Что такое SPF запись?
SPF (Sender Policy Framework) — это DNS TXT запись, которая определяет, какие почтовые серверы имеют право отправлять электронную почту от имени вашего домена. SPF помогает предотвратить подделку адреса отправителя (email spoofing) и фишинг, позволяя принимающим серверам проверять, что входящее письмо пришло с авторизованного сервера.
Когда вы отправляете письмо, принимающий сервер выполняет DNS-запрос для получения SPF записи домена отправителя. Затем он сравнивает IP-адрес отправляющего сервера со списком авторизованных адресов в SPF записи. Если IP найден — письмо проходит SPF проверку, если нет — результат зависит от квалификатора (pass, softfail, hardfail, neutral).
Правильно настроенная SPF запись — первый шаг к защите вашего домена от спуфинга. Используйте нашу проверку SPF записи для мгновенной валидации, а затем дополните защиту с помощью DKIM и DMARC.
Как проверить SPF запись домена
Существует несколько способов проверить SPF запись. Самый простой — ввести домен в наш инструмент проверки SPF выше и нажать «Check SPF». Инструмент мгновенно получит SPF запись, разберет все механизмы, подсчитает DNS-запросы, разрешит include-цепочки и выдаст оценку здоровья по 12 проверкам.
Вы также можете использовать командную строку: nslookup -type=txt example.com в Windows или dig example.com TXT +short в Mac/Linux, и найти запись, начинающуюся с v=spf1. Однако ручной анализ не покажет количество DNS-запросов и не проверит вложенные include-цепочки.
Для полной проверки email-аутентификации рекомендуем также проверить DMARC запись, DKIM запись и выполнить SMTP тест вашего почтового сервера.
Механизмы SPF записи — полное руководство
SPF запись состоит из механизмов, каждый из которых определяет правило авторизации. Основные механизмы: ip4 и ip6 — авторизация конкретных IP-адресов, include — включение SPF записи другого домена, a — авторизация IP-адреса из A записи домена, mx — авторизация IP-адресов MX серверов.
Каждый механизм имеет квалификатор: + (pass, по умолчанию), - (fail/hardfail), ~ (softfail), ? (neutral). Завершающий механизм all определяет действие для не совпавших IP-адресов. Рекомендуется использовать -all (hardfail) после полной настройки SPF записи.
Важно помнить о лимите в 10 DNS-запросов (RFC 7208). Механизмы include, a, mx, ptr, exists и redirect — каждый считается за один запрос. Превышение лимита вызывает permerror, и принимающие серверы могут отклонить ваши письма.
12 проверок валидации SPF и лучшие практики
Наш инструмент выполняет 12 проверок валидации SPF: наличие записи, корректность синтаксиса v=spf1, отсутствие дублирующих записей, количество DNS-запросов (лимит 10), количество void-запросов (лимит 2), наличие завершающего механизма all, отсутствие устаревшего PTR механизма, корректность IP-адресов, разрешимость include-доменов, длина записи (до 255 символов на строку), отсутствие redirect-конфликтов и корректность квалификаторов.
Лучшие практики для SPF записей: используйте -all вместо ~all после полной настройки, минимизируйте количество DNS-запросов через SPF flattening, не используйте механизм PTR (устарел по RFC 7208), регулярно проверяйте include-цепочки, так как сторонние сервисы могут изменять свои SPF записи.
Для генерации оптимальной SPF записи с нуля используйте наш генератор DMARC записей, а для комплексной проверки email-безопасности — SMTP тест и проверку BIMI.
Лимит 10 DNS-запросов — превышение вызывает permerror
Лимит 2 void-запроса — NXDOMAIN и SERVFAIL ответы
Только одна SPF запись на домен — дубликаты недопустимы
Используйте -all для максимальной защиты
PTR механизм устарел — используйте ip4/ip6 вместо него
Регулярно проверяйте SPF — сторонние include могут меняться
SPF vs DKIM vs DMARC — объяснение email-аутентификации
SPF, DKIM и DMARC работают вместе для обеспечения полной email-аутентификации. SPF проверяет, авторизован ли IP-адрес отправляющего сервера. DKIM добавляет криптографическую подпись для проверки целостности сообщения. DMARC связывает их вместе, указывая, что делать при неудачной проверке SPF или DKIM.
Без SPF любой сервер может отправлять письма от имени вашего домена. Без DKIM получатель не может проверить, было ли письмо изменено при передаче. Без DMARC нет единой политики обработки неаутентифицированных писем. Все три протокола должны быть настроены для полной защиты.
Начните с настройки SPF и DKIM, затем добавьте DMARC с политикой p=none для мониторинга. Используйте анализатор email заголовков для проверки результатов аутентификации в реальных письмах, а SMTP тест — для проверки конфигурации сервера.
Связанные инструменты для email и DNS
DNS Robot предлагает полный набор инструментов для проверки и настройки email-аутентификации. Используйте проверку DMARC для валидации политики DMARC, проверку DKIM для проверки ключей DKIM, и генератор DMARC для создания новых записей.
Для диагностики почтовых серверов воспользуйтесь SMTP тестом для проверки подключения и шифрования, MX Lookup для проверки почтовых записей домена, и проверкой SSL сертификата для проверки TLS-шифрования сервера.