Аутентификация и безопасность9 мин чтения

SPF, DKIM и DMARC: полный чек-лист

Пятнадцать пунктов, каждый важен. Это обязательный аудит аутентификации перед любой рассылкой — ровно этот чек-лист мы запускаем на домене каждого клиента перед тем, как они платят за проверку попадания в инбокс.

«Мы прошли аутентификацию» — самое распространённое предложение, которое мы слышим прямо перед тем, как inbox-тест возвращает 40% спама. Обычно у таких отправителей есть SPF-запись и DKIM включен — и на этом всё заканчивается. Полная аутентификация — это пятнадцать отдельных проверок, а не две. Прогоните весь список перед тем, как отправлять рассылку на новом домене или добавляете нового сервиса.

Кратко

Пять проверок SPF, четыре проверки DKIM, четыре проверки DMARC и две проверки на выравнивание. Любой провал ослабляет или убивает аутентификацию. Если все пятнадцать пройдены — вы на уровне аутентификации, который Gmail и Yahoo ждят от рассылочников в 2026.

Чек-лист SPF (5 пунктов)

  1. SPF-запись существует на апексе домена. Проверьте командой dig +short TXT example.com | grep spf1. Если записи нет — SPF не работает вообще.
  2. Ровно одна SPF-запись. Две записи = permerror = SPF не работает. Если вывод dig содержит более одной строки v=spf1, объедините их в одну.
  3. Все сервисы отправки указаны. Google Workspace, Microsoft 365, каждый транзакционный ESP, каждый маркетинг-ESP, любой свой почтовый сервер. Пропуск хотя бы одного сервиса — письма от него будут softfail.
  4. Не больше 10 DNS-запросов. Считайте include:, a, mx, exists:, redirect= — включая вложенные из каждого include. Если сомневаетесь — используйте SPF-чекер на MXToolbox.
  5. Кончается на ~all или -all. Никогда +all, никогда ?all, никогда ничего. Новые домены используют ~all; зрелые настройки — -all.

Чек-лист DKIM (4 пункта)

  1. DKIM-селектор опубликован с правильным именем. Проверьте dig +short TXT selector._domainkey.example.com. Результат должен начинаться с v=DKIM1 и содержать публичный ключ p=.
  2. Ключ 2048 бит, не 1024. 1024 ещё работает, но слабый. 2048 — современный стандарт у Gmail, Microsoft и всех крупных ESP.
  3. Поле d= совпадает или выравнивается с From-доменом. Откройте любое полученное письмо и проверьте заголовок DKIM-Signature. Если From это you@brand.com, а подпись говорит d=mailgun.org — DMARC упадёт. Настройте ESP подписывать с d=brand.com.
  4. Каждый сервис отправки подписывает DKIM. Не только основной ESP — транзакционка, маркетинг, поддержка, счета, любой сервис, отправляющий с вашего домена. Неподписанное письмо от одного вендора ломает DMARC-выравнивание для всего потока.

Чек-лист DMARC (4 пункта)

  1. DMARC-запись существует. dig +short TXT _dmarc.example.com должна вернуть v=DMARC1 запись.
  2. Политика как минимум p=none с rua=. Без rua= = нет отчётов = нет видимости. Политика без адреса отчётов едва ли что-то стоит.
  3. Политика переходит на p=quarantine или строже через 2 недели. p=none навеки — это сигнал лени для получателей. Gmail начал давать более низкие оценки p=none записям.
  4. Выравнивание проверено в реальных отчётах. Получите свой последний aggregate-отчёт и подтвердите spf_aligned=1 или dkim_aligned=1 (или оба) для каждого законного источника отправки.

Чек-лист выравнивания (2 пункта)

  1. Return-Path-домен выравнивается с From-доменом (SPF). Если From это you@brand.com, Return-Path должен быть bounces@brand.com или поддомен типа bounces.brand.com при relaxed-выравнивании. Проверьте заголовок Return-Path: в полученном письме.
  2. Поле d= выравнивается с From-доменом (DKIM). Один домен или поддомен при relaxed-выравнивании. Это самое часто ломаемое выравнивание и главная причина большинства сбоев DMARC.

Инструменты для аудита

  • dig +short TXT — самый быстрый и надёжный способ читать записи. На Windows: nslookup -type=TXT.
  • dmarcian SPF Surveyor — развернёт includes, посчитает запросы, найдёт проблемы.
  • MXToolbox — SPF, DKIM, DMARC-запросы в одном интерфейсе с оценками.
  • Mail-Tester.com — отправьте тестовое письмо, получите оценку и все три аутентификационных результата в одном окне.
  • Postmark DMARC Monitoring — бесплатный, постоянный сбор отчётов как только вы опубликуете rua=.
  • Бесплатный тест Inbox Check — отправляет через 20+ реальных seed-ящиков и показывает SPF/DKIM/DMARC по каждому провайдеру, рядом с реальным размещением письма.

Как чинить каждый провал

Если проверка не прошла — вот куда идти дальше:

DNS-команды для запуска прямо сейчас
dig +short TXT example.com | grep spf1
dig +short TXT selector._domainkey.example.com
dig +short TXT _dmarc.example.com

# На Windows:
nslookup -type=TXT example.com
nslookup -type=TXT selector._domainkey.example.com
nslookup -type=TXT _dmarc.example.com

Когда заново проверять весь чек-лист

Запускайте весь список каждый раз, когда вы:

  • Добавляете новый ESP или транзакционный сервис.
  • Меняете провайдера DNS.
  • Переходите на новую почтовую платформу (Google Workspace ↔ Microsoft 365).
  • Добавляете поддомен для нового потока отправки.
  • Вращаете DKIM-ключи.
  • Ужесточаете DMARC-политику.

Даже без изменений — проходите квартальный аудит. Вендоры молча меняют свои SPF-includes, вращают IP, иногда ломают свои DKIM-настройки. Годовая проверка ловит медленный дрейф до того, как его поймает очередная рассылка.

Проверьте попадание в инбокс бесплатно

Запустите бесплатный тест Inbox Check — отправьте письмо через 20+ реальных seed-ящиков в Gmail, Mail.ru, Яндекс, Outlook и других. За 2–3 минуты увидите, где письмо упало в спам и какие ошибки аутентификации его туда загнали.

→ Запустить бесплатный тест

Частые вопросы

Если я пройду все 15 проверок, письмо всегда попадёт в Входящие?

Нет. Аутентификация — необходимое условие, но не достаточное. Репутация, вовлечённость, контент и объём отправки по-прежнему имеют значение. Но без всех 15 пройденных — вы упёрты в потолок ниже того, что могли бы достичь с хорошим контентом и чистым списком.

А BIMI — это часть чек-листа?

BIMI — это слой поверх DMARC, не замена для любого из 15 пунктов. BIMI требует DMARC на p=quarantine или строже плюс проверенный логотип. Рассмотрите его после того, как все 15 чисты, а не до.

Можно пропустить SPF, если есть DKIM?

Технически DMARC проходит с выравниванием либо SPF либо DKIM. На практике отсутствие SPF — это всё ещё сигнал, который используют фильтры. Опубликуйте оба. Стоит 15 минут; выгода — лучше репутация.

Что если вендор отказывается поддерживать выравнивание DKIM?

Отправляйте массовые письма от этого вендора через поддомен, например tx.brand.com, и опубликуйте отдельную SPF/DKIM-настройку для поддомена. From-адрес изменится, но как минимум DMARC выравняется корректно.
Related reading
Found this useful? Share it
AB
Об авторе
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Проверьте доставляемость в 20+ провайдерах

Gmail, Outlook, Yahoo, Mail.ru, Яндекс, GMX, ProtonMail и другие. Реальные скриншоты входящих, SPF/DKIM/DMARC, вердикты спам-фильтров. Бесплатно, без регистрации.

Запустить тест →

Тесты без ограничений · 20+ ящиков · Живые результаты · Аккаунт не нужен