Перейти к основному содержимому

Из чего состоит email-аутентификация

Настройка DKIM-подписи, SPF-записи и DMARC-политики — это части процесса email-аутентификации. Про неё у нас есть большая основная статья, которая подробно объясняет, зачем она нужна и как её настраивать.

Как подключить домен и настроить email-аутентификацию

DKIM-подпись

Подключение домена заключается в настройке DKIM-подписи — это зашифрованная подпись, с помощью которой почтовый сервис проверяет:

  • письмо пришло от домена, который имеет право его отправлять,
  • по пути к получателю письмо не было изменено.

DKIM состоит из двух ключей: приватного (хранится в Sendsay) и публичного (находится в DNS). При отправке письма Sendsay создаёт DKIM-подпись и размещает её в технической части письма, а почтовый сервис при получении проверяет подпись на подлинность.

SPF-запись

SPF-запись — это запись в DNS, где перечислены домены и IP-адреса серверов, которые могут отправлять почту от имени вашего домена. Почтовый сервис при получении письма проверяет, с какого адреса оно отправлено, — речь при этом идёт не об адресе отправителя, который видит пользователь, а о техническом адресе, с которого уходят письма.

Как самостоятельно настроить SPF-запись

Перейдите в настройки домена и добавьте следующую TXT-запись:

v=spf1 include:spf.sendsay.ru ~all

DMARC-политика

Сами по себе ни DKIM, ни SPF не защищают от злоумышленников — если письмо не пройдёт эти проверки, почтовые сервисы всё равно пропустят его в ящик получателя или максимум отправят в папку «Спам».

Для защиты от злоумышленников к DKIM-подписи стоит добавить DMARC-политику — это запись в DNS, которая определяет, что делать с письмами, которые в том числе не прошли DKIM-проверку. Есть три варианта:

  • отклонять (reject),
  • отправлять в папку «Спам» (quarantine),
  • пропускать в почтовые ящики письма (none).

Мы не рекомендуем сразу отклонять все письма, которые не прошли проверку, потому что этот вариант может заблокировать ваши рассылки из других источников (например, из CRM-систем), а также подписчики не смогут пересылать ваши письма друг другу. Лучше использовать более свободную политику и отслеживать ежедневные статистические отчёты — они приходят на указанный адрес при любой DMARC-политике.

В отчётах будут содержаться результаты проверки по всем IP-адресам, с которых производилась рассылка писем от имени вашего домена. Если вы обнаружите там подозрительные адреса, стоит провести проверку и на время изменить значение DMARC-политики на более жёсткую, чтобы оградить клиентов от возможных злоумышленников.

Как самостоятельно настроить DMARC-политику

Перейдите в настройки вашего домена и создайте следующую TXT-запись:

_dmarc.example.ru TXT "v=DMARC1; p=none; rua=mailto:postmaster@your.tld"

где:

  • example.ru — ваш домен,
  • p может принимать значения none, quarantine или reject,
  • rua — адрес для ежедневных отчётов.

Чтобы проверить, что всё установлено правильно, отправьте себе тестовую копию рассылки на адрес, который находится на любом основном почтовом сервисе (Яндекс, Mail, Gmail). Если письмо пришло, значит, всё работает.

Дополнительная настройка

Дополнительная настройка включает в себя следующие параметры домена:

Mail from. Это адрес, с которого фактически уходят ваши рассылки (не путайте с адресом отправителя, который видит подписчик).

Отслеживание ссылок. Чтобы переходы по ссылкам из письма учитывались в статистике, они работают следующим образом: ссылка в письме находится в домене Sendsay, поэтому после клика сначала идёт переход на домен Sendsay (он занимает буквально секунду), а потом уже переадресация на оригинальный адрес.

То же самое происходит, когда вы открываете картинку из письма, переходите по ссылке для отписки или открываете веб-версию письма. При желании можно настроить так, чтобы во всех случаях перенаправлять сначала на ваш домен, и тогда Sendsay вообще не будет упоминаться в ваших рассылках.

List-Unsubscribe. Это адрес, куда приходят автоматические письма от подписчиков, которые нажали «Отписаться» в почтовых сервисах.

Relay. Это набор IP-адресов, который используется для отправки рассылок с домена (по умолчанию используются общие для всех клиентов адреса).

Callback. Это адрес, куда отправляется статистика по выпускам домена (например, открытия, переходы по ссылке, отписки).