SPF, DKIM и DMARC: как защитить домен от подделки писем

Если вы отправляете email-письма с корпоративного домена (например, @yourcompany.com), важно защитить его от подделки (спуфинга). Без дополнительной настройки злоумышленник может отправить письмо от имени вашего домена, и оно будет выглядеть легитимно.

Технологии SPF, DKIM и DMARC — это три основных инструмента в арсенале администратора почтовой безопасности. Вместе они помогают:

Подтвердить, что письма действительно отправлены с разрешённых серверов.
Защитить получателей от фишинга.
Снизить вероятность попадания в спам.

SPF (Sender Policy Framework)

SPF — это DNS-запись, указывающая, какие IP-адреса имеют право отправлять письма от вашего домена.

Пример SPF-записи:

v=spf1 include:_spf.google.com ~all

Как работает:

Получатель проверяет DNS вашего домена.
Если IP-адрес сервера есть в списке — письмо проходит проверку.
Если нет — письмо может быть помечено как подозрительное.

DKIM (DomainKeys Identified Mail)

DKIM добавляет цифровую подпись к каждому письму. Эта подпись проверяется получателем и гарантирует, что содержимое письма не было изменено.

Пример заголовка DKIM:

DKIM-Signature: v=1; a=rsa-sha256; d=yourdomain.com; s=google;

Как работает:

Почтовый сервер отправителя подписывает письмо приватным ключом.
Получатель сверяет подпись с публичным ключом, размещённым в DNS-записи домена.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC объединяет SPF и DKIM, позволяя задать политику действий, если одно из них не проходит проверку.

Пример DMARC-записи:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com

Политики p=:

none — только сбор отчётов, без действий.
quarantine — подозрительное письмо отправляется в спам.
reject — письмо отклоняется полностью.

Отчёты:

DMARC также позволяет собирать отчёты о попытках подделки и ошибках аутентификации.

Как проверить настройки?

https://mxtoolbox.com — проверка SPF/DKIM/DMARC.
dig, nslookup, host — просмотр DNS-записей из терминала.
Отправьте письмо на https://www.mail-tester.com — получаете оценку + рекомендации.

Большинство почтовых клиентов имеют опцию «Показать оригинал» или «Показать заголовки», где отображается полный технический заголовок письма. Именно туда почтовые серверы добавляют результаты проверки SPF, DKIM и DMARC.

Заголовок — это длинный блок текста, обычно над телом письма. Чтобы найти нужную информацию, удобно использовать поиск по странице: нажмите Ctrl+F (или Cmd+F на Mac) и введите spf, dkim или dmarc.

Пример фрагмента заголовка:

arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com);

Ключевое слово pass рядом с каждой технологией означает, что проверка пройдена:

spf=pass — письмо пришло с разрешённого IP, указанного в SPF-записи домена.
dkim=pass — цифровая подпись совпадает с публичным ключом домена.
dmarc=pass — совокупная проверка SPF и DKIM соответствует политике DMARC.

В этом примере письмо прошло все три проверки, и сервер получателя подтвердил, что письмо действительно пришло от example.com, а не от поддельного отправителя.

Важно: SPF, DKIM и DMARC сами по себе не гарантируют безопасность. Их нужно правильно настроить, а сервер получателя — должен проверять и применять эти политики. Даже домены, которые не отправляют письма, должны иметь хотя бы DMARC-запись, чтобы злоумышленники не могли использовать их имя.

Заключение

SPF, DKIM и DMARC — это основа безопасности электронной почты. Их настройка помогает:

Защитить бренд от фишинга и спуфинга.
Снизить вероятность попадания в спам.
Повысить доверие к вашей рассылке.

Не стоит надеяться, что почтовый провайдер сделает всё за вас. Без ручной настройки эти технологии не работают. Потратьте 30 минут один раз — и избежите сотен часов борьбы с компрометацией домена в будущем.