«Мы прошли аутентификацию» — самое распространённое предложение, которое мы слышим прямо перед тем, как inbox-тест возвращает 40% спама. Обычно у таких отправителей есть SPF-запись и DKIM включен — и на этом всё заканчивается. Полная аутентификация — это пятнадцать отдельных проверок, а не две. Прогоните весь список перед тем, как отправлять рассылку на новом домене или добавляете нового сервиса.
Пять проверок SPF, четыре проверки DKIM, четыре проверки DMARC и две проверки на выравнивание. Любой провал ослабляет или убивает аутентификацию. Если все пятнадцать пройдены — вы на уровне аутентификации, который Gmail и Yahoo ждят от рассылочников в 2026.
Чек-лист SPF (5 пунктов)
- SPF-запись существует на апексе домена. Проверьте командой
dig +short TXT example.com | grep spf1. Если записи нет — SPF не работает вообще. - Ровно одна SPF-запись. Две записи = permerror = SPF не работает. Если вывод
digсодержит более одной строкиv=spf1, объедините их в одну. - Все сервисы отправки указаны. Google Workspace, Microsoft 365, каждый транзакционный ESP, каждый маркетинг-ESP, любой свой почтовый сервер. Пропуск хотя бы одного сервиса — письма от него будут softfail.
- Не больше 10 DNS-запросов. Считайте
include:,a,mx,exists:,redirect=— включая вложенные из каждого include. Если сомневаетесь — используйте SPF-чекер на MXToolbox. - Кончается на
~allили-all. Никогда+all, никогда?all, никогда ничего. Новые домены используют~all; зрелые настройки —-all.
Чек-лист DKIM (4 пункта)
- DKIM-селектор опубликован с правильным именем. Проверьте
dig +short TXT selector._domainkey.example.com. Результат должен начинаться сv=DKIM1и содержать публичный ключp=. - Ключ 2048 бит, не 1024. 1024 ещё работает, но слабый. 2048 — современный стандарт у Gmail, Microsoft и всех крупных ESP.
- Поле
d=совпадает или выравнивается с From-доменом. Откройте любое полученное письмо и проверьте заголовок DKIM-Signature. Если From этоyou@brand.com, а подпись говоритd=mailgun.org— DMARC упадёт. Настройте ESP подписывать сd=brand.com. - Каждый сервис отправки подписывает DKIM. Не только основной ESP — транзакционка, маркетинг, поддержка, счета, любой сервис, отправляющий с вашего домена. Неподписанное письмо от одного вендора ломает DMARC-выравнивание для всего потока.
Чек-лист DMARC (4 пункта)
- DMARC-запись существует.
dig +short TXT _dmarc.example.comдолжна вернутьv=DMARC1запись. - Политика как минимум
p=noneсrua=. Безrua== нет отчётов = нет видимости. Политика без адреса отчётов едва ли что-то стоит. - Политика переходит на
p=quarantineили строже через 2 недели.p=noneнавеки — это сигнал лени для получателей. Gmail начал давать более низкие оценкиp=noneзаписям. - Выравнивание проверено в реальных отчётах. Получите свой последний aggregate-отчёт и подтвердите
spf_aligned=1илиdkim_aligned=1(или оба) для каждого законного источника отправки.
Чек-лист выравнивания (2 пункта)
- Return-Path-домен выравнивается с From-доменом (SPF). Если From это
you@brand.com, Return-Path должен бытьbounces@brand.comили поддомен типаbounces.brand.comпри relaxed-выравнивании. Проверьте заголовокReturn-Path:в полученном письме. - Поле
d=выравнивается с From-доменом (DKIM). Один домен или поддомен при relaxed-выравнивании. Это самое часто ломаемое выравнивание и главная причина большинства сбоев DMARC.
Инструменты для аудита
dig +short TXT— самый быстрый и надёжный способ читать записи. На Windows:nslookup -type=TXT.- dmarcian SPF Surveyor — развернёт includes, посчитает запросы, найдёт проблемы.
- MXToolbox — SPF, DKIM, DMARC-запросы в одном интерфейсе с оценками.
- Mail-Tester.com — отправьте тестовое письмо, получите оценку и все три аутентификационных результата в одном окне.
- Postmark DMARC Monitoring — бесплатный, постоянный сбор отчётов как только вы опубликуете
rua=. - Бесплатный тест Inbox Check — отправляет через 20+ реальных seed-ящиков и показывает SPF/DKIM/DMARC по каждому провайдеру, рядом с реальным размещением письма.
Как чинить каждый провал
Если проверка не прошла — вот куда идти дальше:
- SPF-запись отсутствует, неправильная или больше 10 запросов: читайте полное руководство по настройке SPF.
- DKIM отсутствует, неправильный селектор или
d=не выравнивается: читайте DKIM простыми словами. - DMARC отсутствует,
p=noneнавеки, нет отчётов: читайте DMARC для начинающих. - Выравнивание не проходит: читайте про настройку SPF и DKIM для Mail.ru.
dig +short TXT example.com | grep spf1
dig +short TXT selector._domainkey.example.com
dig +short TXT _dmarc.example.com
# На Windows:
nslookup -type=TXT example.com
nslookup -type=TXT selector._domainkey.example.com
nslookup -type=TXT _dmarc.example.comКогда заново проверять весь чек-лист
Запускайте весь список каждый раз, когда вы:
- Добавляете новый ESP или транзакционный сервис.
- Меняете провайдера DNS.
- Переходите на новую почтовую платформу (Google Workspace ↔ Microsoft 365).
- Добавляете поддомен для нового потока отправки.
- Вращаете DKIM-ключи.
- Ужесточаете DMARC-политику.
Даже без изменений — проходите квартальный аудит. Вендоры молча меняют свои SPF-includes, вращают IP, иногда ломают свои DKIM-настройки. Годовая проверка ловит медленный дрейф до того, как его поймает очередная рассылка.
Запустите бесплатный тест Inbox Check — отправьте письмо через 20+ реальных seed-ящиков в Gmail, Mail.ru, Яндекс, Outlook и других. За 2–3 минуты увидите, где письмо упало в спам и какие ошибки аутентификации его туда загнали.