Как настроить SPF, DKIM и DMARC для рассылок онлайн-школы

Если ваши письма с расписанием занятий, напоминаниями о курсах или новостями от онлайн-школы попадают в спам - это не случайность. Это результат отсутствия правильной настройки SPF, DKIM и DMARC. Эти три технологии работают вместе, как замок, ключ и сигнализация: без одного система не защищена, без всех - письма не доходят. Для онлайн-школы, которая отправляет сотни писем в день, это не техническая деталь - это вопрос выживания.

Что такое SPF, DKIM и DMARC - простыми словами

Представьте, что ваша школа - это офис. Каждое письмо - это сотрудник, который идёт к получателю с важной информацией. Но почтовые системы, как охрана в подъезде, не знают, кто реально работает у вас, а кто просто притворяется вашим сотрудником. SPF, DKIM и DMARC - это три уровня проверки, которые говорят: "Этот письмо от нас, и оно честное".

  • SPF (Sender Policy Framework) - проверяет, с какого сервера письмо отправлено. Если вы используете Google Workspace или Wix для рассылок, SPF говорит: "Только эти IP-адреса имеют право отправлять письма от имени вашей школы".
  • DKIM (DomainKeys Identified Mail) - добавляет к письму цифровую подпись, как печать на конверте. Даже если кто-то перехватит письмо и изменит текст - подпись сломается, и система сразу поймёт: "Это подделка".
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) - решает, что делать с письмами, которые не прошли SPF и DKIM. Может ли они попасть в спам? Или их нужно отклонить вообще? Плюс DMARC присылает вам еженедельные отчёты - кто пытается выдавать себя за вашу школу.

Без SPF - письма могут блокироваться. Без DKIM - их легко подделать. Без DMARC - вы не знаете, что происходит, и не можете защитить бренд.

Как настроить SPF - пошагово

SPF - самая простая запись. Она создаётся в DNS вашего домена. Допустим, вы используете Wix для рассылок и Google Workspace для корпоративной почты. Вам нужно указать оба сервиса.

Войдите в панель управления DNS вашего домена (Reg.ru, Cloudflare, Beget и т.д.). Добавьте новую TXT-запись с такими параметрами:

  • Имя (хост): @ или оставьте пустым (это значит корень домена)
  • Значение: v=spf1 include:_spf.google.com include:servers.wix.com ~all

Почему именно так? v=spf1 - версия протокола. include:_spf.google.com - разрешает Google отправлять письма от вашего домена. include:servers.wix.com - то же самое для Wix. ~all - означает "если сервер не в списке - пометить как подозрительный, но не блокировать". Это безопасный режим для старта. Позже можно сменить на -all - полный запрет.

Не забудьте: в одной DNS-зоне может быть только одна SPF-запись. Если у вас уже есть другая - объедините их в одну строку. Не создавайте две.

Как настроить DKIM - сгенерировать и добавить

DKIM сложнее, потому что требует генерации ключей. Если вы используете Wix, он сам сгенерирует ключи за вас. Войдите в настройки Wix, перейдите в раздел "Email Sending" → "Add Sender". Введите адрес, например, info@vashashkola.ru. Wix отправит код подтверждения - введите его. После этого система покажет вам пять CNAME-записей. Их нужно добавить в DNS.

Для DKIM важен селектор. В Wix он обычно default._domainkey. В DNS вы добавляете запись типа CNAME (не TXT!) с такими параметрами:

  • Имя: default._domainkey
  • Значение: default._domainkey.wix.com

Если вы используете другую платформу - например, Mailchimp или SendGrid - там тоже есть инструкции. Там вам дадут публичный ключ в виде длинной строки. Его нужно вставить в TXT-запись. Хост будет вида selector1._domainkey.yourdomain.com (selector1 - это имя, которое вам дали).

После добавления ключа подождите 24 часа. Проверить, что он работает, можно через онлайн-инструменты вроде mxtoolbox.com или dkimvalidator.com. Введите ваш домен - если DKIM прошёл проверку, вы увидите зелёную галочку.

Дерево DNS с записями SPF, DKIM и DMARC, учитель проверяет настройки, а робот ошибочно вводит русские символы.

Как настроить DMARC - политика и отчёты

DMARC - это ваша политика безопасности. Она говорит почтовым системам: "Если письмо не прошло SPF и DKIM - что делать?"

Добавьте новую TXT-запись с хостом _dmarc. Значение будет выглядеть так:

v=DMARC1; p=quarantine; rua=mailto:dmarc@vashashkola.ru; ruf=mailto:forensic@vashashkola.ru

  • p=quarantine - письма, не прошедшие проверку, попадут в спам, но не исчезнут полностью. Это безопасный первый шаг. Позже можно сменить на p=reject - полный запрет.
  • rua=mailto:... - сюда приходят еженедельные сводные отчёты. Их можно читать в Excel или через сервисы вроде PowerDMARC.
  • ruf=mailto:... - сюда приходят детальные отчёты о поддельных письмах. Нужны для анализа атак.

Важно: используйте только латинские буквы. Если вы копируете значение с сайта, который автоматически переводит на русский, символы могут превратиться в кракозябры - и DMARC перестанет работать. Проверьте, что в значении нет русских символов.

Что делать, если не работает?

Если после настройки письма всё ещё попадают в спам - проверьте три вещи:

  1. Время распространения DNS. Изменения могут занять до 48 часов. Не паникуйте раньше времени.
  2. Правильность формата. Слишком длинная SPF-запись? Неправильный хост для DKIM? Один лишний пробел - и всё ломается.
  3. Прокси в Cloudflare. Если вы используете Cloudflare - убедитесь, что для CNAME-записей DMARC и DKIM стоит режим "DNS only" (серое облако). Если облако оранжевое - записи не работают.

Используйте бесплатные инструменты для проверки:

  • mxtoolbox.com - проверяет SPF, DKIM, DMARC, MX
  • dmarcdiagnostic.com - анализирует DMARC-отчёты
  • mail-tester.com - отправьте тестовое письмо, и сервис покажет, почему оно может попасть в спам

Почему PowerDMARC - лучший выбор для онлайн-школ

Простые TXT-записи дают вам базу. Но они не показывают, кто пытается выдавать себя за вашу школу. Кто-то может создать письмо с адресом support@vashashkola.ru и рассылать фишинговые ссылки. Без DMARC-отчётов вы об этом не узнаете.

PowerDMARC собирает отчёты, фильтрует шум, показывает, какие домены пытаются подделать ваш, и даже предлагает автоматически блокировать подозрительные источники. Для школы с тысячами учеников - это не роскошь, а защита репутации. Вы не хотите, чтобы студенты получали письмо "Ваша оплата за курс не прошла" - а на самом деле это фишинг от хакера.

Настройка через PowerDMARC занимает 10 минут: вводите домен, выбираете политику, копируете значение - и всё. Отчёты приходят на почту в виде понятных таблиц. Вы видите: "За неделю 47 попыток подделки, 12 из них - с IP в Китае, 3 - с поддельным DKIM". Это - ваша первая линия защиты.

Студенты получают письма: одни доставлены, другие — в спаме, над классом — панель PowerDMARC с картой атак.

Что ещё важно для доставки писем

SPF, DKIM и DMARC - это основа. Но есть ещё два элемента, которые влияют на доставку:

  • MX-записи - они указывают, где принимаются письма для вашего домена. Если вы используете Google Workspace - MX-записи должны вести на серверы Google. Проверьте их в DNS-панели.
  • TLSA - это запись, которая гарантирует, что письма шифруются при передаче. Не обязательна, но повышает доверие почтовых систем. Если ваш хостинг её поддерживает - включите.

Помните: доставка писем - это не один параметр. Это цепочка: от DNS до содержания письма. Даже если SPF и DKIM в порядке, но письмо содержит слова вроде "Срочно!" или "Только сегодня", фильтры могут его заблокировать. Тестируйте тексты через mail-tester.com - он покажет, почему письмо считается подозрительным.

Как часто проверять настройки

Не настраивайте один раз и забудьте. Раз в месяц проверяйте:

  • Действуют ли SPF, DKIM, DMARC
  • Приходят ли отчёты DMARC
  • Не изменились ли IP-адреса вашего почтового сервиса
  • Не добавились ли новые сервисы, которые отправляют письма от вашего домена (например, новый CRM или чат-бот)

Если вы перешли на новый почтовый сервис - не забудьте обновить SPF и DKIM. Если вы добавили ещё один сервис - добавьте его в SPF. Это самая частая ошибка: школа использует Wix, Mailchimp и SendGrid, а SPF содержит только Wix.

Что будет, если не настроить?

Если вы не настроите SPF, DKIM и DMARC - ваши письма:

  • Попадут в спам у 30-60% получателей (по данным Mailchimp и Google)
  • Будут отклоняться почтовыми системами (особенно Gmail, Yahoo, Outlook)
  • Снизят доверие к бренду - ученики начнут думать, что вы несерьёзны
  • Откроют дверь для фишинга - кто-то начнёт рассылать письма от вашего имени

Для онлайн-школы это значит: упадёт конверсия, вырастет число жалоб, снизится репутация. Вы потеряете не просто письма - вы потеряете доверие студентов.

Настройка занимает 1-2 часа. Последствия - месяцы и годы. Не рискуйте.

Можно ли настроить SPF, DKIM и DMARC без технических знаний?

Да, если вы используете платформы вроде Wix, Mailchimp или SendGrid. Они автоматически генерируют ключи и показывают, какие записи нужно добавить в DNS. Вам нужно только скопировать и вставить их в панель управления доменом. Главное - не пропустить шаг и не использовать русские символы при копировании. Если вы не уверены - попросите помощи у техподдержки хостинга. Они обычно делают это бесплатно.

Что делать, если я уже настроил, но письма всё равно в спаме?

Сначала проверьте все три записи через mxtoolbox.com. Убедитесь, что они проходят проверку. Затем отправьте тестовое письмо на mail-tester.com - он покажет, почему оно считается подозрительным. Часто проблема не в DNS, а в содержании: слишком много восклицательных знаков, слова "бесплатно", "срочно", или неправильный заголовок. Также проверьте, не заблокирован ли ваш IP-адрес в чёрных списках. Если всё в порядке - подождите неделю. Иногда почтовые системы обновляют данные медленно.

Можно ли использовать одну запись DMARC для нескольких доменов?

Нет. DMARC работает только для одного домена. Если у вас школа на vashashkola.ru и филиал на vashashkola2.ru - нужно настраивать DMARC отдельно для каждого. Даже если они используют один и тот же почтовый сервис. Каждый домен - это отдельный идентификатор. Не пытайтесь обойти это - почтовые системы это отклонят.

Что означает "~all" и "-all" в SPF?

"~all" означает "soft fail" - письма с неизвестных серверов будут помечены как подозрительные, но всё равно попадут в папку входящих. Это безопасный вариант на старте. "-all" - это "hard fail" - такие письма будут отклоняться. Его можно использовать только после того, как вы уверены, что все легитимные сервисы добавлены в SPF. Если вы ошиблись - потеряете важные письма. Начните с ~all, через 2-3 недели перейдите на -all.

Почему DMARC-отчёты приходят в виде XML? Как их читать?

Да, изначально отчёты приходят в формате XML - это технический стандарт. Но их не нужно читать вручную. Используйте бесплатные сервисы вроде PowerDMARC, Agari или Google’s Postmaster Tools. Они превращают XML в понятные таблицы: сколько писем прошло, сколько не прошло, от каких доменов пришли поддельные письма. Вы увидите графики, карты, списки IP-адресов - всё, что нужно для принятия решений. Не тратьте время на ручной анализ XML.

1 Комментарии

Алина Коваленко

Алина Коваленко

Спасибо за подробный гайд! Особенно понравилось про DMARC-отчёты - раньше думала, что это магия, а оказалось, просто копируешь строку и получаешь отчёты с картами 🤯
Проверила свои домены через mxtoolbox - оказывается, у меня был только SPF, а DKIM и DMARC вообще не настроены... Срочно исправляю! 💪

Написать комментарий