DMARC, SPF, DKIM и BIMI: полная аутентификация почты

Без аутентификации любой человек может отправить письмо от имени вашего домена. Злоумышленник отправляет фишинговое письмо якобы от director@company.ru, и получатель не может отличить его от настоящего. Это называется email spoofing.

Комплекс из четырёх технологий решает эту проблему:

• SPF (Sender Policy Framework) — определяет, какие серверы имеют право отправлять почту от вашего домена
• DKIM (DomainKeys Identified Mail) — добавляет криптографическую подпись к каждому письму
• DMARC (Domain-based Message Authentication, Reporting and Conformance) — объединяет SPF и DKIM, определяет политику обработки неаутентифицированных писем
• BIMI (Brand Indicators for Message Identification) — отображает логотип компании рядом с письмом в почтовом клиенте

Правильная настройка увеличивает доставляемость писем, защищает бренд от подделки и повышает доверие получателей.

SPF — DNS-запись типа TXT, перечисляющая IP-адреса и серверы, которым разрешено отправлять почту от вашего домена.

# Базовая SPF-запись
company.ru.  IN  TXT  "v=spf1 mx a ip4:185.100.50.10 include:_spf.google.com -all"

# Разбор:
# v=spf1       — версия SPF
# mx           — серверы из MX-записей домена могут отправлять
# a            — сервер из A-записи домена может отправлять
# ip4:x.x.x.x — конкретный IP-адрес
# include:...  — включить SPF-запись другого домена (для Google Workspace, Яндекс и т.д.)
# -all         — строгий режим: все остальные серверы НЕ имеют права отправлять

Варианты политики (qualifier):

Начните с ~all, проанализируйте отчёты DMARC, затем переключитесь на -all.

DKIM подписывает каждое исходящее письмо приватным ключом. Получатель проверяет подпись через публичный ключ, опубликованный в DNS. Это гарантирует, что письмо отправлено вашим сервером и не изменено по пути.

# Генерация ключей DKIM (2048 бит)
openssl genrsa -out dkim_private.key 2048
openssl rsa -in dkim_private.key -pubout -out dkim_public.key

# Формат публичного ключа для DNS (убрать заголовки и переносы)
cat dkim_public.key | grep -v '^-' | tr -d '\n'
# Результат: MIIBIjANBg...long_base64_string...IDAQAB

DNS-запись DKIM:

# Selector._domainkey.domain.  IN  TXT  "v=DKIM1; k=rsa; p=PUBLIC_KEY"
mail._domainkey.company.ru.  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBg...IDAQAB"

mail — это selector (идентификатор ключа). Можно использовать несколько selector-ов для разных серверов: google._domainkey, sendgrid._domainkey.

DMARC объединяет SPF и DKIM и сообщает получающим серверам, что делать с письмами, не прошедшими проверку. Без DMARC серверы сами решают — обычно просто помечают как спам.

# DNS-запись DMARC
_dmarc.company.ru.  IN  TXT  "v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@company.ru; ruf=mailto:dmarc-forensic@company.ru; adkim=r; aspf=r; pct=100; fo=1"

# Разбор:
# v=DMARC1    — версия
# p=reject    — политика для домена (none/quarantine/reject)
# sp=reject   — политика для поддоменов
# rua=mailto: — адрес для агрегированных отчётов (ежедневно)
# ruf=mailto: — адрес для forensic-отчётов (каждое failed письмо)
# adkim=r     — relaxed alignment для DKIM (домены совпадают нестрого)
# aspf=r      — relaxed alignment для SPF
# pct=100     — политика применяется к 100% писем
# fo=1        — forensic report при любом сбое (SPF или DKIM)

План внедрения DMARC:

1. Неделя 1-4: p=none — только мониторинг, сбор отчётов
2. Неделя 5-8: p=quarantine; pct=10 — карантин для 10% неаутентифицированных писем
3. Неделя 9-12: p=quarantine; pct=100 — карантин для всех
4. Неделя 13+: p=reject — полная блокировка поддельных писем

BIMI позволяет отображать логотип компании рядом с аватаром отправителя в поддерживающих почтовых клиентах (Gmail, Apple Mail, Yahoo). Это повышает узнаваемость бренда и доверие к письмам.

Требования для BIMI:

• DMARC с политикой p=quarantine или p=reject
• Логотип в формате SVG Tiny PS (Profile Specification)
• Опционально: VMC-сертификат (Verified Mark Certificate) от DigiCert или Entrust

# Подготовка SVG-логотипа
# SVG должен соответствовать SVG Tiny PS:
# - Без JavaScript
# - Без внешних ссылок
# - Квадратный формат
# - Размер до 32 КБ

# Конвертация существующего SVG
# Используйте https://bimigroup.org/bimi-generator/

# DNS-запись BIMI
default._bimi.company.ru.  IN  TXT  "v=BIMI1; l=https://company.ru/logo/bimi.svg; a=https://company.ru/logo/vmc.pem"

# Без VMC-сертификата (поддерживается Apple Mail, не Gmail):
default._bimi.company.ru.  IN  TXT  "v=BIMI1; l=https://company.ru/logo/bimi.svg"

Важно: Gmail требует VMC-сертификат для отображения логотипа. VMC стоит от $1500/год и требует зарегистрированный товарный знак. Apple Mail и Yahoo отображают логотип без VMC.

После настройки всех записей проведите комплексную проверку:

# Проверка SPF
dig TXT company.ru +short | grep spf
# "v=spf1 mx ip4:185.100.50.10 -all"

# Проверка DKIM
dig TXT mail._domainkey.company.ru +short
# "v=DKIM1; k=rsa; p=MIIBIjANBg..."

# Проверка DMARC
dig TXT _dmarc.company.ru +short
# "v=DMARC1; p=reject; rua=mailto:dmarc@company.ru..."

# Проверка BIMI
dig TXT default._bimi.company.ru +short
# "v=BIMI1; l=https://company.ru/logo/bimi.svg"

# Отправка тестового письма
# Используйте https://www.mail-tester.com/
# Сервис покажет оценку от 1 до 10 с детальным разбором SPF/DKIM/DMARC

# Проверка заголовков полученного письма
# В Gmail: "Показать оригинал" → смотрите Authentication-Results:
# dkim=pass header.d=company.ru
# spf=pass (google.com: domain of sender@company.ru designates ...)
# dmarc=pass (p=REJECT sp=REJECT dis=NONE)

Все три проверки (SPF, DKIM, DMARC) должны показывать pass. Результат fail в любой из них — повод для диагностики до перехода на p=reject.

Настройка аутентификации — не разовое действие. Требуется постоянный мониторинг:

Автоматизация обработки DMARC-отчётов через parsedmarc:

# Установка parsedmarc
pip install parsedmarc

# Конфигурация /etc/parsedmarc.ini
[general]
save_aggregate = True
save_forensic = True

[imap]
host = imap.company.ru
user = dmarc@company.ru
password = SecurePass123
watch = True

[elasticsearch]
hosts = http://localhost:9200

[smtp]
host = localhost
port = 25
from = parsedmarc@company.ru
to = admin@company.ru

# Запуск как systemd-сервис
parsedmarc -c /etc/parsedmarc.ini

parsedmarc автоматически скачивает DMARC-отчёты из почтового ящика, парсит XML и отправляет в Elasticsearch. Подключите Kibana или Grafana для визуализации: график успешных/неуспешных аутентификаций по дням, список IP-адресов, отправляющих от вашего домена, распределение по странам.

Ротация DKIM-ключей: меняйте ключи каждые 6-12 месяцев. Создайте новый selector (например, mail202604), опубликуйте в DNS, переключите сервер, через 48 часов удалите старую запись.

Если вы используете облачную почту, настройка имеет свои особенности:

Яндекс 360 для бизнеса:

# SPF
company.ru.  IN  TXT  "v=spf1 include:_spf.yandex.net -all"

# DKIM — ключ генерируется в панели Яндекса:
# admin.yandex.ru → Почта → DKIM-подписи
mail._domainkey.company.ru.  IN  TXT  "v=DKIM1; k=rsa; p=ключ_из_панели"

Google Workspace:

# SPF
company.ru.  IN  TXT  "v=spf1 include:_spf.google.com -all"

# DKIM — генерируется в Admin Console → Gmail → Аутентификация
google._domainkey.company.ru.  IN  TXT  "v=DKIM1; k=rsa; p=ключ_из_консоли"

Комбинация: свой сервер + Яндекс + рассылочный сервис:

# SPF с несколькими источниками
company.ru.  IN  TXT  "v=spf1 ip4:185.100.50.10 include:_spf.yandex.net include:sendgrid.net -all"

# DKIM — отдельный selector для каждого сервиса
mail._domainkey    → ваш сервер
yandex._domainkey  → Яндекс
sendgrid._domainkey → SendGrid

DMARC проверяет alignment — домен в DKIM-подписи и/или в Return-Path (SPF) должен совпадать с доменом в From. Убедитесь, что каждый сервис правильно подписывает письма вашим доменом.