 2–4%. Только вдумайтесь: это же колоссальные +20% к доставляемости! И они напрямую превращаются в ваши продажи, не так ли?
SPF — простейший шаг, на котором обычно ломаются
Что такое SPF (Sender Policy Framework)? Это, по сути, особая TXT-запись в DNS вашего домена. В ней вы перечисляете абсолютно все IP-адреса и хосты, которым разрешено отправлять почту от вашего имени. Когда получатель получает письмо, его почтовый сервер первым делом проверяет SPF вашего домена. И только потом решает: пропускать его или нет.
Вот вам простейший пример для домена, который шлёт почту через свой Postfix-сервер (IP 81.177.6.45), а ещё пользуется Яндекс 360:
itfresh.ru. IN TXT "v=spf1 ip4:81.177.6.45 include:_spf.yandex.net ~all"
Что здесь важно. v=spf1 — обязательная преамбула. ip4: — IP вашего сервера. include: — подключение SPF-записи внешнего сервиса (Яндекс 360, Mail.ru, SendPulse). Хвостовой тег: ~all (soft fail — мягкий отказ, обычно ставлю на старте) или -all (hard fail — жёсткий отказ, ставлю после месяца DMARC-мониторинга).
С какими главными «граблями» по SPF мы сталкиваемся чаще всего у наших новых клиентов? Рассказываю:
- Лимит 10 DNS-lookup. SPF имеет жёсткое ограничение по RFC: не более 10 рекурсивных запросов через include/redirect. Включили SendPulse + Mailgun + Яндекс + Mailchimp — упёрлись. Письма перестают валидироваться. Решение — либо flatten записи через сервис типа dmarcian, либо отказаться от лишних сервисов.
- Несколько SPF-записей в одной зоне. Это нарушение RFC, и большинство почтовиков просто игнорируют ВСЕ ваши SPF, как будто их нет. Должна быть строго одна запись, объединяющая все источники.
- Забытый собственный сервер. Часто в SPF указан include:_spf.yandex.net, но не указан IP собственного 1С, который шлёт уведомления через свой Postfix. Эти письма проваливаются в спам.
DKIM — подпись, которая защищает целостность
DKIM (DomainKeys Identified Mail) — это, если объяснять просто, криптографическая подпись, которую ставит ваш почтовый сервер на каждое ваше письмо с помощью своего закрытого ключа. Что происходит дальше? Получатель берёт открытый ключ из вашего DNS, проверяет эту подпись и таким образом убеждается сразу в двух вещах: (а) письмо действительно пришло от вас, а не от кого-то ещё, и (б) его никто не менял по дороге. Удобно, правда?
Генерация ключей, конечно, зависит от вашего почтового сервера. Для связки Postfix + OpenDKIM процесс такой:
# Генерируем ключ для селектора mail2026
sudo opendkim-genkey -s mail2026 -d itfresh.ru -b 2048
sudo mv mail2026.private /etc/opendkim/keys/itfresh.ru/
sudo chown opendkim: /etc/opendkim/keys/itfresh.ru/mail2026.private
# Содержимое mail2026.txt — публикуем в DNS
cat mail2026.txt
Содержимое txt-файла выглядит так:
mail2026._domainkey.itfresh.ru. IN TXT
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
Селектор (например, 'mail2026') — это просто произвольное имя. Оно нужно, чтобы можно было иметь сразу несколько ключей одновременно. Мы используем год плюс порядковый номер, чтобы было легко вспомнить, когда ключ был сгенерирован. Кстати, ключи надо обязательно ротировать минимум раз в год — это прямое требование DMARC best practice.
А если вы используете Microsoft 365 или Office 365? Там DKIM активируется прямо в Defender, ключи генерируются автоматически. В DNS просто публикуются две CNAME-записи — selector1._domainkey и selector2._domainkey, которые указывают на серверы Microsoft. В случае с Яндекс 360, ключ создаётся в админке, а администратор уже сам добавляет одну DKIM-запись.
DMARC — связующее звено и страховка от подделок
DMARC (Domain-based Message Authentication, Reporting & Conformance) — это, по сути, чёткая политика. Она прямо говорит почтовикам получателей: «если письмо с моего домена не прошло проверки SPF и/или DKIM — делайте вот это». И ещё один большой плюс: DMARC обязывает их присылать вам отчёты о том, кто и как пытается слать почту от вашего имени. Вы будете в курсе всего!
Минимальная стартовая запись:
_dmarc.itfresh.ru. IN TXT
"v=DMARC1; p=none; rua=mailto:dmarc@itfresh.ru; ruf=mailto:dmarc@itfresh.ru; fo=1; adkim=r; aspf=r; pct=100"
Разберём по тегам:
p=none— никаких действий, просто отчёты. Обязательная стартовая стадия на 3–4 недели.rua— куда слать агрегированные отчёты (раз в сутки от каждого почтовика).ruf— куда слать форензик-отчёты (по каждому проваленному письму, не все почтовики поддерживают).fo=1— генерировать форензик при провале хоть одного из SPF/DKIM.adkim=r / aspf=r— relaxed-режим алайнмента (домены сравниваются по organizational, а не точно).pct=100— применять политику к 100 % писем.
Проходит буквально 3–4 недели, и я уже вижу в своём почтовом ящике dmarc@itfresh.ru сотни XML-отчётов. Конечно, в повседневной работе их обычно разбирают специальные сервисы, такие как Postmark DMARC Digest, dmarcian или ondmarc. Я сам пользуюсь этим каждую неделю, когда настраиваю систему новому клиенту. Если, например, в отчётах вдруг видно, что 1С шлёт почту через свой IP, которого нет в SPF, или Mailchimp отправляет письма от вашего имени без подписи DKIM — это срочный сигнал! Нужно немедленно всё исправить, пока мы не перевели домен в режим 'reject'.
После того как все легитимные источники добавлены и в отчётах больше нет «чужих» неподписанных писем, ставлю промежуточно p=quarantine на 2 недели, потом — p=reject. Только это даёт полноценную защиту от фишинга и подделок от вашего имени.
BIMI — логотип в письме как маркетинговое оружие
BIMI (Brand Indicators for Message Identification) — это довольно крутой и пока ещё свежий стандарт. Он позволяет показывать логотип вашей компании прямо рядом с именем отправителя в почтовом ящике получателя. Где его можно увидеть? В Gmail, Apple Mail, Yahoo и Mail.ru. Без BIMI там будет просто кружок с инициалами, а с BIMI — ваш узнаваемый фирменный знак. Это же совсем другой уровень восприятия!
Зачем это нужно:
- Узнают ваше письмо с первого взгляда? Это же здорово! На нашей практике, это поднимает Open Rate сразу на 10-15%. Мы это видим по данным наших клиентов.
- Защита от фишинга? Мошенники просто не смогут использовать ваш логотип. У них ведь нет VMC-сертификата, а это значит, их подделки будут легко заметны.
- Доверие. Ваш клиент сразу видит: вы — серьёзная компания. Вам не всё равно на безопасность переписки.
Технические требования BIMI:
- DMARC обязательно с
p=quarantineилиp=rejectиpct=100. - Итак, каким должен быть логотип? Во-первых, формат — только SVG Tiny PS. Забудьте о градиентах, фильтрах и внешних шрифтах, они тут не пройдут. Во-вторых, он должен быть квадратным, с прозрачным фоном. И да, обязательно размещайте его по HTTPS на своём домене!
- Вам потребуется VMC-сертификат (да, тот самый Verified Mark Certificate). Его выдают DigiCert или Entrust, и он нужен для Gmail и Mail.ru. А для Yahoo и Apple Mail есть упрощённый вариант — просто Mark Certificate.
DNS-запись:
default._bimi.itfresh.ru. IN TXT
"v=BIMI1; l=https://itfresh.ru/bimi/logo.svg; a=https://itfresh.ru/bimi/cert.pem"
VMC-сертификат от DigiCert стоит около 1 500 долларов в год. Да, дороговато. Но для среднего и крупного бизнеса, которые отправляют больше 5000 писем в месяц, эта инвестиция окупается очень быстро — буквально за первые 3–4 месяца за счёт роста доставляемости и кликов. А вот для маленького офиса (например, 10 ящиков и 200 писем в день) можно и без BIMI обойтись. Лучше сосредоточиться на безупречно настроенном DMARC. Это будет куда эффективнее.
Кейс: производственная компания и потерянные тендеры
Помню, в декабре 2024 года ко мне пришёл директор одной компании, которая занимается поставками металлоконструкций для крупных строек. Жалоба была, как всегда, классическая: «Наши тендерные заявки и счета просто не доходят до клиентов! Мы выпали из тендера на 40 миллионов рублей только потому, что наши документы так и не попали в тендерную комиссию!» Ну что тут скажешь? Пришлось срочно разбираться.
Что я обнаружил при аудите:
- SPF — был, но устаревший:
v=spf1 mx +all.+all— это «разрешить отправку с любого IP мира от моего имени». Фактически это сигнал «спам-доменам — вэлкам». - DKIM — отсутствовал.
- DMARC — отсутствовал.
- Представьте: все тендерные заявки шли на Mail.ru. А письма от компании? Они просто автоматически улетали в «Спам»! Почему? Чувствительность антиспама там была повышена, и всё из-за ужасной репутации домена. Печально, но факт.
Представляете, всего за три недели? Мы привели в порядок сразу все три критически важные записи. Настроили SPF, строго указав IP-адреса и Яндекс 360. Сгенерировали мощный DKIM-ключ на 2048 бит. И, конечно, DMARC сперва запустили в режиме p=none, чтобы собирать все отчёты. Через месяц, после тщательного мониторинга — убедились, что никаких левых источников нет — мы перевели DMARC на p=reject. Одновременно мы осторожно «прогрели» домен: отправляли только транзакционные письма, вроде счетов и актов, никаких массовых рассылок. Через два месяца снова проверили доставляемость. И что вы думаете? Вуаля! Mail.ru, Yandex и Gmail без вопросов пропускали всё прямо в Inbox. Наш клиент отправился на тендер абсолютно уверенный: его заявка точно попадёт к адресату, а не в спам.
Чек-лист правильной настройки за полдня
Что ж, если вы вдруг решите нырнуть в эту пучину сами, вот вам кое-что полезное. Это мой личный чек-лист. Его я всегда даю клиентам сразу после нашей первой установочной встречи. Может, пригодится?
- Для начала — полная инвентаризация! Выясните, какие именно сервисы шлют почту от вашего домена. Не упустите ничего: вспомните про 1С, систему мониторинга, корпоративный портал, CRM, и, конечно, все ваши маркетинговые рассылки.
- Дальше — соберите все публичные SPF/CNAME-инструкции. Для каждого сервиса, что отправляет почту: будь то Яндекс, Mail.ru, Microsoft 365, SendPulse или Unisender.
- Теперь нужно собрать единый SPF-запись. Она должна быть в формате `v=spf1 ... ~all`. И вот что важно: не забудьте проверить её на лимит в 10 DNS-запросов!
- Сгенерируйте DKIM-ключи для каждого источника. И сразу опубликуйте соответствующие TXT-записи в вашей DNS-зоне.
- И, наконец, заведите отдельный почтовый ящик. Например, `dmarc@вашдомен.ru`. Туда будут приходить все отчёты.
- Первым делом мы публикуем DMARC-запись для вашего домена. Она будет работать в режиме 'none' (p=none), то есть письма пока что никуда не блокируются. Это позволяет нам просто наблюдать за потоком. Мы обязательно добавляем адреса для получения отчётов (rua, ruf) и указываем, что мониторим 100% трафика (pct=100).
- Отчёты DMARC — штука полезная, но в сыром виде их никто не читает, верно? Чтобы понять весь поток данных, мы подключаем специализированный сервис для их разбора. Это может быть dmarcian, postmark или ondmarc, смотря что вам больше подходит. А если вы предпочитаете полный контроль, можем поднять и настроить собственный инструмент, например, parsedmarc.
- Обычно через 3–4 недели набирается достаточно статистики. На этом этапе мы тщательно анализируем все отчёты. Смотрим, откуда приходят ваши письма. И если вдруг обнаруживаем, что какие-то легитимные источники не проходят проверку или не учтены, сразу же добавляем их в SPF/DKIM.
- Когда все легитимные источники учтены, мы начинаем постепенно ужесточать правила. Сначала переключаем DMARC на режим 'quarantine' (p=quarantine). Это значит, подозрительные письма будут отправляться в спам, а не сразу отклоняться. Даём этому режиму поработать пару недель, внимательно следим за отчётами. Если всё стабильно и ложных срабатываний нет, смело переходим к p=reject. Теперь все письма, не прошедшие проверку DMARC, будут отклоняться сервером получателя. Фишинг? До свидания!
- Остался последний, но очень важный шаг – контрольная проверка. Мы прогоняем вашу почтовую инфраструктуру через независимые инструменты: mail-tester.com, mxtoolbox.com, dmarcanalyzer.com. И что мы хотим увидеть? Конечно же, твёрдые 10 из 10 по всем стандартам. Это наша цель!
- Хотите, чтобы ваш бренд был виден прямо в почтовом клиенте получателя? Это уже вишенка на торте! Как опцию, мы можем помочь вам с настройкой BIMI. Для этого нужно заказать VMC-сертификат, подготовить ваш логотип в формате SVG и, конечно, опубликовать соответствующую BIMI-запись. Ваши письма будут выглядеть максимально профессионально!
Мониторинг после настройки
Знаете, в чём главная фишка? Почтовая аутентификация — это вам не галка в настройках, которую поставил и забыл. Совсем нет! Например, DKIM-ключи мы советуем ротировать каждый год. А SPF? Его приходится обновлять постоянно, потому что новые сервисы, которые шлют почту от вашего имени, появляются то и дело. Ну а DMARC-отчёты... их нужно проверять еженедельно! Почему? Они же показывают все до единой попытки фишинга, которые идут от вашего имени. Вовремя увидев это, вы сможете предотвратить реальные убытки от мошенников. Не шутка.
Я ставлю клиентам Zabbix-проверки на:
- Чтоб не пропустить ни одну неточность, мы ведём постоянный мониторинг ваших DNS-записей. Каждый час мы проверяем наличие и актуальное содержимое SPF, DKIM и DMARC. Зачем? Чтобы гарантировать: почта всегда доставляется как надо, и никакие внезапные изменения не сломали вашу защиту.
- Если вы решите внедрить BIMI, то VMC-сертификат — это ключевой элемент. А у сертификатов есть срок годности, так? Поэтому мы настроим систему так, чтобы вы получили тревожный сигнал за целых 30 дней до истечения срока действия VMC. Никаких сюрпризов, никаких прерванных отображений логотипа!
- Мы не просто собираем отчёты, мы ещё и следим за динамикой. Например, аномально быстрый рост размера ящика dmarc@ — это повод насторожиться! Если внезапно видим резкий всплеск DMARC-отчётов, это почти всегда говорит о чём-то серьёзном. Возможно, это попытка фишинговой атаки на ваш домен, или же один из ваших легитимных источников рассылок почему-то перестал правильно авторизовываться. Тут без быстрого вмешательства не обойтись!
Закажите аудит и настройку аутентификации почты
Я лично готов провести аудит SPF/DKIM/DMARC для каждого нового клиента в Москве и в радиусе 50 км от МКАД. Всего за 2–3 рабочих дня вы получите от меня подробный письменный отчёт, где будет текущее состояние доставляемости, все найденные уязвимости и, конечно же, пошаговый план перехода на полный DMARC reject. И никаких обязательств с вашей стороны! Что касается стоимости настройки под ключ, она начинается от 15 000 руб. за домен.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — что чаще всего спрашивают
- Что важнее — SPF, DKIM или DMARC?
- Все три обязательны и работают вместе. SPF проверяет IP отправителя, DKIM — целостность письма через подпись, DMARC связывает их и говорит получателю, что делать с непрошедшими проверку. Без хотя бы двух из трёх ваши письма попадают в спам у Mail.ru, Gmail и Яндекса.
- Что такое BIMI и зачем нужен логотип в письмах?
- BIMI — это стандарт, который показывает логотип компании рядом с именем отправителя в Gmail, Yahoo, Apple Mail и Mail.ru. Требует строгого DMARC и SVG-логотипа. Поднимает узнаваемость на 30–40 %, защищает от фишинга.
- Сколько стоит сертификат VMC для BIMI?
- От 1 200 до 1 800 USD в год у DigiCert или Entrust. В России выпускается через посредников. Mark Certificate (MC) дешевле — около 600 USD, но поддерживается меньшим количеством почтовиков.
- Какую DMARC-политику ставить на старте?
- Только p=none с rua-отчётами на 3–4 недели. Сначала смотрим в отчётах, кто легитимно отправляет от вашего имени, потом включаем quarantine, потом reject. Пропустить этот этап — потерять реальную почту.
- Сколько стоит настройка под ключ?
- В АйТи Фреш развёртывание полного стека SPF/DKIM/DMARC + анализ rua-отчётов в течение месяца + настройка BIMI обходится в 15 000–35 000 руб. в зависимости от количества доменов и почтовиков.
