inrb.by inRB.by

Настройка SPF, DKIM и DMARC на белорусском хостинге для малого бизнеса

SPF, DKIM и DMARC — это набор записей в DNS и подпись писем, которые повышают доставляемость и защищают бренд от подмены почты. Для кафе, салона, интернет‑магазина или сервиса из Минска, Гомеля или районного города правильная настройка уменьшит число писем в спаме, сохранит репутацию домена и упростит коммуникацию с клиентами.

Коротко о каждом элементе и реальный случай

Пример: мини‑пекарня в Вилейке рассылает письма с акциями, но клиенты не получают их в основную папку. Причина часто в отсутствии SPF и DKIM.

  • SPF — текстовая запись (TXT) в DNS, указывающая, какие серверы имеют право отправлять почту от имени домена. Совет: перед изменением понизьте TTL на зоне до 300 секунд, чтобы переключение прошло без долгих задержек.
  • DKIM — электронная подпись писем. Совет: генерируйте ключи с длиной 2048 бит и храните приватный ключ на почтовом сервере, публичную часть публикуйте в DNS как TXT.
  • DMARC — политика обработки неподписанных или подозрительных писем и отчёты о доставке. Совет: начните с p=none и адреса для отчетов, затем постепенно ужесточайте политику.

Пошаговая настройка на управляемом VPS — сценарий салона красоты в Гродно

Салон переносит почту с общего хостинга на управляемый VPS и хочет сохранить рассылки и уведомления по записи. Перед переносом нужно проверить текущие записи и план действий.

  1. Проверьте текущие MX и TXT записи через панель DNS или команду nslookup/dig.
  2. Добавьте или обновите SPF: пример строки для сервера, который отправляет почту через ваш VPS и через сервис рассылок — v=spf1 mx include:mail.provider.by -all. Совет: используйте «-all» только после мониторинга, сначала применяйте «~all».
  3. Установите OpenDKIM на VPS, сгенерируйте ключи: opendkim-genkey -s selector -d yourdomain.by. Опубликуйте публичный ключ в TXT с именем selector._domainkey.yourdomain.by. Совет: имя селектора ставьте простым, например mail2026.
  4. Настройте MTA (Postfix/Exim) на подпись исходящих писем приватным ключом и проверку DKIM для входящих.
  5. Добавьте DMARC запись: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.by; ruf=mailto:dmarc-forensic@yourdomain.by; pct=100. Совет: сначала p=none, чтобы собирать отчёты и корректировать SPF/DKIM.

Если у вас публичный сертификат для webmail или submission, автоматизация сертификатов упростит работу: посмотрите статью про Автоматизация SSL‑сертификатов на белорусском хостинге для инструкций по выпуску и продлению сертификатов.

Мониторинг, отчёты и реакция — сценарий интернет‑магазина в Бресте

Интернет‑магазин получил жалобы от клиентов, что письма с подтверждением заказов попадают в спам. Нужен контроль и корректировки по данным отчётов.

  • Собирайте агрегированные отчёты DMARC (rua) в отдельный почтовый ящик и подключите парсер отчётов или используйте простой скрипт для чтения XML‑файлов.
  • Анализируйте сообщения: какие IP отправляют письма, какие селекторы DKIM проходят, какие сервисы включены в SPF.
  • Пошагово ужесточайте DMARC: p=none → p=quarantine (через 2–4 недели) → p=reject, после устранения всех проблем.

Совет: добавьте в отчётные адреса сотрудников с корпоративной почтой и настройте алерты при резком росте аутентификационных ошибок.

Практические рекомендации по миграции DNS и минимизации простоев

Пример: кафе из Мозыря меняет DNS у домена и боится потери почты на 24 часа. Неправильный TTL и отсутствие резервных MX садят доставку.

  • За 48–72 часа до изменений уменьшите TTL до 300 секунд.
  • Проверьте, что MX указывает на правильный почтовый хост и что обратная запись PTR соответствует IP вашего VPS.
  • Если используете внешние сервисы для отправки рассылок, добавьте их в SPF через include перед переводом основного почтового трафика.
  • После миграции верните рекомендованный TTL (обычно 3600–86400) для стабильности.

При необходимости распределить нагрузку и обеспечить отказоустойчивость для почтовых сервисов изучите материалы по DNS Failover и балансировке для отказоустойчивого сайта в Беларуси.

Типичные ошибки

  • Несколько записей SPF вместо единой объединённой строки.
  • Неправильный селектор DKIM в DNS или несовпадающий приватный ключ на сервере.
  • Высокий TTL перед миграцией, из‑за чего изменения вступают в силу долго.
  • Сразу жёсткая политика DMARC (p=reject) без мониторинга отчётов.
  • Забытые MX или PTR записи при запуске VPS, из‑за чего провайдеры помечают почту как подозрительную.

3 шага, которые можно сделать сегодня:

  1. Проверить текущие MX, SPF и DKIM через панель DNS или dig/nslookup и сохранить результаты.
  2. Если SPF отсутствует, создать одну запись TXT с перечислением отправителей и установить временную политику ~all.
  3. Сгенерировать DKIM‑ключи на сервере или запросить их у почтового провайдера, опубликовать публичный ключ и добавить DMARC с p=none и адресом для отчетов.

Полезные ссылки: Автоматизация SSL‑сертификатов на белорусском хостинге, DNS Failover и балансировка для отказоустойчивого сайта в Беларуси


🗓️

Вернуться на главную →