Настройка SPF, DKIM и DMARC на VPS в Беларуси для малого и среднего бизнеса

Это инструкция по настройке трёх важных механизмов почтовой аутентификации — SPF, DKIM и DMARC — на VPS, расположенном в Беларуси. Они повышают доставляемость писем от интернет‑магазина, салона красоты или сервиса уведомлений и снижают риск попадания в спам или подмены отправителя.

Почему это важно: пример для интернет‑магазина в Бресте

Магазин в Бресте рассылает подтверждения заказов и промо‑письма с домена shop‑brest.by. Клиенты жалуются, что письма попадают в спам или не доходят. Без SPF и DKIM почтовые провайдеры ставят доверие на низкий уровень, а DMARC позволяет контролировать реакцию на поддельные письма.

Как сделать: добавьте SPF‑запись в DNS вида:

• v=spf1 a mx ip4:91.###.###.### -all
• Если отправляете через третьи сервисы, добавьте include:mail.example

Проверяйте результат командой на VPS: dig TXT shop-brest.by или host -t TXT shop-brest.by.

DKIM для салона красоты в Гомеле: сценарий и конкретный шаг

Салон использует почтовый сервер на VPS для записи клиентов. Подпись DKIM подтверждает, что письмо не изменили в пути. Без DKIM часто теряются подписи и письма отвергают проверяющие системы.

Как сделать: установить и настроить OpenDKIM или встроенный модуль MTA.

1. Сгенерируйте ключи: opendkim-genkey -t -s selector -d domain.by.
2. Опубликуйте публичный ключ в DNS как TXT: selector._domainkey.domain.by → содержимое файла selector.txt.
3. Настройте MTA (Postfix/Exim) для подписи исходящих писем ключом.

DMARC для автосервиса в Минске: что настроить и почему

Автосервис рассылает приходящие напоминания клиентам. DMARC даёт инструкции почтовым системам, что делать с письмами, не прошедшими SPF/DKIM: принять, отправить в карантин или отвергнуть. DMARC также собирает отчёты о проблемах с доставкой.

Как сделать: создайте TXT‑запись _dmarc.domain.by с примером:

• v=DMARC1; p=quarantine; rua=mailto:postmaster@domain.by; ruf=mailto:admin@domain.by; pct=100; adkim=r; aspf=r

Начинайте с p=none и собирайте отчёты, затем переходите к quarantine или reject после исправления проблем.

Интеграция с внешними почтовыми сервисами — пример интернет‑газеты в Гродно

Интернет‑газета использует рассылочный сервис и свой VPS для транзакционных писем. Неправильные DNS‑записи приводят к конфликтам между сервисом и собственным сервером.

Как сделать: согласуйте SPF и DKIM для всех отправляющих систем.

1. В SPF укажите все отправляющие IP и include для сервисов. Пример: v=spf1 ip4:88.###.###.### include:mail.service.by -all.
2. Если сервис поддерживает DKIM, опубликуйте их селекторы в DNS и сохраните свой селектор для транзакционной почты.
3. Проверьте итоговую цепочку: письмо должно проходить проверку SPF или DKIM и соответствовать политике DMARC.

Типичные ошибки

• SPF‑запись длиннее 255 символов без разбивки на несколько TXT‑записей.
• Публикация неправильного или усечённого DKIM‑ключа в DNS.
• Установка строгой политики DMARC (p=reject) сразу, без анализа отчётов.
• Неучёт всех отправляющих сервисов в SPF (например, SMTP провайдеров или рассылочных платформ).
• Несинхронизированные часы на VPS, из‑за чего подписи DKIM невалидны.

Полезные инструменты проверки: команда dig TXT, просмотр заголовков исходящего письма в почтовом клиенте и анализ DMARC‑отчётов. Для пошаговой проверки и шаблонов записей смотрите статью SPF, DKIM и DMARC для МСП Беларуси: настройка и проверка.

3 шага, которые можно сделать на этой неделе:

1. Проверьте текущие TXT‑записи домена с dig и сохраните копию.
2. Сгенерируйте DKIM‑ключ и опубликуйте его как тест; отправьте письмо в личный почтовый ящик и проверьте заголовки.
3. Опубликуйте DMARC с p=none и подпишитесь на отчёты, чтобы увидеть, какие отправления проходят проверку.