✉️ Проверка SPF, DKIM, DMARC и MX записей

Диагностика почтовых DNS-записей домена — что настроено, что нет и что исправить
Домен
DKIM selector (опционально) — например: default, selector1, google, mail

Проверка SPF, DKIM, DMARC и MX записей домена — бесплатный инструмент диагностики почтовых DNS-записей. В отличие от обычного просмотра DNS-записей, сервис не просто показывает, что записано в TXT-записях, а объясняет, что не так и как это исправить: найдена ли SPF-запись и насколько строгая у неё политика, настроен ли DMARC и какая у него политика обработки подделанных писем, есть ли указанный DKIM selector. Проверяются только стандартные публичные DNS-записи — введённый домен никуда не сохраняется.

Как пользоваться

Часто задаваемые вопросы

Что такое SPF, DKIM и DMARC?

Это три DNS-записи, которые защищают домен от подделки писем. SPF указывает, какие серверы могут отправлять почту от имени домена. DKIM добавляет к письмам цифровую подпись, подтверждающую, что письмо не изменено. DMARC говорит принимающим серверам, что делать с письмами, которые не прошли проверку SPF или DKIM — игнорировать, помечать как спам или отклонять.

Почему письма попадают в спам, хотя SPF настроен?

SPF — лишь один из факторов спам-фильтров. На попадание в спам также влияют репутация IP отправителя, отсутствие или неправильная настройка DKIM, отсутствие DMARC, содержание письма и история жалоб получателей. Настройте все три записи (SPF, DKIM, DMARC) вместе — по отдельности они работают слабее.

Что такое DKIM selector и где его найти?

Selector — это часть имени DNS-записи DKIM (selector._domainkey.домен), которую задаёт почтовый провайдер, чтобы можно было использовать несколько DKIM-ключей одновременно. Посмотреть его можно в настройках почтового сервиса (раздел DKIM/DNS) или в заголовке письма DKIM-Signature — там есть параметр s=, это и есть selector.

У домена нет MX-записей — нужно ли всё равно настраивать SPF и DMARC?

Да. Даже если домен не принимает почту, его можно использовать для отправки поддельных писем (спуфинга), если SPF и DMARC не настроены. Рекомендуется добавить SPF с v=spf1 -all (никто не имеет права отправлять почту от имени домена) и DMARC с p=reject.

Можно ли проверить сразу несколько доменов?

В текущей версии — нет, проверка делается по одному домену за раз. Это сделано умышленно, чтобы не превращать инструмент в инструмент массового сканирования.

Передаются ли данные куда-то еще, кроме DNS?

Нет. Инструмент выполняет только стандартные публичные DNS-запросы к записям домена — то же самое, что делает любой почтовый сервер при получении письма. Введённый домен и selector не сохраняются.

Для чего используется

Письма не доходятДиагностика, когда клиенты или партнёры не получают письма от вашего домена.
Письма попадают в спамПроверка, не из-за слабой SPF/DMARC политики ли это происходит.
Смена почтового провайдераКонтроль, что MX, SPF и DKIM обновились правильно после переезда на Google Workspace, Яндекс 360 или другой сервис.
Защита неиспользуемого доменаНастройка строгого SPF/DMARC для домена без почты, чтобы его не использовали для фишинга.
Аудит безопасности перед покупкой доменаПроверка текущей конфигурации почты у домена, который планируется купить или арендовать.
Подготовка к рассылкамПроверка готовности домена перед email-маркетингом — без SPF/DKIM/DMARC письма массовых рассылок чаще попадают в спам.

Полезно знать