SPF, DKIM и DMARC – какво правят

SPF, DKIM и DMARC са трите основни механизма, които помагат на пощенските сървъри да проверят дали едно съобщение наистина е изпратено от вашия домейн. Те не са „добавка“, а важна част от добрата имейл доставяемост, особено когато използвате хостинг платформа, фирмени имейли или контролен панел като Plesk. Правилната им настройка намалява риска вашите имейли да попадат в спам, да бъдат отхвърляни или да бъдат подправяни от трети страни.

Какво представляват SPF, DKIM и DMARC

SPF

SPF (Sender Policy Framework) е DNS запис, който указва кои сървъри имат право да изпращат имейли от името на вашия домейн. Когато пощенският сървър получи съобщение, той проверява дали IP адресът на изпращача е включен в SPF политиката на домейна.

Ако имейлът идва от неоторизиран сървър, SPF проверката може да не премине. Това не винаги означава, че съобщението ще бъде отхвърлено, но често влияе отрицателно на доставяемостта.

DKIM

DKIM (DomainKeys Identified Mail) добавя цифров подпис към изходящия имейл. Подписът се генерира с частен ключ на пощенския сървър, а получателят го валидира чрез публичен ключ, публикуван в DNS на домейна.

Това доказва, че съобщението не е било променено по време на преноса и че наистина произхожда от домейна, който е подписал писмото.

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) използва резултатите от SPF и DKIM и добавя политика как да се процедира, ако проверките не са успешни. Чрез DMARC собственикът на домейна може да заяви дали да се допуска, поставя под карантина или отхвърля имейл, който не е автентичен.

DMARC също така позволява да получавате отчети за това как се използва домейнът ви при изпращане на имейли.

Защо тези записи са важни за доставяемостта

Много получаващи пощенски системи използват SPF, DKIM и DMARC като фактори при оценка на доверие. Ако домейнът ви няма такива записи или те са конфигурирани неправилно, е по-вероятно писмата да попаднат в spam, junk или да бъдат върнати с грешка.

За фирмени пощи това е особено важно, защото имейлите често се изпращат от няколко места:

  • уебсайт форма за контакт;
  • SMTP от хостинг сървъра;
  • външен имейл сервис или newsletter платформа;
  • поощен клиент на локален компютър или мобилно устройство;
  • система за фактуриране, CRM или ticketing платформа.

Ако SPF не включва всички легитимни изпращащи сървъри, част от вашите писма могат да изглеждат като неоторизирани. Ако DKIM не е активен, сървърите получатели имат по-малко сигнали за доверие. Ако липсва DMARC, няма ясна политика как да се обработват фалшиви или неуспешно проверени имейли.

Как работят заедно

Трите технологии се допълват:

  • SPF проверява дали изпращащият сървър е позволен.
  • DKIM проверява дали писмото е подписано и не е променяно.
  • DMARC решава какво да се случи, ако SPF и/или DKIM не преминат и дали домейнът съвпада.

Важно е да се разбере, че DMARC не замества SPF и DKIM. То използва техните резултати и добавя контрол. В практиката най-добри резултати за доставяемост се постигат, когато и трите са настроени правилно.

Какво означава „alignment“ при DMARC

DMARC изисква съвпадение между домейна в заглавката From и домейна, използван при SPF и/или DKIM. Това се нарича alignment.

Например, ако изпращате от [email protected], DMARC ще очаква SPF или DKIM да са свързани с yourdomain.bg, а не с напълно различен домейн.

Най-честите проблеми при DMARC идват от:

  • изпращане през външна платформа без DKIM подпис за вашия домейн;
  • SPF запис, който позволява сървър, но от чужд домейн не се постига alignment;
  • използване на поддомейни без отделна политика;
  • несъответствие между „From“ адреса и реалната инфраструктура за изпращане.

Как се настройват в хостинг среда и Plesk

При hosting платформи и control panel решения като Plesk обикновено настройката става през DNS зоната на домейна и пощенските функции на сървъра. Точните стъпки зависят от това дали имейлът се изпраща от същия хостинг сървър или от външен доставчик.

SPF запис

SPF записът се добавя като TXT запис в DNS. Той трябва да съдържа всички разрешени източници на имейл за домейна.

Обикновено се включват:

  • IP адресът на mail сървъра;
  • hostname-и на сървърите, ако доставчикът ги изисква;
  • външни имейл услуги, ако изпращате чрез тях;
  • механизми като include, когато доставчикът предоставя готов SPF фрагмент.

Препоръка: поддържайте SPF записът кратък и точен. Прекалено много include записи или грешно вложени правила могат да доведат до DNS lookup limit проблеми и неуспешна проверка.

DKIM подписване

За DKIM обикновено се генерира ключова двойка. Частният ключ остава на сървъра, а публичният ключ се публикува в DNS като TXT запис.

В Plesk DKIM често може да се активира от настройките за имейл на домейна. След включване системата генерира необходимите записи и подписва изходящите съобщения автоматично.

Проверете следното:

  • DKIM е активиран за домейна;
  • DNS записът е публикуван правилно;
  • selector-ът съвпада между DNS и mail server конфигурацията;
  • пощенският сървър реално подписва изходящите писма.

DMARC политика

DMARC също се публикува като TXT запис в DNS, обикновено на поддомейна _dmarc. Първоначално е добра практика да се започне с по-лека политика, например мониторинг, за да видите какъв трафик преминава и какви легитимни източници може да липсват.

Основните режими са:

  • p=none — наблюдение без блокиране;
  • p=quarantine — подозрителните писма да отиват в spam/quarantine;
  • p=reject — писмата да се отхвърлят.

В началото често е разумно да се използва p=none, докато потвърдите, че всички легитимни източници на имейл са покрити от SPF и DKIM.

Чести проблеми при SPF, DKIM и DMARC

Прекалено много SPF записи

Домейнът трябва да има само един SPF запис. Ако съществуват два или повече SPF TXT записа, много пощенски системи ще ги третират като грешка.

Липсващ или невалиден DKIM

Ако ключът не е публикуван правилно в DNS, selector-ът е грешен или сървърът не подписва писмата, DKIM ще fail-ва. Това често се вижда при миграции, промени на сървър или смяна на пощенска услуга.

DMARC fail заради несъответствие

Понякога SPF минава, но DMARC пак не минава, защото домейнът на SPF не съвпада с From адреса. Същото важи и за DKIM, ако подписът е с друг домейн.

Външни услуги изпращат от вашия домейн

Newsletter, CRM и billing системи често изискват отделна настройка. Ако те изпращат от ваше име, трябва да добавите техните SPF механизми и/или да активирате DKIM подписване за вашия домейн.

Промени в DNS не са се разпространили

След редакция на DNS записите може да е необходимо време за propagation. Докато TTL стойностите изтекат, различни получатели може да виждат различна конфигурация.

Как да проверите дали работят правилно

При troubleshooting на проблеми с имейли е полезно да проверите реалните заглавки на едно изпратено съобщение. Потърсете резултати като:

  • spf=pass или spf=fail;
  • dkim=pass или dkim=fail;
  • dmarc=pass или dmarc=fail.

Можете също да използвате онлайн тестове за доставяемост и DNS проверки. За хостинг среда е добра практика да потвърдите:

  • дали MX записите са правилни;
  • дали SPF TXT записът е единствен и валиден;
  • дали DKIM selector-ът съвпада с DNS;
  • дали DMARC политиката е публикувана на правилния поддомейн;
  • дали обратният DNS (PTR) е конфигуриран за mail сървъра, ако изпращате от собствен IP.

Практически пример

Представете си, че домейнът example.bg се използва за фирмени имейли през Plesk, но част от съобщенията се изпращат и през външна система за фактуриране.

В този случай трябва да:

  • добавите SPF механизъм за mail сървъра на хостинга;
  • добавите SPF include за фактуриращата платформа, ако тя го изисква;
  • активирате DKIM за домейна в Plesk;
  • проверите дали фактуриращата платформа позволява DKIM подписване с вашия домейн;
  • започнете с DMARC политика p=none и наблюдавайте отчетите.

След като потвърдите, че всички легитимни системи минават успешно SPF и DKIM, можете да преминете към по-строга DMARC политика.

Най-добри практики

  • Използвайте SPF, DKIM и DMARC за всички фирмени домейни.
  • Поддържайте SPF записите прости и актуални.
  • Активирайте DKIM за всеки домейн, който изпраща имейли.
  • Внедрявайте DMARC постепенно, започвайки с мониторинг.
  • Проверявайте заглавките на писмата при проблеми с доставяемостта.
  • Обновявайте DNS при смяна на хостинг, mail server или външна платформа.
  • Проследявайте DMARC report-и, ако са налични.

Как SPF, DKIM и DMARC помагат срещу spoofing и phishing

Една от най-важните им функции е защита от подправяне на домейна. Без тези механизми злоумишлени лица могат да изпращат фалшиви имейли, които изглеждат като че идват от вашата фирма.

SPF ограничава кои сървъри могат да изпращат от вашето име. DKIM прави съобщението подписано и доказуемо. DMARC казва на пощенските системи как да реагират и позволява на собственика на домейна да получава отчетност.

Това е особено важно за организации, които изпращат:

  • фактури;
  • входящи линкове за вход;
  • известия за поръчки;
  • парола за възстановяване;
  • служебна кореспонденция с клиенти.

FAQ

Достатъчен ли е само SPF?

Не. SPF сам по себе си не е достатъчен за добра защита и доставяемост. DKIM и DMARC добавят допълнителна проверка и политика, която е важна за модерните spam филтри.

Трябва ли винаги да включвам DKIM?

Да, препоръчително е. DKIM е силен сигнал за доверие и е особено полезен, ако имейлите минават през различни сървъри или услуги.

DMARC ще спре ли всички спам имейли?

Не. DMARC не е антиспам филтър за входяща поща. То помага да се предотврати подправяне на вашия домейн и подобрява доставяемостта на изходящите писма.

Защо моят SPF е pass, но имейлът пак отива в spam?

SPF е само един от сигналите. Получаващата система може да вземе предвид и репутация на IP, съдържание на писмото, липса на DKIM, лошо alignment, блоклисти и други фактори.

Мога ли да имам различни записи за поддомейни?

Да. Поддомейните могат да имат собствени SPF, DKIM и DMARC записи. Това е полезно, ако различни системи изпращат имейли от различни части на вашата организация.

Колко време след промяна на DNS се виждат резултатите?

Зависи от TTL и кеширането. Понякога ефектът е почти веднага, но в други случаи може да отнеме до няколко часа или повече.

Заключение

SPF, DKIM и DMARC са основа на надеждната имейл комуникация в хостинг среда. Те помагат на пощенските сървъри да разпознаят легитимните съобщения, намаляват риска от spam и защитават домейна ви от злоупотреба. Ако използвате фирмена поща през hosting платформа или Plesk, правилната настройка на тези DNS записи е една от първите стъпки към по-добра доставяемост и по-малко проблеми с изпращането на имейли.

При съмнение проверете SPF записите, DKIM подписването и DMARC политиката, както и реалните заглавки на проблемното съобщение. Това обикновено е най-бързият начин да установите защо писмото е попаднало в spam или е било отхвърлено.

  • 0 Потребителите са отбелязали статията като полезна
Беше ли полезен този отговор?