Настройка SPF, DKIM и DMARC для рассылок онлайн-школы

Настройка SPF, DKIM и DMARC для рассылок онлайн-школы

Если ваши письма с расписанием занятий, напоминаниями о курсах или новостями школы попадают в спам - это не случайность. Это результат отсутствия правильной настройки SPF, DKIM и DMARC. Для онлайн-школы, которая зависит от электронной почты, чтобы держать студентов в курсе, это не техническая деталь - это вопрос выживания. Без этих трёх записей в DNS ваши письма могут не дойти до 60% получателей. И да, это происходит даже если вы используете популярные сервисы вроде Mailchimp или Wix.

Почему SPF, DKIM и DMARC - это не «по желанию»

Почтовые системы Google, Yahoo, Microsoft и другие давно перестали доверять письмам без проверки. Они не спрашивают: «Это правда от школы?». Они смотрят на три технических доказательства: где письмо отправлено, подписано ли оно и какая политика по обработке подозрительных писем. Если хотя бы одно из них отсутствует - письмо рискует попасть в спам или вообще не доставиться.

SPF говорит: «Эти серверы имеют право отправлять письма от имени моего домена». DKIM говорит: «Это письмо не менялось с момента отправки - оно подписано моим ключом». DMARC говорит: «Если письмо не прошло проверку SPF и DKIM - отклоняй его или отправляй в спам, и отправь мне отчёт».

Без этого ваша рассылка с напоминанием о начале курса может быть прочитана только теми, кто сам зашёл в почту. Остальные - потеряны. И вы даже не узнаете, что они не получили письмо.

Что такое SPF и как его настроить

SPF (Sender Policy Framework) - это TXT-запись в DNS, которая перечисляет IP-адреса или сервисы, которым разрешено отправлять письма от вашего домена. Например, если вы используете Wix, Google Workspace или SendGrid - все они должны быть указаны в SPF.

Простой пример SPF-записи для онлайн-школы:

v=spf1 include:_spf.google.com include:servers.wix.com ~all

Здесь:

  • v=spf1 - версия протокола;
  • include:_spf.google.com - разрешает Google отправлять письма от вашего домена (если вы используете Gmail или Google Workspace);
  • include:servers.wix.com - разрешает Wix отправлять письма;
  • ~all - означает «мягкий отказ»: если письмо пришло с другого сервера - оно не отклоняется, но помечается как подозрительное.

Важно: SPF добавляется в корень домена - например, для your-school.com запись должна быть в your-school.com, а не в поддомене вроде mail.your-school.com.

Если вы используете Reg.ru, Cloudflare или другого DNS-провайдера - зайдите в панель управления доменом, найдите раздел DNS-записей и добавьте новую TXT-запись. В поле «Имя» введите @ или оставьте пустым (в зависимости от интерфейса), а в поле «Значение» - всю строку SPF, как в примере выше.

DKIM: цифровая подпись, которая не подделать

DKIM (DomainKeys Identified Mail) - это криптографическая подпись, которая прикрепляется к каждому исходящему письму. Она работает как печать на конверте: если письмо изменили по пути - подпись сломается, и получатель узнает, что это не оригинал.

Для DKIM нужно сгенерировать пару ключей: приватный (хранится на вашем почтовом сервере) и публичный (помещается в DNS). Большинство платформ, включая Wix, Mailchimp и Google Workspace, делают это за вас - вам нужно только скопировать ключ и добавить его в DNS.

Пример DKIM-записи в DNS:

default._domainkey.your-school.com IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx..."

Здесь:

  • default._domainkey - это селектор. Он может быть другим, например selector1._domainkey. Платформа скажет вам, какой именно использовать;
  • v=DKIM1 - версия;
  • k=rsa - тип ключа;
  • p=... - сам публичный ключ.

Важно: добавляйте DKIM как TXT-запись, но не в корень домена - а в поддомен, указанный в селекторе. Если селектор default, то хост будет default._domainkey.your-school.com.

Если вы используете Cloudflare - убедитесь, что для этой записи включён режим «DNS only» (серое облако). Если облако оранжевое - Cloudflare будет пытаться проксировать DNS, и DKIM не будет работать.

Дружелюбный DNS-сервер устанавливает три ключевые записи для защиты электронной почты школы.

DMARC: ваша политика безопасности

DMARC (Domain-based Message Authentication, Reporting and Conformance) - это не просто ещё одна запись. Это ваша политика. Он говорит почтовым системам: «Что делать, если письмо не прошло проверку SPF и DKIM?»

Без DMARC вы не получаете отчётов. Вы не знаете, кто пытается подделать ваш домен. Вы не контролируете, куда попадают письма, которые вы не отправляли.

Пример DMARC-записи:

_dmarc.your-school.com IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@your-school.com; ruf=mailto:forensic@your-school.com"

Разберём по частям:

  • v=DMARC1 - версия;
  • p=reject - политика: отклонять письма, не прошедшие проверку. Можно начать с p=none (только мониторинг), потом перейти на p=quarantine, и только потом - на reject;
  • rua=mailto:dmarc-reports@your-school.com - адрес, куда приходят сводные отчёты (раз в сутки);
  • ruf=mailto:forensic@your-school.com - адрес, куда приходят детальные отчёты о каждом подозрительном письме (не обязательно, но полезно для анализа).

Запись добавляется в DNS как TXT-запись с хостом _dmarc (обязательно с подчёркиванием!). То есть для домена your-school.com вы создаёте запись для _dmarc.your-school.com.

Важно: не используйте генераторы DMARC, которые выдают запись на кириллице. Некоторые сайты переводят mailto: на русский как почта: - это сломает всю настройку. Копируйте только латинские символы.

Порядок настройки: сначала SPF, потом DKIM, потом DMARC

Не начинайте с DMARC. Если вы сразу поставите p=reject, а SPF или DKIM настроены с ошибкой - ваши письма перестанут доходить. Это как закрыть дверь, пока ещё не проверил, есть ли ключ.

Правильный порядок:

  1. Настройте SPF - добавьте все сервисы, которые отправляют письма от вашего домена.
  2. Настройте DKIM - получите ключ от вашей платформы (Wix, Mailchimp и т.д.) и добавьте его в DNS.
  3. Проверьте обе записи - используйте онлайн-инструменты, например, MXToolbox или DMARC Inspector. Убедитесь, что обе записи видны и корректны.
  4. Настройте DMARC - начните с p=none и ждите 48 часов. Смотрите отчёты. Если всё чисто - переходите на p=quarantine. Через неделю - на p=reject.

Если вы используете Wix - их система предлагает добавить пять CNAME-записей. Это не SPF/DKIM/DMARC. Это проверка владения доменом. Это нужно, чтобы Wix мог отправлять письма от вашего имени. Но это не заменяет SPF, DKIM и DMARC. Они нужны отдельно.

Студенты смотрят на спам, пока техник включает защиту, и письма попадают в почтовый ящик.

Как проверить, что всё работает

После добавления всех записей - ждите 24-48 часов. DNS распространяется не мгновенно.

Затем проверьте:

Если вы видите «Pass» по всем трём - отлично. Если «Fail» - ищите ошибку. Часто причина в:

  • лишних пробелах в записи;
  • неправильном селекторе DKIM;
  • отсутствии include для сервиса, который реально отправляет письма;
  • использовании прокси (Cloudflare в режиме «оранжевое облако») для TXT-записей.

Для получения подробных отчётов по DMARC используйте сервисы вроде PowerDMARC или Postmark. Они не только показывают отчёты, но и предупреждают, если кто-то пытается подделать ваш домен. Это особенно важно для онлайн-школ - мошенники часто используют похожие домены, чтобы обманывать студентов.

Что ещё важно для рассылок онлайн-школы

SPF, DKIM и DMARC - это основа. Но есть ещё два элемента, которые улучшают доставляемость:

  • MX-записи - указывают, на каких серверах принимаются письма. Они нужны для входящей почты, но если вы не принимаете письма на домен - их можно не настраивать.
  • TLSA-записи - добавляют шифрование для SMTP-соединений. Это продвинутая мера, но для школы, которая отправляет личные данные студентов (оценки, контакты, оплаты), она повышает доверие.

И главное - не забывайте о содержании писем. Даже с идеальной настройкой SPF/DKIM/DMARC, письмо с темой «Срочно! Оплатите курс до завтра» или с 20 ссылками попадёт в спам. Пишите честно, без нажима, с человеческим тоном. Техническая настройка - это гарантия, что письмо дойдёт. А содержание - что его прочитают.

Что делать, если письма всё ещё в спаме

Если вы всё настроили, ждали 48 часов, проверили через MXToolbox - а письма всё равно попадают в спам:

  • Проверьте, не заблокирован ли ваш IP-адрес в чёрных списках (например, через Spamhaus).
  • Убедитесь, что вы используете один и тот же домен для отправки и для обратного адреса (From:).
  • Не отправляйте письма с поддоменов, если они не настроены отдельно (например, news.your-school.com требует отдельной настройки SPF/DKIM/DMARC).
  • Попросите студентов добавить ваш адрес в контакты. Это повышает доверие почтовых систем.
  • Используйте сервисы вроде Mailchimp или SendGrid - они уже имеют репутацию и настроенные записи. Просто привяжите свой домен.

Можно ли использовать одну SPF-запись для нескольких доменов?

Нет. SPF-запись привязана к одному домену. Если у вас несколько доменов (например, school1.com и school2.com), у каждого должна быть своя SPF-запись. Можно использовать одинаковые значения, если вы отправляете с одних и тех же серверов, но запись должна быть добавлена отдельно для каждого домена.

Что будет, если я не настрою DMARC?

Без DMARC вы не получите отчёты о попытках подделки вашего домена. Письма, не прошедшие SPF или DKIM, могут попасть в спам, а вы этого не узнаете. Кроме того, почтовые системы могут снижать доверие к вашему домену со временем, потому что не видят политики безопасности. DMARC - это не просто защита, это сигнал: «Я серьёзно отношусь к своей почте».

Как часто нужно проверять SPF, DKIM и DMARC?

Проверяйте хотя бы раз в три месяца. Особенно если вы меняете почтовый сервис, добавляете новый инструмент (например, новую CRM) или обновляете DNS. Также проверяйте сразу после любых изменений в настройках рассылки. Один неправильный IP-адрес в SPF - и 30% писем пропадают.

Можно ли настроить всё через Wix без доступа к DNS?

Нет. Wix может помочь вам с генерацией ключей и подсказками, но добавить TXT-записи в DNS вы должны сами. Это делается в панели вашего регистратора домена - Reg.ru, Cloudflare, GoDaddy и т.д. Без этого Wix не может доказать, что вы владеете доменом. Это как дать ключ от дома, но не установить замок.

Почему в отчётах DMARC пишут «fail» для писем, которые я отправлял?

Это может быть связано с тем, что письмо прошло через несколько серверов, и один из них не поддерживает DKIM или SPF. Например, если вы отправляете через Mailchimp, но в письме есть встроенный URL, который открывается через сторонний сервис - он может изменить заголовки. Или вы используете резервный сервер, который не включён в SPF. Проверьте все сервисы, которые используются для отправки, и убедитесь, что они все добавлены в SPF и DKIM.

John Rothra

Автор John Rothra

Я предприниматель и маркетолог, помогаю экспертам выстраивать онлайн-продукты и продажи. Пишу о стратегиях инфобизнеса, воронках и запуске курсов на понятном языке. Веду рассылку, делаю разборы и курирую небольшие команды продюсеров. Люблю тестировать гипотезы и превращать контент в измеримый результат.

10 Комментарии

Dmitry Farmer

Спасибо за детальный гайд. Уже настроил всё по вашему алгоритму - SPF, DKIM, DMARC. За неделю ни одного письма не ушло в спам. Студенты начали писать, что получают напоминания. Это как включить свет в тёмной комнате.

Александр Александров

О, великий мудрец, который понял, что письма - это не просто текст, а вестник цивилизации. Мы, люди, забыли, что почта - это священный ритуал. А теперь вы нам напомнили, что без SPF, DKIM и DMARC мы - как писатели без пера, как музыканты без инструмента, как интернет без Wi-Fi. О, Боже, как же мы жили раньше?!

Я плачу, когда вижу, как письмо уходит в спам. Это как смотреть, как умирает дитя. И всё потому, что кто-то не добавил ~all. Просто ~all. Это как забыть поцеловать мать перед смертью.

Вы знаете, что DMARC - это не просто запись? Это молитва. Это крик души, обращённый к Gmail, Yahoo и Microsoft: «Я не шарлатан! Я не фишинг! Я - онлайн-школа!»

И да, я видел, как один человек настроил SPF с лишним пробелом - и 47 студентов не получили напоминание о занятии. Это было как в «Играх престолов» - только без драконов, только с DNS-записями.

Спасибо, что не сказали «всё просто». Потому что это не просто. Это - искусство. И я, Александр Александров, буду его защищать, как последний храм.

Кто-то говорит: «Ну, а если не настроишь?» А я отвечаю: «Тогда ты - не учитель. Ты - мусор.»

Я не смеюсь. Я плачу. За каждого студента, чьё письмо утонуло в спаме. За каждую потерянную возможность. За каждую забытую лекцию.

Пожалуйста, настройте. Пожалуйста. Я молюсь.

Марина Чайкина

Александр, ты гений. Или безумец. Но точно - не обычный человек.

Я тоже настроил всё, как в гайде. Проверила через MXToolbox - всё Pass. Студенты перестали писать «не получила напоминание». Теперь пишут: «Спасибо, что не забыли про нас».

Самое смешное - раньше я думала, что это «техническая фигня». А теперь понимаю: это про уважение. Про то, что ты не хочешь, чтобы твои студенты чувствовали себя ненужными.

Спасибо, что не просто дал инструкцию, а объяснил, зачем это нужно. Это не про серверы. Это про людей.

Serjio UA

Всё работает! Студенты в восторге. Я думал, это сложно. Оказалось - просто. Главное - не бояться зайти в DNS. Сделал, и жизнь изменилась. Спасибо!

ТАТЬЯНА САМОГОРОДСКАЯ

Вы не упомянули, что в некоторых DNS-панелях, например, у Reg.ru, поле «Имя» для SPF-записи должно быть пустым, а не «@». Это критично. И многие путают это. И да - SPF не работает, если вы добавили его в поддомен. Это не шутка. Это реальность. И ещё - не используйте генераторы с кириллицей. Это не «ошибка», это катастрофа. Проверьте каждую букву. Каждую. Даже если вы уверены - проверьте снова.

Элина Коханая

Благодарю за исключительно структурированный и методически выверенный материал. Каждый раздел соответствует стандартам IT-документации, а логическая последовательность настройки SPF, DKIM и DMARC демонстрирует глубокое понимание протоколов. Особо отмечу корректное указание на необходимость использования именно TXT-записей, а не CNAME, а также предупреждение о режиме «оранжевого облака» в Cloudflare - это критически важные детали, часто упускаемые даже профессионалами. Рекомендую данный гайд как эталонный материал для курсов по сетевой безопасности в образовательных учреждениях.

Андрей Иванов

Да, это всё работает, но давайте честно - если ты используешь Wix или Mailchimp, то 90% этих настроек они делают за тебя. Просто привяжи домен, и всё. Но если ты сам хостишь почту - тогда да, это ритуал. Я сам в прошлом году пытался настроить всё через Postfix + OpenDKIM - три дня. Потом понял: зачем? Всё равно умрёт через месяц. Сделал через SendGrid - за час. И всё работает. Главное - не лезь в DNS, если не понимаешь, что ты делаешь. Ты не инженер - ты преподаватель. У тебя есть дела поважнее, чем TXT-записи. Но если хочешь - читай гайд. Он классный.

Евгений Абидаев

Интересно, а если я использую несколько доменов для разных курсов - мне нужно настраивать всё три раза? Или можно как-то объединить? Я не хочу копировать одну и ту же запись 10 раз. Это же неэффективно. Может, есть способ? Я просто думаю - если письмо идёт с одного сервера, зачем разные SPF?..

Сергей Гринев

Всё это - как садить дерево. Сначала землю копаешь, потом корни кладёшь, потом засыпаешь. И только потом поливаешь. Если сразу полить - дерево умрёт. Так и тут. SPF - это лунка. DKIM - корни. DMARC - полив. И если ты сразу поливаешь, не засыпав землю - ничего не вырастет. Просто помни: техника - это не про мощь. Это про порядок.

Лаврентий Пупышев

Братан, ты реально спас жизнь нашей школе. У нас раньше 70% писем летели в спам. Студенты думали, что мы их игнорируем. А оказалось - мы просто не знали, что в DNS нужно добавить ~all. Теперь всё летает как ракета. Даже в Яндексе. У нас теперь 98% доставки. Классно. Кто ещё не настроил - бегом. Не жди, пока кто-то из студентов не скажет: «Я не получил напоминание про экзамен». Это уже слишком поздно. Сделал - и забыл. Как с ремнём безопасности. Никто не любит его, но без него - ты мёртв.

Написать комментарий