· 14 мин чтения

SPF, DKIM, DMARC и BIMI: как сделать так, чтобы ваши письма доходили

SPF, DKIM, DMARC и BIMI: как сделать так, чтобы ваши письма доходили

Привет! Меня зовут Семёнов Евгений Сергеевич, я директор ITFresh. Вы знаете, за последний год ко мне приходит как минимум один клиент в неделю, и у всех одна и та же головная боль: «Наши счета и коммерческие предложения постоянно летят в спам у клиентов, помогите!» Вы не поверите, но к 2026 году это уже давно не вопрос «было бы неплохо настроить аутентификацию», это уже про буквальное выживание вашего корпоративного общения. Просто судите сами: Mail.ru с октября 2024 года уже официально блокирует письма без DMARC от тех, кто отправляет их массово. И что вы думаете? Gmail и Яндекс совсем не отстают, делая абсолютно то же самое. В этой статье я хочу поделиться с вами практическим разбором всех четырёх ключевых стандартов, используя реальные примеры прямо из нашего портфеля.

Что произошло на рынке email в 2024–2026

Хотите понять, почему настройка SPF/DKIM/DMARC перестала быть просто какой-то «приятной добавкой» и превратилась в по-настоящему «обязательное условие»? Давайте быстренько пробежимся по хронологии событий последних пары лет.

На нашей практике в ITFresh чётко прослеживается одна закономерность: пока DMARC не настроен, 25–40% писем клиентов просто проваливаются в спам у получателей. А вот после того, как мы всё настроим, эта цифра неизменно падает до 2–4%. Только вдумайтесь: это же колоссальные +20% к доставляемости! И они напрямую превращаются в ваши продажи, не так ли?

SPF — простейший шаг, на котором обычно ломаются

Что такое SPF (Sender Policy Framework)? Это, по сути, особая TXT-запись в DNS вашего домена. В ней вы перечисляете абсолютно все IP-адреса и хосты, которым разрешено отправлять почту от вашего имени. Когда получатель получает письмо, его почтовый сервер первым делом проверяет SPF вашего домена. И только потом решает: пропускать его или нет.

Вот вам простейший пример для домена, который шлёт почту через свой Postfix-сервер (IP 81.177.6.45), а ещё пользуется Яндекс 360:

itfresh.ru.   IN TXT   "v=spf1 ip4:81.177.6.45 include:_spf.yandex.net ~all"

Что здесь важно. v=spf1 — обязательная преамбула. ip4: — IP вашего сервера. include: — подключение SPF-записи внешнего сервиса (Яндекс 360, Mail.ru, SendPulse). Хвостовой тег: ~all (soft fail — мягкий отказ, обычно ставлю на старте) или -all (hard fail — жёсткий отказ, ставлю после месяца DMARC-мониторинга).

С какими главными «граблями» по SPF мы сталкиваемся чаще всего у наших новых клиентов? Рассказываю:

DKIM — подпись, которая защищает целостность

DKIM (DomainKeys Identified Mail) — это, если объяснять просто, криптографическая подпись, которую ставит ваш почтовый сервер на каждое ваше письмо с помощью своего закрытого ключа. Что происходит дальше? Получатель берёт открытый ключ из вашего DNS, проверяет эту подпись и таким образом убеждается сразу в двух вещах: (а) письмо действительно пришло от вас, а не от кого-то ещё, и (б) его никто не менял по дороге. Удобно, правда?

Генерация ключей, конечно, зависит от вашего почтового сервера. Для связки Postfix + OpenDKIM процесс такой:

# Генерируем ключ для селектора mail2026
sudo opendkim-genkey -s mail2026 -d itfresh.ru -b 2048
sudo mv mail2026.private /etc/opendkim/keys/itfresh.ru/
sudo chown opendkim: /etc/opendkim/keys/itfresh.ru/mail2026.private

# Содержимое mail2026.txt — публикуем в DNS
cat mail2026.txt

Содержимое txt-файла выглядит так:

mail2026._domainkey.itfresh.ru. IN TXT
  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

Селектор (например, 'mail2026') — это просто произвольное имя. Оно нужно, чтобы можно было иметь сразу несколько ключей одновременно. Мы используем год плюс порядковый номер, чтобы было легко вспомнить, когда ключ был сгенерирован. Кстати, ключи надо обязательно ротировать минимум раз в год — это прямое требование DMARC best practice.

А если вы используете Microsoft 365 или Office 365? Там DKIM активируется прямо в Defender, ключи генерируются автоматически. В DNS просто публикуются две CNAME-записи — selector1._domainkey и selector2._domainkey, которые указывают на серверы Microsoft. В случае с Яндекс 360, ключ создаётся в админке, а администратор уже сам добавляет одну DKIM-запись.

DMARC — связующее звено и страховка от подделок

DMARC (Domain-based Message Authentication, Reporting & Conformance) — это, по сути, чёткая политика. Она прямо говорит почтовикам получателей: «если письмо с моего домена не прошло проверки SPF и/или DKIM — делайте вот это». И ещё один большой плюс: DMARC обязывает их присылать вам отчёты о том, кто и как пытается слать почту от вашего имени. Вы будете в курсе всего!

Минимальная стартовая запись:

_dmarc.itfresh.ru. IN TXT
  "v=DMARC1; p=none; rua=mailto:dmarc@itfresh.ru; ruf=mailto:dmarc@itfresh.ru; fo=1; adkim=r; aspf=r; pct=100"

Разберём по тегам:

Проходит буквально 3–4 недели, и я уже вижу в своём почтовом ящике dmarc@itfresh.ru сотни XML-отчётов. Конечно, в повседневной работе их обычно разбирают специальные сервисы, такие как Postmark DMARC Digest, dmarcian или ondmarc. Я сам пользуюсь этим каждую неделю, когда настраиваю систему новому клиенту. Если, например, в отчётах вдруг видно, что 1С шлёт почту через свой IP, которого нет в SPF, или Mailchimp отправляет письма от вашего имени без подписи DKIM — это срочный сигнал! Нужно немедленно всё исправить, пока мы не перевели домен в режим 'reject'.

После того как все легитимные источники добавлены и в отчётах больше нет «чужих» неподписанных писем, ставлю промежуточно p=quarantine на 2 недели, потом — p=reject. Только это даёт полноценную защиту от фишинга и подделок от вашего имени.

BIMI — логотип в письме как маркетинговое оружие

BIMI (Brand Indicators for Message Identification) — это довольно крутой и пока ещё свежий стандарт. Он позволяет показывать логотип вашей компании прямо рядом с именем отправителя в почтовом ящике получателя. Где его можно увидеть? В Gmail, Apple Mail, Yahoo и Mail.ru. Без BIMI там будет просто кружок с инициалами, а с BIMI — ваш узнаваемый фирменный знак. Это же совсем другой уровень восприятия!

Зачем это нужно:

Технические требования BIMI:

DNS-запись:

default._bimi.itfresh.ru. IN TXT
  "v=BIMI1; l=https://itfresh.ru/bimi/logo.svg; a=https://itfresh.ru/bimi/cert.pem"

VMC-сертификат от DigiCert стоит около 1 500 долларов в год. Да, дороговато. Но для среднего и крупного бизнеса, которые отправляют больше 5000 писем в месяц, эта инвестиция окупается очень быстро — буквально за первые 3–4 месяца за счёт роста доставляемости и кликов. А вот для маленького офиса (например, 10 ящиков и 200 писем в день) можно и без BIMI обойтись. Лучше сосредоточиться на безупречно настроенном DMARC. Это будет куда эффективнее.

Кейс: производственная компания и потерянные тендеры

Помню, в декабре 2024 года ко мне пришёл директор одной компании, которая занимается поставками металлоконструкций для крупных строек. Жалоба была, как всегда, классическая: «Наши тендерные заявки и счета просто не доходят до клиентов! Мы выпали из тендера на 40 миллионов рублей только потому, что наши документы так и не попали в тендерную комиссию!» Ну что тут скажешь? Пришлось срочно разбираться.

Что я обнаружил при аудите:

Представляете, всего за три недели? Мы привели в порядок сразу все три критически важные записи. Настроили SPF, строго указав IP-адреса и Яндекс 360. Сгенерировали мощный DKIM-ключ на 2048 бит. И, конечно, DMARC сперва запустили в режиме p=none, чтобы собирать все отчёты. Через месяц, после тщательного мониторинга — убедились, что никаких левых источников нет — мы перевели DMARC на p=reject. Одновременно мы осторожно «прогрели» домен: отправляли только транзакционные письма, вроде счетов и актов, никаких массовых рассылок. Через два месяца снова проверили доставляемость. И что вы думаете? Вуаля! Mail.ru, Yandex и Gmail без вопросов пропускали всё прямо в Inbox. Наш клиент отправился на тендер абсолютно уверенный: его заявка точно попадёт к адресату, а не в спам.

Чек-лист правильной настройки за полдня

Что ж, если вы вдруг решите нырнуть в эту пучину сами, вот вам кое-что полезное. Это мой личный чек-лист. Его я всегда даю клиентам сразу после нашей первой установочной встречи. Может, пригодится?

  1. Для начала — полная инвентаризация! Выясните, какие именно сервисы шлют почту от вашего домена. Не упустите ничего: вспомните про 1С, систему мониторинга, корпоративный портал, CRM, и, конечно, все ваши маркетинговые рассылки.
  2. Дальше — соберите все публичные SPF/CNAME-инструкции. Для каждого сервиса, что отправляет почту: будь то Яндекс, Mail.ru, Microsoft 365, SendPulse или Unisender.
  3. Теперь нужно собрать единый SPF-запись. Она должна быть в формате `v=spf1 ... ~all`. И вот что важно: не забудьте проверить её на лимит в 10 DNS-запросов!
  4. Сгенерируйте DKIM-ключи для каждого источника. И сразу опубликуйте соответствующие TXT-записи в вашей DNS-зоне.
  5. И, наконец, заведите отдельный почтовый ящик. Например, `dmarc@вашдомен.ru`. Туда будут приходить все отчёты.
  6. Первым делом мы публикуем DMARC-запись для вашего домена. Она будет работать в режиме 'none' (p=none), то есть письма пока что никуда не блокируются. Это позволяет нам просто наблюдать за потоком. Мы обязательно добавляем адреса для получения отчётов (rua, ruf) и указываем, что мониторим 100% трафика (pct=100).
  7. Отчёты DMARC — штука полезная, но в сыром виде их никто не читает, верно? Чтобы понять весь поток данных, мы подключаем специализированный сервис для их разбора. Это может быть dmarcian, postmark или ondmarc, смотря что вам больше подходит. А если вы предпочитаете полный контроль, можем поднять и настроить собственный инструмент, например, parsedmarc.
  8. Обычно через 3–4 недели набирается достаточно статистики. На этом этапе мы тщательно анализируем все отчёты. Смотрим, откуда приходят ваши письма. И если вдруг обнаруживаем, что какие-то легитимные источники не проходят проверку или не учтены, сразу же добавляем их в SPF/DKIM.
  9. Когда все легитимные источники учтены, мы начинаем постепенно ужесточать правила. Сначала переключаем DMARC на режим 'quarantine' (p=quarantine). Это значит, подозрительные письма будут отправляться в спам, а не сразу отклоняться. Даём этому режиму поработать пару недель, внимательно следим за отчётами. Если всё стабильно и ложных срабатываний нет, смело переходим к p=reject. Теперь все письма, не прошедшие проверку DMARC, будут отклоняться сервером получателя. Фишинг? До свидания!
  10. Остался последний, но очень важный шаг – контрольная проверка. Мы прогоняем вашу почтовую инфраструктуру через независимые инструменты: mail-tester.com, mxtoolbox.com, dmarcanalyzer.com. И что мы хотим увидеть? Конечно же, твёрдые 10 из 10 по всем стандартам. Это наша цель!
  11. Хотите, чтобы ваш бренд был виден прямо в почтовом клиенте получателя? Это уже вишенка на торте! Как опцию, мы можем помочь вам с настройкой BIMI. Для этого нужно заказать VMC-сертификат, подготовить ваш логотип в формате SVG и, конечно, опубликовать соответствующую BIMI-запись. Ваши письма будут выглядеть максимально профессионально!

Мониторинг после настройки

Знаете, в чём главная фишка? Почтовая аутентификация — это вам не галка в настройках, которую поставил и забыл. Совсем нет! Например, DKIM-ключи мы советуем ротировать каждый год. А SPF? Его приходится обновлять постоянно, потому что новые сервисы, которые шлют почту от вашего имени, появляются то и дело. Ну а DMARC-отчёты... их нужно проверять еженедельно! Почему? Они же показывают все до единой попытки фишинга, которые идут от вашего имени. Вовремя увидев это, вы сможете предотвратить реальные убытки от мошенников. Не шутка.

Я ставлю клиентам Zabbix-проверки на:

Закажите аудит и настройку аутентификации почты

Я лично готов провести аудит SPF/DKIM/DMARC для каждого нового клиента в Москве и в радиусе 50 км от МКАД. Всего за 2–3 рабочих дня вы получите от меня подробный письменный отчёт, где будет текущее состояние доставляемости, все найденные уязвимости и, конечно же, пошаговый план перехода на полный DMARC reject. И никаких обязательств с вашей стороны! Что касается стоимости настройки под ключ, она начинается от 15 000 руб. за домен.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — что чаще всего спрашивают

Что важнее — SPF, DKIM или DMARC?
Все три обязательны и работают вместе. SPF проверяет IP отправителя, DKIM — целостность письма через подпись, DMARC связывает их и говорит получателю, что делать с непрошедшими проверку. Без хотя бы двух из трёх ваши письма попадают в спам у Mail.ru, Gmail и Яндекса.
Что такое BIMI и зачем нужен логотип в письмах?
BIMI — это стандарт, который показывает логотип компании рядом с именем отправителя в Gmail, Yahoo, Apple Mail и Mail.ru. Требует строгого DMARC и SVG-логотипа. Поднимает узнаваемость на 30–40 %, защищает от фишинга.
Сколько стоит сертификат VMC для BIMI?
От 1 200 до 1 800 USD в год у DigiCert или Entrust. В России выпускается через посредников. Mark Certificate (MC) дешевле — около 600 USD, но поддерживается меньшим количеством почтовиков.
Какую DMARC-политику ставить на старте?
Только p=none с rua-отчётами на 3–4 недели. Сначала смотрим в отчётах, кто легитимно отправляет от вашего имени, потом включаем quarantine, потом reject. Пропустить этот этап — потерять реальную почту.
Сколько стоит настройка под ключ?
В АйТи Фреш развёртывание полного стека SPF/DKIM/DMARC + анализ rua-отчётов в течение месяца + настройка BIMI обходится в 15 000–35 000 руб. в зависимости от количества доменов и почтовиков.

Подпишитесь на рассылку ITfresh

Что мы публикуем? Каждую неделю — свежие, практические гайды. Они будут полезны руководителю IT и, конечно, сисадмину. Темы? От безопасности до 1С, от миграций и резервных копий до реальных лайфхаков из наших проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.