SPF запись

SPF запись — это перечень с помощью определенных операторов IP-адресов, которые имеют право отправлять почту от имени вашего домена. Запись добавляется в рабочую зону DNS домена в формате TXT.

Любая SPF начинается с указания стандарта записи. На сегодняшний день он один, поэтому в самом начале записи будет v=spf1

Разделителем операторов используется пробел. Но будьте внимательны — именно один пробел, два подряд вызовут ошибку записи.

Операторы делятся на механизмы и модификаторы.

Механизмы могут иметь префиксы:

«+» — Pass
«-» — Fail
«~» — SoftFail
«?» — Neutral

По умолчанию применяется префикс «+»

Механизмы:

ip4 — указывает диапазон сети IPv4. Если длина префикса не указана, предполагается /32 (один адрес). Например ip4:192.168.0.1/16 — разрешены адреса в диапазоне от 192.168.0.1 до 192.168.255.255

ip6 — по аналогии с ip4 (по умолчанию один адрес /128)

mx — сервера, указанные в MX-записях DNS-зоны

a — указывает на А запись домена. По умолчанию текущий домен. Примеры —

a:domain.com

a

ptr — проверяются имя или имена хостов. Практически не используется. Синтаксис аналогично механизму a

include — включение IP адресов SPF записи другого домена

all — обычно последний оператор в записи. Указывает что делать со сторонними IP

+all — остальным серверам разрешено отправлять почту от имени этого домена. Совершенно бестолковый вариант, фактически теряется сам смысл SPF.

-all — жесткий запрет остальным серверам. При этом варианте почта с неуказанного сервера будет отброшена сразу, не доберется даже до папки «спам»

?all — нейтральный вариант

~all — более мягкий запрет, фактически дающий право серверу получателя решать, что делать с неуказанными серверами в качестве отправителей от имени домена

Модификаторы (может быть не более одной записи)

redirect=example.com — указывает получателю, что нужно проверять SPF-запись указанного домена, вместо текущего домена.

Примеры
Приведем примеры часто употребляемых записей:

v=spf1 a mx ~all — универсальная запись, письма можно отправлять с серверов почты и с сайта

Почта на Яндексе:

v=spf1 redirect=_spf.yandex.net — письма можно отправлять только с серверов Яндекса, идет переадресация на SPF-запись Яндекса

v=spf1 ip4:IP include:_spf.yandex.net ~all
v=spf1 a include:_spf.yandex.net ~all — сайт + почта на Яндексе, второй вариант удобнее тем, что при смене IP-адреса сайта менять ничего не надо

Почта на Google (Google Workspace):

v=spf1 redirect=_spf.google.com — письма можно отправлять только с серверов Google

v=spf1 a include:_spf.google.com ~all — сайт + почта на Google

Почта на mail.ru:

v=spf1 redirect=_spf.mail.ru — письма можно отправлять только с серверов mail.ru

v=spf1 a include:_spf.mail.ru ~all — сайт + почта на mail.ru

Почта на migadu:

v=spf1 redirect=spf.migadu.com — письма можно отправлять только с серверов migadu

v=spf1 a include:spf.migadu.com ~all — сайт + почта на migadu

Ошибки и рекомендации
Друзья, вы должны понимать, что неправильно настроенная SPF-запись может не только отправить ваши письма в спам, но и сделать так, что ваши письма будут отбрасываться почтовыми серверами. Основные ошибки:

  1. Жесткую политику в SPF-записи (-all) я рекомендую применять, только если существует реальная угроза отправки писем от вашего имени. В большинстве случаев сторонники такой политики отправляют в спам не поддельные, а свои письма. Используйте более мягкий вариант ~all
  2. Использование redirect в сочетании с другими модификаторами. Запись
    v=spf1 redirect=_spf.yandex.net include:servers.mcsv.net ~all отправит все ваши рассылки с mailchimp в спам
  3. Разделитель модификаторов — строго один пробел. Поставите два — не будет работать
  4. Модификатор redirect идет со знаком «=», include с двоеточием!!!
  5. Общее количество модификаторов — не более 10.

Если у вас еще остались вопросы, их можно задать в нашей группе ВКонтакте Настройка корпоративной почты с Вашим доменом