NPPRTEAM.SHOP
Личный кабинет
Искать:
Ищут чаще всего
Лимит 250$Вериф БМ для WhatsappЗРД пройдено
Техническая поддержка
Популярные категории
  1. Главная
  2. Статьи
  3. Почтовые ящики
  4. Настройка DNS для email: SPF, DKIM, DMARC, BIMI и как они влияют на доставляемость

Настройка DNS для email: SPF, DKIM, DMARC, BIMI и как они влияют на доставляемость

Настройка DNS для email: SPF, DKIM, DMARC, BIMI и как они влияют на доставляемость
0.00
(0)
Просмотров: 64970
Время прочтения: ~ 8 мин.
Почтовые ящики
13.04.26
Редакция NPPR TEAM
Содержание

Обновлено: апрель 2026

Коротко: SPF, DKIM, DMARC и BIMI — DNS-записи, которые аутентифицируют твои письма и напрямую управляют попаданием в inbox. С 2026 года Gmail и Yahoo отклоняют письма с доменов без трёх базовых записей (SPF+DKIM+DMARC). По данным MailReach, inbox placement упал до 87.2% — правильная DNS-настройка решает, попадёт письмо во входящие или в спам. Если нужны готовые email-аккаунты для кампаний — каталог с моментальной доставкой.

✅ Подходит если❌ Не подходит если
Отправляешь маркетинговые или холодные рассылкиТолько получаешь письма, не ведёшь кампании
Управляешь доменами для email-инфраструктурыИспользуешь бесплатный Gmail без кастомного домена
Хочешь перестать попадать в спамЕсть выделенная IT-команда для всех DNS-задач

DNS-аутентификация email — фундамент современной доставляемости писем. Четыре протокола — SPF, DKIM, DMARC и BIMI — работают вместе, чтобы подтвердить твою личность, защитить домен от спуфинга и подать сигнал доверия принимающим серверам. Без них письма по умолчанию воспринимаются как подозрительные. С правильной настройкой inbox rate достигает 85-95% вместо типичных 50-60% у неаутентифицированных отправителей.

  1. Настрой SPF для авторизации отправляющих IP
  2. Сконфигурируй DKIM для подписи каждого исходящего письма
  3. Опубликуй DMARC-политику для принудительной аутентификации
  4. Добавь BIMI для отображения логотипа бренда в inbox
  5. Протестируй всё до запуска любой кампании

Что изменилось в DNS-аутентификации email в 2026

  • Gmail и Yahoo сделали SPF + DKIM + DMARC обязательными для массовых отправителей (5000+ писем/день) — без них автоматический реджект
  • DMARC enforcement сместился с рекомендации p=none к p=quarantine как минимуму для доверенной доставки
  • Адопция BIMI выросла на 40%+ — бренды оценили влияние на open rate и сигналы доверия
  • Порог жалоб Gmail снизился до 0.1% для отправителей больших объёмов
  • Отписка в один клик в заголовках письма стала жёстким требованием
  • По данным MailReach, inbox placement Gmail упал с 89.8% до 87.2% из-за ужесточения аутентификации

SPF: авторизация отправляющих IP

SPF (Sender Policy Framework) — TXT-запись в DNS, которая указывает принимающим серверам, каким IP-адресам разрешено отправлять почту от имени твоего домена. Первый уровень аутентификации и самый простой в настройке.

Как работает SPF

Когда кто-то получает письмо с твоего домена:

  1. Принимающий сервер извлекает домен из envelope sender (MAIL FROM)
  2. Запрашивает SPF-запись этого домена в DNS
  3. Проверяет, есть ли IP отправляющего сервера в SPF-записи
  4. Если да — SPF пройден. Если нет — SPF провален

Синтаксис SPF-записи

v=spf1 include:_spf.google.com include:sendgrid.net -all
КомпонентЗначение
v=spf1Версия SPF (всегда spf1)
include:_spf.google.comАвторизовать серверы Google
include:sendgrid.netАвторизовать серверы SendGrid
-allОтклонять письма с любого другого IP (hard fail)

Квалификаторы SPF

КвалификаторСимволДействие
Pass+Авторизовать IP (по умолчанию)
Fail-Отклонить письма с неавторизованных IP
SoftFail~Принять но пометить подозрительным
Neutral?Нет мнения — как отсутствие SPF

Всегда используй -all (hard fail) в продакшне. ~all допустимо при тестировании, но оставляет домен уязвимым.

Читайте также: Как работает email-доставка: SMTP, DNS-маршрутизация и фильтры спама простыми словами

Ограничения SPF

  • Лимит 10 DNS-запросов — каждый include:, a:, mx:, redirect: считается как один запрос. Превышение 10 вызывает автоматический провал SPF
  • Нет наследования IP — вложенные include тоже считаются
  • Одна SPF-запись на домен — несколько TXT-записей с v=spf1 вызывают ошибки парсинга

⚠️ Важно: Если используешь несколько email-сервисов (Google Workspace + SendGrid + Mailchimp), легко превысить лимит 10 DNS-запросов. Используй инструменты SPF flattening вроде dmarcian или AutoSPF для объединения в прямые IP-диапазоны.

DKIM: криптографические подписи писем

DKIM (DomainKeys Identified Mail) добавляет цифровую подпись к каждому исходящему письму, доказывая, что оно не было изменено при передаче и привязывая его к твоему домену.

Как работает DKIM

  1. Почтовый сервер подписывает каждое исходящее письмо приватным ключом
  2. Подпись добавляется как заголовок DKIM-Signature
  3. Принимающий сервер ищет публичный ключ в DNS (TXT-запись под selector._domainkey.yourdomain.com)
  4. Использует публичный ключ для верификации подписи
  5. Если верификация пройдена — DKIM пройден. Провал — письмо может быть отмечено или отклонено

Пример DKIM-записи

selector1._domainkey.yourdomain.com  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."

Лучшие практики DKIM

  • Используй 2048-битные ключи минимум (1024-бит считается слабым в 2026)
  • Ротируй ключи каждые 6-12 месяцев
  • Настрой отдельные селекторы для каждого email-сервиса
  • Всегда тестируй до запуска — сломанная DKIM-подпись хуже отсутствия DKIM

Кейс: E-commerce бренд отправляет 50 000 транзакционных писем/день через два сервиса: Postmark для чеков, Mailchimp для рассылок. Проблема: DKIM настроен только для Postmark. Все рассылки Mailchimp проваливают DKIM — 35% попадают в спам. Действие: Сгенерировали отдельные DKIM-ключи для Mailchimp (selector: mc1), опубликовали публичный ключ в DNS, проверили выравнивание в дашборде Mailchimp. Результат: DKIM pass rate Mailchimp вырос с 0% до 99.8%. Спам-показатель упал с 35% до 4%. Open rate рассылок вырос на 22%.

Читайте также: Как не попадать в спам: текстовые ошибки, запрещённые паттерны и правила оформления

DMARC: политика, связывающая всё воедино

DMARC (Domain-based Message Authentication, Reporting & Conformance) — протокол принудительного исполнения. Он указывает серверам что делать при провале SPF или DKIM и отправляет тебе отчёты о результатах аутентификации.

Синтаксис DMARC-записи

_dmarc.yourdomain.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100"
ТегЗначениеВарианты
v=DMARC1Версия DMARCВсегда DMARC1
p=Политика для доменаnone / quarantine / reject
rua=Адрес для агрегированных отчётовТвой email для отчётов
ruf=Адрес для forensic-отчётовДетальные отчёты о провалах
pct=Процент писем для применения политики1-100

Дорожная карта внедрения DMARC

ФазаПолитикаСрокЦель
1. Мониторингp=none2-4 неделиСобрать отчёты, найти всех легитимных отправителей
2. Карантинp=quarantine; pct=252-4 неделиТестировать влияние на 25% трафика
3. Наращиваниеp=quarantine; pct=1002-4 неделиПрименить ко всему трафику
4. Отклонениеp=rejectПостоянноМаксимальная защита — поддельные письма блокируются

⚠️ Важно: Никогда не прыгай сразу на p=reject без мониторинга. Если SPF или DKIM настроены неправильно, легитимные письма будут молча отброшены. Начни с p=none минимум на 2 недели и изучи DMARC-отчёты прежде чем повышать.

Нужны email-аккаунты с работающей аутентификацией? Смотри аккаунты Gmail и аккаунты Mail.ru — Google и Mail.ru автоматически обрабатывают SPF/DKIM для своих доменов.

Читайте также: Прогрев Gmail аккаунтов для холодных рассылок в 2026: пошаговый протокол доставляемости

BIMI: логотип бренда в inbox

BIMI (Brand Indicators for Message Identification) — новейший стандарт аутентификации email. Отображает верифицированный логотип бренда рядом с твоими письмами в поддерживающих клиентах — мощный сигнал доверия и узнаваемости.

Требования BIMI

  1. DMARC должен быть на p=quarantine или p=reject (BIMI не работает с p=none)
  2. Логотип в формате SVG Tiny PS (не обычный SVG)
  3. Для Gmail: нужен VMC-сертификат (Verified Mark Certificate) от DigiCert или Entrust (~$1 500/год)
  4. Для Apple Mail и Yahoo: VMC рекомендуется, но не всегда обязателен

Стоит ли внедрять BIMI?

ФакторОценка
Стоимость~$1 500/год за VMC (требование Gmail)
Влияние на open rate+10-15% по ранним исследованиям (Red Sift, 2025)
Узнаваемость брендаЗначительная — видимость логотипа в переполненном inbox
Сложность внедренияСредняя — сначала нужен DMARC на quarantine/reject
ПоддержкаGmail, Apple Mail, Yahoo, AOL — не Outlook (пока)

Для отправителей больших объёмов (100К+ писем/месяц) BIMI оправдывает инвестиции. Для меньших операций фокусируйся на SPF + DKIM + DMARC.

Как аутентификация влияет на доставляемость: цифры

По рыночным данным, влияние DNS-аутентификации на доставляемость существенно:

  • Домены со всеми тремя записями (SPF+DKIM+DMARC): 85-95% inbox placement (SendGrid, 2025)
  • Домены только с SPF: 60-75% inbox placement
  • Домены без аутентификации: 40-55% inbox placement
  • По данным MailReach, общий inbox placement Gmail — 87.2% — домены без аутентификации значительно ниже
  • ROI email-маркетинга составляет $36-40 на каждый потраченный $1 (DMA/Litmus, 2025) — но только когда письма доходят

Рынок email-клиентов: Apple Mail 51.52%, Gmail 26.72%, Outlook 7.06% по данным Litmus. Каждый обрабатывает аутентификацию по-своему, но все наказывают за отсутствие записей.

Кейс: Команда медиабаинга управляет 15 отправляющими доменами для cold outreach. Проблема: 8 доменов имели только SPF, 4 — SPF+DKIM, 3 — полный SPF+DKIM+DMARC. Общий inbox rate: 62%. Действие: Настроили DKIM и DMARC на всех 15 доменах. DMARC на p=none на 3 недели, затем p=quarantine. Результат: Общий inbox rate вырос до 86%. Response rate улучшился с 2.1% до 4.3%. ROI кампаний вырос в 2.4 раза.

Тестирование DNS-записей

Прежде чем запускать любую кампанию, проверь корректность всех записей:

ИнструментЧто тестируетЦена
MXToolboxSPF, DKIM, DMARC + проверка чёрных списковБесплатно
dmarcianАнализ DMARC-отчётов + SPF flatteningFree tier
Google Admin ToolboxGmail-специфические проверки аутентификацииБесплатно
mail-tester.comПолная оценка доставляемости (SPF, DKIM, DMARC, контент)Бесплатно (лимит)
GlockAppsInbox placement у 30+ провайдеров$59/мес

Типичные ошибки DNS-аутентификации и как их исправить

Даже правильно настроенные DNS-записи могут работать неверно из-за типичных ошибок конфигурации. Самая частая — неправильный SPF при наличии нескольких отправляющих сервисов. Если ты используешь основной SMTP-провайдер, плюс Mailchimp для рассылок, плюс Zendesk для поддержки — каждый из них хочет быть в SPF. Стандарт разрешает не более 10 DNS-запросов на SPF-проверку. Превышение этого лимита вызывает «SPF PermError», который большинство почтовых провайдеров обрабатывают как ошибку аутентификации.

Проверяй свой SPF через MXToolbox SPF Checker или dmarcian — они показывают количество DNS-запросов и предупреждают о превышении лимита. Если сервисов много, используй инструменты SPF-флаттенинга (AutoSPF, EasyDMARC Flattener): они заменяют include-директивы на прямые IP-адреса, снижая число запросов до 1-2.

Вторая распространённая ошибка — DMARC в режиме «none» навсегда. Политика «p=none» означает, что домен публикует DMARC-запись, но не применяет никаких мер при сбое аутентификации — только собирает отчёты. Это нормально на этапе мониторинга, но если ты оставил «p=none» на 6+ месяцев, ты не защищаешь домен от спуфинга. Gmail и Yahoo в 2024 году начали требовать DMARC для массовых отправителей; к 2026 году «p=reject» или «p=quarantine» стали стандартом для доменов с серьёзной репутацией.

Третья ошибка — DKIM-ключи без ротации. Ключи следует менять минимум раз в год — это снижает риск при утечке и соответствует рекомендациям RFC 6376. Большинство ESP ротируют ключи автоматически; если используешь собственный SMTP-сервер, поставь напоминание в календарь. Проверить текущую подпись можно через DKIM Inspector на MXToolbox: инструмент покажет длину ключа (минимум 2048 бит), дату создания и корректность записи.

Быстрый старт: чеклист

  • [ ] Создай SPF-запись со всеми авторизованными сервисами — используй квалификатор -all
  • [ ] Сгенерируй DKIM-ключи (минимум 2048 бит) для каждого используемого email-сервиса
  • [ ] Опубликуй публичные DKIM-ключи как TXT-записи под selector._domainkey.yourdomain.com
  • [ ] Создай DMARC-запись с p=none и rua=mailto:твой-отчёт@email.com
  • [ ] Протестируй все записи через MXToolbox и mail-tester.com
  • [ ] Мониторь DMARC-отчёты 2-4 недели
  • [ ] Повысь DMARC до p=quarantine после подтверждения прохождения всех легитимных отправителей
  • [ ] Рассмотри BIMI если отправляешь 100К+ писем/месяц

Готов запускать email-кампании с правильной инфраструктурой? Смотри email-аккаунты на npprteam.shop — более 250 000 выполненных заказов с 2019 года, 95% моментальная автоматическая доставка, поддержка за 5-10 минут.

Читайте также

  • Основы email-маркетинга: как работает канал и зачем он нужен бизнесу
  • Типы подписок и сегментация базы: как делить аудиторию, чтобы письм...
  • Письма, которые конвертируют: структура, триггеры, дизайн и психоло...
  • Сравнение почтовых аккаунтов для маркетинга: Outlook vs Gmail vs Yahoo vs Proton vs Mail.ru vs Rambler

Что читать дальше

Другие статьи

Часто задаваемые вопросы

Нужны ли SPF, DKIM и DMARC все три для доставки писем?

Да. С 2025 года Gmail и Yahoo требуют все три для массовых отправителей (5000+ писем/день). Даже для меньших объёмов отсутствие любого из них существенно снижает inbox rate. SPF авторизует IP, DKIM подтверждает целостность, DMARC принуждает к исполнению политики.

Что такое лимит 10 DNS-запросов SPF?

SPF позволяет максимум 10 DNS-запросов (include, redirect, a, mx механизмы). Превышение лимита вызывает автоматический провал SPF — аутентификация ломается молча. Используй инструменты SPF flattening для объединения нескольких include в прямые IP-диапазоны.

Сколько времени занимает распространение DNS-изменений?

Обычно 15 минут — 48 часов в зависимости от TTL (Time To Live). Для записей аутентификации устанавливай TTL 300-600 секунд (5-10 минут) при начальной настройке для быстрого распространения, затем увеличивай до 3600 (1 час) после стабилизации.

С какой DMARC-политики начинать?

Всегда начинай с `p=none` на 2-4 недели. Это мониторит результаты аутентификации не влияя на доставку, позволяя найти неправильно настроенные сервисы. Переходи на `p=quarantine` только после подтверждения прохождения SPF и DKIM всеми легитимными источниками.

Стоит ли настраивать BIMI для малого бизнеса?

BIMI требует VMC-сертификат (~$1 500/год для Gmail), поэтому экономически оправдан для отправителей больших объёмов (100К+ писем/месяц). Прирост open rate на 10-15% может окупить стоимость на масштабе. Для меньших операций направь бюджет на SPF, DKIM, DMARC и прогрев домена.

Можно ли использовать один DKIM-ключ для нескольких email-сервисов?

Нет. Каждый email-сервис (Google Workspace, SendGrid, Mailchimp и т.д.) генерирует собственные DKIM-ключи с уникальными селекторами. Публикуешь публичный ключ каждого сервиса как отдельную DNS-запись. Несколько DKIM-записей допустимы — в отличие от SPF, лимита нет.

Что происходит если DMARC на reject а SPF провалился?

При `p=reject` письма, провалившие выравнивание SPF и DKIM, полностью блокируются — не доходят до получателя. Поэтому нужно убедиться что все легитимные отправители проходят аутентификацию до перехода на reject. Используй DMARC-отчёты для верификации.

Как DNS-аутентификация влияет на доставляемость холодных писем?

DNS-аутентификация — главный фактор доставляемости cold email после репутации домена. По данным Instantly, около 17% холодных писем не доходят до inbox — провалы аутентификации одна из ведущих причин. Правильная настройка SPF+DKIM+DMARC может улучшить inbox rate холодных писем на 20-30% по сравнению с неаутентифицированными доменами.

Об авторе

Редакция NPPR TEAM
Редакция NPPR TEAM

Материалы подготовлены командой медиабайеров NPPR TEAM — 15+ специалистов с суммарным опытом более 7 лет в закупке трафика. Команда ежедневно работает с TikTok Ads, Facebook Ads, Google Ads, тизерными сетями и SEO в регионах Европы, США, Азии и Ближнего Востока. С 2019 года выполнено более 30 000 заказов на платформе NPPRTEAM.SHOP.

Статьи