Блог Spaceship

Що таке SPF, DKIM і DMARC?

Коли йдеться про електронну пошту, довіра — це все. Але перш ніж ваше повідомлення потрапить до чиєїсь папки «Вхідні», воно має пройти кілька непомітних перевірок безпеки. SPF, DKIM і DMARC вирішують, чи виглядають ваші листи легітимними, чи потрапляють у спам.

Розуміння того, як працюють ці записи і як правильно їх налаштувати, може захистити ваш домен і гарантувати, що ваші повідомлення завжди потраплятимуть туди, куди потрібно.

Що таке SPF, DKIM і DMARC в електронній пошті?

Між натисканням кнопки «Надіслати» і доставленням вашого листа починається тиха низка перевірок. Кожна з них ставить те саме запитання: це справді від вас?

SPF, DKIM і DMARC утворюють цикл зворотного зв’язку між відправником і одержувачем, перевіряючи вашу особу або до того, як повідомлення покине ваш домен, або коли воно прибуде, або в обох випадках. Разом вони стоять між вашим повідомленням і папкою «Спам».

Коротко про SPF, DKIM і DMARC:

  • SPF – перевіряє, чи є сервер, який надсилає ваше повідомлення, у списку дозволених для вашого домену. Якщо так, лист проходить далі. Якщо ні, його позначають. Думайте про це як про список гостей для вашого домену.

  • DKIM – додає цифрову печатку до вашого повідомлення перед тим, як воно покине вашу папку «Вихідні». Щойно воно досягає іншого боку, сервер-одержувач відкриває цю печатку, щоб переконатися, що під час передавання нічого не було змінено.

  • DMARC – вирішує, що відбувається, якщо будь-яка з цих перевірок не проходить. Він повідомляє серверу-одержувачу, що робити: доставити повідомлення, надіслати його в спам чи повністю заблокувати.

Ці три механізми працюють разом: один перевіряє відправника, один захищає повідомлення, а один забезпечує виконання правил.

Чому SPF, DKIM і DMARC важливі для безпеки електронної пошти?

SPF, DKIM і DMARC захищають від двох найбільших загроз для електронної пошти сьогодні: спаму та підміни. Зловмисники часто надсилають повідомлення, удаючи когось іншого. Уявіть, що ви отримали лист від Support@yourbank.com із проханням підтвердити дані вашого облікового запису. Ці три перевірки гарантують, що ваш «банк» справді є вашим банком:

Під час фішингової атаки хакери використовують підроблені листи, щоб обманом змусити людей поділитися паролями, номерами кредитних карток або натиснути на шкідливі посилання. Без цих механізмів захисту ваш домен можуть підробити, а клієнти можуть отримувати переконливі повідомлення, які виглядають так, ніби їх надіслали ви. Якщо SPF, DKIM і DMARC налаштовані, такі фальшиві повідомлення зазвичай зупиняються ще до того, як потраплять до папки «Вхідні».

  • SPF перевіряє, чи було лист надіслано з авторизованого сервера.

  • DKIM гарантує, що лист не було змінено під час передавання.

  • Якщо будь-яка з цих перевірок не пройде, DMARC подбає про те, щоб лист було відхилено ще до того, як він потрапить до вашої папки «Вхідні»

Так само під час фішингової атаки хакери надсилають підроблені листи, щоб обманом змусити людей віддати паролі або натиснути на небезпечні посилання. Якщо домен вашої компанії не захищений, вони можуть видати себе за співробітника і написати вашим клієнтам із проханням надати свої дані. Якщо SPF, DKIM і DMARC налаштовані, більшість таких фальшивих повідомлень ніколи не потрапить до папок «Вхідні» ваших клієнтів, тому що сервери-одержувачі зможуть визначити, що вони насправді не від вас.

Чому вони також важливі для доставлення листів, а не лише для безпеки

Якщо ви надсилаєте розсилки, рахунки або маркетингові кампанії, ваша мета, ймовірно, не просто надіслати лист, а й бути побаченим. Але оскільки глобальний обсяг спаму різко зріс, великі провайдери, як-от Gmail і Yahoo, запровадили нові правила, щоб підтримувати чистоту папок «Вхідні».

З 2024 року ці провайдери вимагають від відправників автентифікувати свої домени за допомогою SPF, DKIM і DMARC. Без них ваші листи можуть бути відхилені ще до того, як вони взагалі покинуть вашу папку «Вихідні». Стабільне проходження цих перевірок підвищує вашу репутацію відправника і не дає вашим листам потрапляти у спам. Чим краща ваша репутація, тим швидше доставлення, тим менше позначок спаму і тим вища ваша довіра. Саме для цього й створені спеціалізовані платформи прогріву, як-от Warmy : поступово збільшувати обсяг вихідних листів контрольованими щоденними кроками та генерувати позитивні сигнали взаємодії для великих поштових провайдерів, щоб листи, автентифіковані SPF, DKIM і DMARC, стабільно потрапляли до основної папки «Вхідні», а не в «Промоакції» чи спам.

SPF vs DKIM vs DMARC — у чому різниця?

Щоразу, коли ви сідаєте на літак, ви проходите процес, майже ідентичний тому, як працюють SPF, DKIM і DMARC. Це може звучати дивно, але ці три терміни не так уже й легко запам’ятати, і простіший спосіб їх запам’ятовування справді допомагає. До того ж, якщо ці три механізми не налаштовані, ваша пошта, найімовірніше, опиниться в такому ж становищі, як і ви, якщо пропустите реєстрацію на рейс. На холоді.

SPF – перший контрольний пункт безпеки вашої електронної пошти

Коли ви підходите до стійки, готові до посадки, агент звіряє ваш квиток зі списком рейсу. Якщо ваше ім’я там є, вам дозволено летіти. Якщо ні — ні посадкового талона, ні рейсу.

SPF працює так само. Кожен домен, наприклад example.com, зберігає «список пасажирів» або запис про те, які поштові сервери мають право надсилати листи від його імені. Коли ви надсилаєте лист, сервер-одержувач перевіряє, чи є ваш сервер відправлення в цьому списку. Налаштовуючи SPF-запис, ви фактично додаєте своє ім’я до списку, щоб ваші повідомлення могли пройти перевірку безпеки без затримки.

DKIM – перевірка посвідчення для вашої папки «Вхідні»

Щойно ваш квиток перевірено, настає час підтвердити вашу особу. Фото у вашому паспорті підтверджує, що ви справді це ви, — фізичний підпис, який нелегко підробити. DKIM робить те саме, але для електронної пошти.

DomainKeys Identified Mail (DKIM) додає цифровий підпис до кожного вихідного повідомлення. Цей підпис доводить, що лист не було змінено або підроблено під час передавання, і запобігає відстеженню вашої електронної пошти. Коли ви натискаєте «Надіслати», ваш сервер підписує лист приватним ключем. Коли він прибуває, сервер-одержувач перевіряє цей підпис, підтверджуючи, що повідомлення справжнє і недоторкане.

DMARC – що відбувається, коли щось іде не так

Якщо ви з’явитеся в аеропорту без квитка або паспорта, авіакомпанія має чітку політику щодо того, що буде далі. DMARC працює так само, коли перевірки SPF або DKIM не проходять.

DMARC повідомляє серверу-одержувачу, що робити з листом, якщо перевірка SPF або DKIM не пройшла. Він може:

  • Нічого не робити

  • Помістити повідомлення в карантин (надіслати його в спам)

  • Повністю відхилити повідомлення

Як відправник, ви вирішуєте, яке правило застосовується. Ви задаєте його у своєму DNS, визначаючи, що відбувається, коли ваші повідомлення не проходять перевірку.

Як налаштувати SPF, DKIM і DMARC для вашого домену

Щоб налаштувати SPF, DKIM і DMARC, вам знадобиться доступ до вашого DNS. Саме сюди вказують сервери імен вашого домену, тобто до реєстратора або DNS-хоста.

Як ми згадували вище, SPF працює як список пасажирів, який повідомляє серверам-одержувачам, які хости можуть надсилати пошту для вашого домену. Тож, щоб налаштувати SPF, вам потрібно додати свою електронну пошту до цього списку пасажирів. Для цього є кілька кроків.

1. Перевірте, чи вже є у вас SPF

Почніть із використання безкоштовного інструмента пошуку DNS, щоб перевірити, чи має ваш домен SPF-запис. Якщо інструмент на вкладці TXT показує запис, що починається з v=spf1, це означає, що SPF для вашого домену вже налаштовано.

Якщо такого запису немає, вам потрібно буде створити новий SPF-запис з нуля.

2. Додайте новий SPF-запис у DNS

Щоб додати новий SPF-запис, перейдіть до налаштувань DNS у хостинг-провайдера вашого домену. Це може бути Spaceship, Google, Outlook тощо, залежно від того, хто є вашим провайдером. Знайдіть список наявних записів і виберіть «Додати запис», а потім у меню типу виберіть TXT.

Далі заповніть поля, як показано нижче, щоб створити свій SPF-запис.

Для Spacemail це виглядатиме так:Тип: TXT Record | Хост: @ | Значення: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic

Збережіть і зачекайте кілька хвилин на поширення.

3. Перевірте запис

На цьому етапі ви можете виконати ще одну перевірку за допомогою свого інструмента пошуку DNS. Якщо він відображає ваше значення, усе гаразд. Також важливо пам’ятати, що оновлення хост-запису може тривати до 24 годин, тож не панікуйте, якщо його не буде одразу.

Крок 2. Оновіть налаштування DKIM

DKIM додає цифровий підпис до кожного листа, який надсилає ваш домен, доводячи, що його не було змінено.

1: Згенеруйте свій DKIM-запис

Почніть із налаштувань вашого постачальника електронної пошти.

  1. Перейдіть до розділу автентифікації домену або безпеки електронної пошти.

  2. Знайдіть параметр із назвою DKIM, DomainKeys або подібною.

  3. Виберіть кнопку для створення нових ключів DKIM.

Ваш провайдер надасть вам дві важливі частини інформації:

  • Селектор (наприклад, selector1._domainkey)

  • Сам DKIM-запис — довгий рядок зашифрованого тексту

Рекомендується зберегти обидва значення в безпечному місці, оскільки вони знадобляться вам на наступному кроці.

2: Додайте DKIM-запис до свого DNS

Далі увійдіть до свого DNS-провайдера.

  1. Відкрийте свої DNS-записи та створіть новий запис.

  2. Виберіть CNAME, якщо запис короткий, або TXT, якщо це довший ключ.

  3. У полі Host або Name введіть селектор DKIM (наприклад, selector1._domainkey).

  4. У полі Value вставте DKIM-запис від вашого постачальника електронної пошти.

  5. Збережіть зміни.

Зачекайте кілька хвилин, оскільки оновлення змін DNS може зайняти певний час.

Для бізнес-пошти Spacemail ви можете налаштувати DKIM-запис за допомогою цього посібника.

Крок 3. Додайте налаштування DMARC

Після налаштування SPF і DKIM останнім кроком є DMARC. Вам потрібно лише додати ще один TXT-запис до DNS вашого домену. Цей запис повідомляє поштовим серверам-одержувачам, що робити, якщо лист із вашого домену не проходить автентифікацію, а також дає вам видимість того, хто надсилає пошту від вашого імені.

Запис DMARC має кілька ключових частин, які вам потрібно зрозуміти, перш ніж додавати його:

  • v=DMARC1 – це повідомляє поштовим серверам, що ви використовуєте DMARC. Воно завжди йде першим.

  • p= – це задає вашу політику щодо того, як обробляти неавтентифіковані повідомлення:

  • rua=mailto: – це повідомляє поштовим серверам, куди надсилати ваші щоденні звіти DMARC. Ви можете використовувати адресу на кшталт security@yourdomain.com або dmarc@yourdomain.com. Ці звіти показують, які IP-адреси надсилають пошту від імені вашого домену, допомагаючи вам помічати будь-що незвичне.

1: Згенеруйте DMARC-запис для свого домену

Відкрийте інструмент генерації запису DMARC (можете використовувати будь-який інший інструмент генерації DMARC, якому віддаєте перевагу) і введіть ім’я свого домену в рядок пошуку. Після цього натисніть кнопку Check DMARC Record. Налаштуйте параметри DMARC відповідно до своїх потреб і отримайте згенерований запис.

2: Додайте свій DMARC-запис до налаштувань DNS

Перейдіть до свого DNS-провайдера. Створіть новий запис, вибравши TXT як тип хост-запису. DMARC використовує формат TXT-запису, так само як і SPF.

Використайте host: _dmarc Додайте значення, яке ви згенерували раніше

Після додавання збережіть зміни та зачекайте кілька хвилин, поки вони поширяться. Ви можете використовувати такі інструменти, як MX Lookup Tool або інші безкоштовні інструменти, щоб перевірити, чи правильно налаштовано ваш DMARC-запис.

Ви можете скористатися цим посібником, щоб налаштувати DMARC-запис для свого домену в Spacemail.

Правильне налаштування вашої електронної пошти

Якщо ваші повідомлення постійно потрапляють у спам або зникають посеред шляху, причина може бути у відсутній автентифікації. SPF, DKIM і DMARC надають вашим листам облікові дані, потрібні для безпечного потрапляння до папки «Вхідні».

Коли ви слухаєте пояснення про SPF, DKIM і DMARC, це може звучати складно, але найкраще те, що вони не потребують дорогих інструментів чи складних налаштувань, лише кількох DNS-записів і трохи терпіння. Це одні з найпростіших протоколів електронної пошти, які ви можете додати до своєї поштової системи, і це окупається щоразу, коли ваше повідомлення потрапляє саме туди, куди потрібно.

Часті запитання

SPF перевіряє, що ваш лист надсилається з дозволеного сервера. Безпека електронної пошти DKIM працює шляхом підписування кожного повідомлення цифровим ключем, щоб одержувач знав, що повідомлення не було змінено. DMARC пов’язує їх разом, повідомляючи серверу, що робити, якщо щось виглядає підозріло. Разом вони роблять ваші листи надійними, перевіреними й безпечними.

Якщо розглядати DMARC vs SPF і DKIM, то найкраще вони працюють як команда. Автентифікація електронної пошти SPF і DKIM виконує перевірку, а DMARC вирішує, що відбувається, якщо ці перевірки не пройдено. Без DMARC ваші листи все ще можуть проходити, але ви не матимете контролю над тим, що відбувається, коли вони не проходять. Налаштуйте всі три один раз — і ви закриєте всі потреби як для безпеки, так і для доставлення.

Підміна відбувається, коли хтось надсилає лист, удаючи вас. SPF перевіряє, звідки надійшло повідомлення, DKIM підтверджує, що його не було змінено, а DMARC блокує все підозріле.

Без DMARC немає чіткого правила щодо того, як поштові сервери обробляють підозрілі повідомлення. Це означає, що підроблені листи можуть прослизнути, а ваші справжні можуть бути позначені як спам. DMARC — це частина, яка забезпечує виконання правил, і без неї ваш домен залишається без захисту.

Не зовсім, вони просто виконують різні завдання. SPF перевіряє, хто надсилає лист; DKIM перевіряє, чи його не було змінено. Жоден із них не працює ідеально окремо, але разом вони створюють сильну першу лінію захисту.


Рекомендовані статті

Поділіться своїми думками

Потрібно більше 10 символів.
Ваша ідентичність для публічного відображення.
Надання вашої електронної адреси є необов'язковим. Вона не буде передана третім особам.

Допоможіть нам покращити наш блог

Поділіться своїми думками в короткому двохвилинному опитуванні.

Потрібна дійсна адреса електронної пошти