SPF / DMARC / DKIM

Настройте DNS-записи домена для защиты от подделки отправителя и улучшения доставляемости.

После смены MX-записей обязательно обновите SPF — иначе письма от вашего домена могут попадать в спам у получателей.

SPF

SPF (Sender Policy Framework) указывает, с каких серверов разрешена отправка почты от имени вашего домена. Добавьте TXT-запись в DNS-зону:

TXT-запись для вашего домена

v=spf1 mx include:spf.spamorez.ru ~all

Если вы также отправляете почту напрямую со своего сервера или через другие сервисы — добавьте их:

v=spf1 mx ip4:1.2.3.4 include:spf.spamorez.ru ~all

Механизм	Значение
`mx`	Разрешить отправку с серверов, указанных в MX-записях домена
`include:spf.spamorez.ru`	Разрешить IP-адреса инфраструктуры Спаморез (для исходящей почты через шлюз)
`ip4:x.x.x.x`	Явно разрешить конкретный IP-адрес
`~all`	Softfail — письма с других адресов принимать, но помечать (рекомендуется для начала)
`-all`	Hardfail — письма с других адресов отклонять (ужесточить после проверки)

DKIM

DKIM (DomainKeys Identified Mail) — криптографическая подпись исходящих писем. Подпись генерируется вашим почтовым сервером и проверяется получателем по публичному ключу в DNS.

Настройка DKIM выполняется на стороне вашего почтового сервера (Exchange, Postfix и т.д.) или облачного провайдера.

DKIM через Спаморез

Если вы используете Спаморез как исходящий шлюз, он может сам подписывать письма DKIM — без необходимости настраивать подпись на вашем сервере.

Откройте настройки домена в панели управления
Перейдите в раздел Домены, выберите нужный домен и откройте вкладку DKIM.

Задайте селектор и сгенерируйте ключ
Укажите имя селектора (например spz) и нажмите кнопку «Сгенерировать DKIM». Панель создаст пару RSA-2048 ключей и покажет готовую TXT-запись для DNS.

Добавьте TXT-запись в DNS
Скопируйте значение из поля «DKIM запись в DNS» и добавьте TXT-запись в DNS-зону домена:

Имя записи

spz._domainkey.yourdomain.ru

Значение

v=DKIM1; k=rsa; p=MIIBIjANBgkq...

Проверьте публикацию
После распространения DNS (обычно 5–60 минут) нажмите «Проверить DKIM в DNS» — панель сравнит TXT-запись в DNS с сохранённым ключом и покажет результат.

Если поле «Селектор» оставить пустым, Спаморез автоматически задаст селектор spz. Имя селектора входит в имя DNS-записи: селектор._domainkey.домен.

Проверить наличие DKIM-подписи в письмах можно, отправив тестовое письмо на check-auth@verifier.port25.com.

DMARC

DMARC указывает получателям, что делать с письмами, не прошедшими проверку SPF/DKIM, и куда присылать отчёты об ошибках.

Минимальная TXT-запись _dmarc.yourdomain.ru

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.ru

Начните с p=none — только сбор отчётов без блокировок. После анализа отчётов ужесточайте политику:

Параметр	Значение
`p=none`	Не блокировать, только собирать отчёты
`p=quarantine`	Помещать в спам письма, не прошедшие проверку
`p=reject`	Отклонять письма, не прошедшие проверку (максимальная защита)
`rua=mailto:...`	Email для ежедневных сводных отчётов (XML)
`pct=10`	Применять политику только к 10% писем (для постепенного внедрения)

Рекомендуемый порядок внедрения: p=none (1-2 недели, анализ отчётов) → p=quarantine; pct=10 → p=quarantine → p=reject.