Глоссарий

Что такое SPF / DKIM / DMARC — трио, защищающее ваш домен от поддельной почты

SPF, DKIM и DMARC — три настройки DNS, позволяющие получателям проверять, подлинна ли почта от вашего домена. Без них нельзя остановить фишинговые письма, отправленные от вашего имени. Роль каждого, схема проверки почты и как настроить безопасно (начинать DMARC с p=none) — изложено просто.

Опубликовано 2026-06-08 Обновлено 2026-06-08 3 мин чтения

«Фишинговые письма уходят от имени вашего домена без вашего ведома» — SPF / DKIM / DMARC останавливают это. Вот роль каждого и как настроить их безопасно.

Роль каждого

Настройка	Роль (в одну строку)
SPF	Объявляет в DNS, какие серверы могут отправлять для этого домена
DKIM	Добавляет криптографическую подпись, доказывающую, что письмо не изменено и от легитимного источника
DMARC	Объявляет, что делать, если SPF/DKIM не прошли, и получает отчёты (краеугольный камень, связывающий все три)

Как почта проверяется

Получатели (Gmail и т. п.) проверяют SPF и DKIM на входящем сообщении, затем применяют вашу политику DMARC, чтобы решить «пропустить / в карантин / отклонить».

Входящая почта (от имени вашего домена)

↓ получатель проверяет

SPF: авторизован ли отправляющий сервер?

DKIM: подпись действительна, не подменена?

↓ сверить результаты с политикой DMARC

DMARC: при провале → пропустить / карантин / отклонить

Получатель проверяет SPF/DKIM, затем политика DMARC выносит решение. Все три должны сцепляться, чтобы это работало.

Так что SPF и DKIM сами по себе могут «проверять, но ничего не делать»; только с политикой DMARC они действительно «останавливают подделку».

Как настроить их безопасно

Одна корректная запись SPF

Авторизуйте каждого легитимного отправителя (свои серверы, почтовые сервисы и т. п.). Держите одну запись SPF на домен (несколько записей обычно её ломают).

Включите подписание DKIM

Включите DKIM в вашей почтовой платформе и опубликуйте открытый ключ в DNS, чтобы легитимная почта подписывалась.

Начните DMARC с p=none

Не отклоняйте сразу. Начните с p=none (только мониторинг) + отчётность, чтобы убедиться, что легитимная почта не отбрасывается.

Ужесточайте постепенно

Когда отчёты покажут, что ни один легитимный отправитель не упущен, переходите p=quarantine → p=reject, в итоге достигнув состояния «подделка отклоняется».

Мнение этого сайта: вы также защищаете своих пользователей

SPF/DKIM/DMARC — это не только про доставку вашей почты, это защита ваших пользователей от фишинга, выдающего себя за ваш домен. Фишинг в конечном счёте — это вход к краже учётных данных и ключей. Многие домены останавливаются на SPF/DKIM и никогда не поднимают DMARC до принуждения (reject). Не оставайтесь на p=none — читайте отчёты и поднимайте до самого reject, чтобы это имело смысл.

Читать дальше

Основы: Чем опасны .env и API-ключи (защита учётных данных)
Глоссарий: Что такое .env

FAQ

QДля чего нужны SPF / DKIM / DMARC?

Чтобы получатели (Gmail и т. п.) могли проверять, подлинна ли почта от вашего домена. Без них кто угодно может беспрепятственно отправлять поддельный фишинг от вашего имени, и репутация вашего домена страдает.

QВ чём разница между этими тремя?

SPF объявляет «какие серверы могут отправлять для этого домена», DKIM — это «криптографическая подпись, доказывающая, что письмо не подменили», а DMARC — «что делать, если SPF/DKIM не прошли, плюс отчётность». DMARC связывает SPF/DKIM вместе и придаёт им зубы.

QНа что обратить внимание при настройке?

Авторизуйте всех легитимных отправителей (почтовые сервисы и т. п.), прежде чем ужесточать. Особенно DMARC: прыжок сразу к reject может отбросить легитимную почту, поэтому начинайте с p=none (только мониторинг), читайте отчёты, затем переходите p=quarantine → p=reject.