Настройка SPF, DKIM и DMARC для рассылок онлайн-школы

Если ваши письма с расписанием занятий, напоминаниями о курсах или новостями школы попадают в спам - это не случайность. Это результат отсутствия правильной настройки SPF, DKIM и DMARC. Для онлайн-школы, которая зависит от электронной почты, чтобы держать студентов в курсе, это не техническая деталь - это вопрос выживания. Без этих трёх записей в DNS ваши письма могут не дойти до 60% получателей. И да, это происходит даже если вы используете популярные сервисы вроде Mailchimp или Wix.

Почему SPF, DKIM и DMARC - это не «по желанию»

Почтовые системы Google, Yahoo, Microsoft и другие давно перестали доверять письмам без проверки. Они не спрашивают: «Это правда от школы?». Они смотрят на три технических доказательства: где письмо отправлено, подписано ли оно и какая политика по обработке подозрительных писем. Если хотя бы одно из них отсутствует - письмо рискует попасть в спам или вообще не доставиться.

SPF говорит: «Эти серверы имеют право отправлять письма от имени моего домена». DKIM говорит: «Это письмо не менялось с момента отправки - оно подписано моим ключом». DMARC говорит: «Если письмо не прошло проверку SPF и DKIM - отклоняй его или отправляй в спам, и отправь мне отчёт».

Без этого ваша рассылка с напоминанием о начале курса может быть прочитана только теми, кто сам зашёл в почту. Остальные - потеряны. И вы даже не узнаете, что они не получили письмо.

Что такое SPF и как его настроить

SPF (Sender Policy Framework) - это TXT-запись в DNS, которая перечисляет IP-адреса или сервисы, которым разрешено отправлять письма от вашего домена. Например, если вы используете Wix, Google Workspace или SendGrid - все они должны быть указаны в SPF.

Простой пример SPF-записи для онлайн-школы:

v=spf1 include:_spf.google.com include:servers.wix.com ~all

Здесь:

v=spf1 - версия протокола;
include:_spf.google.com - разрешает Google отправлять письма от вашего домена (если вы используете Gmail или Google Workspace);
include:servers.wix.com - разрешает Wix отправлять письма;
~all - означает «мягкий отказ»: если письмо пришло с другого сервера - оно не отклоняется, но помечается как подозрительное.

Важно: SPF добавляется в корень домена - например, для your-school.com запись должна быть в your-school.com, а не в поддомене вроде mail.your-school.com.

Если вы используете Reg.ru, Cloudflare или другого DNS-провайдера - зайдите в панель управления доменом, найдите раздел DNS-записей и добавьте новую TXT-запись. В поле «Имя» введите @ или оставьте пустым (в зависимости от интерфейса), а в поле «Значение» - всю строку SPF, как в примере выше.

DKIM: цифровая подпись, которая не подделать

DKIM (DomainKeys Identified Mail) - это криптографическая подпись, которая прикрепляется к каждому исходящему письму. Она работает как печать на конверте: если письмо изменили по пути - подпись сломается, и получатель узнает, что это не оригинал.

Для DKIM нужно сгенерировать пару ключей: приватный (хранится на вашем почтовом сервере) и публичный (помещается в DNS). Большинство платформ, включая Wix, Mailchimp и Google Workspace, делают это за вас - вам нужно только скопировать ключ и добавить его в DNS.

Пример DKIM-записи в DNS:

default._domainkey.your-school.com IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx..."

Здесь:

default._domainkey - это селектор. Он может быть другим, например selector1._domainkey. Платформа скажет вам, какой именно использовать;
v=DKIM1 - версия;
k=rsa - тип ключа;
p=... - сам публичный ключ.

Важно: добавляйте DKIM как TXT-запись, но не в корень домена - а в поддомен, указанный в селекторе. Если селектор default, то хост будет default._domainkey.your-school.com.

Если вы используете Cloudflare - убедитесь, что для этой записи включён режим «DNS only» (серое облако). Если облако оранжевое - Cloudflare будет пытаться проксировать DNS, и DKIM не будет работать.

Дружелюбный DNS-сервер устанавливает три ключевые записи для защиты электронной почты школы.

DMARC: ваша политика безопасности

DMARC (Domain-based Message Authentication, Reporting and Conformance) - это не просто ещё одна запись. Это ваша политика. Он говорит почтовым системам: «Что делать, если письмо не прошло проверку SPF и DKIM?»

Без DMARC вы не получаете отчётов. Вы не знаете, кто пытается подделать ваш домен. Вы не контролируете, куда попадают письма, которые вы не отправляли.

Пример DMARC-записи:

_dmarc.your-school.com IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@your-school.com; ruf=mailto:forensic@your-school.com"

Разберём по частям:

v=DMARC1 - версия;
p=reject - политика: отклонять письма, не прошедшие проверку. Можно начать с p=none (только мониторинг), потом перейти на p=quarantine, и только потом - на reject;
rua=mailto:dmarc-reports@your-school.com - адрес, куда приходят сводные отчёты (раз в сутки);
ruf=mailto:forensic@your-school.com - адрес, куда приходят детальные отчёты о каждом подозрительном письме (не обязательно, но полезно для анализа).

Запись добавляется в DNS как TXT-запись с хостом _dmarc (обязательно с подчёркиванием!). То есть для домена your-school.com вы создаёте запись для _dmarc.your-school.com.

Важно: не используйте генераторы DMARC, которые выдают запись на кириллице. Некоторые сайты переводят mailto: на русский как почта: - это сломает всю настройку. Копируйте только латинские символы.

Порядок настройки: сначала SPF, потом DKIM, потом DMARC

Не начинайте с DMARC. Если вы сразу поставите p=reject, а SPF или DKIM настроены с ошибкой - ваши письма перестанут доходить. Это как закрыть дверь, пока ещё не проверил, есть ли ключ.

Правильный порядок:

Настройте SPF - добавьте все сервисы, которые отправляют письма от вашего домена.
Настройте DKIM - получите ключ от вашей платформы (Wix, Mailchimp и т.д.) и добавьте его в DNS.
Проверьте обе записи - используйте онлайн-инструменты, например, MXToolbox или DMARC Inspector. Убедитесь, что обе записи видны и корректны.
Настройте DMARC - начните с p=none и ждите 48 часов. Смотрите отчёты. Если всё чисто - переходите на p=quarantine. Через неделю - на p=reject.

Если вы используете Wix - их система предлагает добавить пять CNAME-записей. Это не SPF/DKIM/DMARC. Это проверка владения доменом. Это нужно, чтобы Wix мог отправлять письма от вашего имени. Но это не заменяет SPF, DKIM и DMARC. Они нужны отдельно.

Студенты смотрят на спам, пока техник включает защиту, и письма попадают в почтовый ящик.

Как проверить, что всё работает

После добавления всех записей - ждите 24-48 часов. DNS распространяется не мгновенно.

Затем проверьте:

SPF: перейдите на mxtoolbox.com/spf.aspx, введите ваш домен, нажмите «Lookup».
DKIM: перейдите на mxtoolbox.com/dkim.aspx, введите селектор (например, default._domainkey.your-school.com).
DMARC: перейдите на dmarcian.com/dmarc-inspector/, введите ваш домен.

Если вы видите «Pass» по всем трём - отлично. Если «Fail» - ищите ошибку. Часто причина в:

лишних пробелах в записи;
неправильном селекторе DKIM;
отсутствии include для сервиса, который реально отправляет письма;
использовании прокси (Cloudflare в режиме «оранжевое облако») для TXT-записей.

Для получения подробных отчётов по DMARC используйте сервисы вроде PowerDMARC или Postmark. Они не только показывают отчёты, но и предупреждают, если кто-то пытается подделать ваш домен. Это особенно важно для онлайн-школ - мошенники часто используют похожие домены, чтобы обманывать студентов.

Что ещё важно для рассылок онлайн-школы

SPF, DKIM и DMARC - это основа. Но есть ещё два элемента, которые улучшают доставляемость:

MX-записи - указывают, на каких серверах принимаются письма. Они нужны для входящей почты, но если вы не принимаете письма на домен - их можно не настраивать.
TLSA-записи - добавляют шифрование для SMTP-соединений. Это продвинутая мера, но для школы, которая отправляет личные данные студентов (оценки, контакты, оплаты), она повышает доверие.

И главное - не забывайте о содержании писем. Даже с идеальной настройкой SPF/DKIM/DMARC, письмо с темой «Срочно! Оплатите курс до завтра» или с 20 ссылками попадёт в спам. Пишите честно, без нажима, с человеческим тоном. Техническая настройка - это гарантия, что письмо дойдёт. А содержание - что его прочитают.

Что делать, если письма всё ещё в спаме

Если вы всё настроили, ждали 48 часов, проверили через MXToolbox - а письма всё равно попадают в спам:

Проверьте, не заблокирован ли ваш IP-адрес в чёрных списках (например, через Spamhaus).
Убедитесь, что вы используете один и тот же домен для отправки и для обратного адреса (From:).
Не отправляйте письма с поддоменов, если они не настроены отдельно (например, news.your-school.com требует отдельной настройки SPF/DKIM/DMARC).
Попросите студентов добавить ваш адрес в контакты. Это повышает доверие почтовых систем.
Используйте сервисы вроде Mailchimp или SendGrid - они уже имеют репутацию и настроенные записи. Просто привяжите свой домен.

Можно ли использовать одну SPF-запись для нескольких доменов?

Нет. SPF-запись привязана к одному домену. Если у вас несколько доменов (например, school1.com и school2.com), у каждого должна быть своя SPF-запись. Можно использовать одинаковые значения, если вы отправляете с одних и тех же серверов, но запись должна быть добавлена отдельно для каждого домена.

Что будет, если я не настрою DMARC?

Без DMARC вы не получите отчёты о попытках подделки вашего домена. Письма, не прошедшие SPF или DKIM, могут попасть в спам, а вы этого не узнаете. Кроме того, почтовые системы могут снижать доверие к вашему домену со временем, потому что не видят политики безопасности. DMARC - это не просто защита, это сигнал: «Я серьёзно отношусь к своей почте».

Как часто нужно проверять SPF, DKIM и DMARC?

Проверяйте хотя бы раз в три месяца. Особенно если вы меняете почтовый сервис, добавляете новый инструмент (например, новую CRM) или обновляете DNS. Также проверяйте сразу после любых изменений в настройках рассылки. Один неправильный IP-адрес в SPF - и 30% писем пропадают.

Можно ли настроить всё через Wix без доступа к DNS?

Нет. Wix может помочь вам с генерацией ключей и подсказками, но добавить TXT-записи в DNS вы должны сами. Это делается в панели вашего регистратора домена - Reg.ru, Cloudflare, GoDaddy и т.д. Без этого Wix не может доказать, что вы владеете доменом. Это как дать ключ от дома, но не установить замок.

Почему в отчётах DMARC пишут «fail» для писем, которые я отправлял?

Это может быть связано с тем, что письмо прошло через несколько серверов, и один из них не поддерживает DKIM или SPF. Например, если вы отправляете через Mailchimp, но в письме есть встроенный URL, который открывается через сторонний сервис - он может изменить заголовки. Или вы используете резервный сервер, который не включён в SPF. Проверьте все сервисы, которые используются для отправки, и убедитесь, что они все добавлены в SPF и DKIM.

Автор John Rothra

Я предприниматель и маркетолог, помогаю экспертам выстраивать онлайн-продукты и продажи. Пишу о стратегиях инфобизнеса, воронках и запуске курсов на понятном языке. Веду рассылку, делаю разборы и курирую небольшие команды продюсеров. Люблю тестировать гипотезы и превращать контент в измеримый результат.

AMP для email в онлайн-школах: как интерактивные письма повышают вовлеченность студентов

июля 10 2025

Evergreen-контент для онлайн-школы: лучшие темы, которые приносят студентов годами

декабря 6 2025

AmoCRM для инфобизнеса: как настроить и интегрировать систему для роста продаж онлайн-курсов

ноября 6 2025

Dmitry Farmer

февраля 21, 2026 at 18:24

Спасибо за детальный гайд. Уже настроил всё по вашему алгоритму - SPF, DKIM, DMARC. За неделю ни одного письма не ушло в спам. Студенты начали писать, что получают напоминания. Это как включить свет в тёмной комнате.