Live Direct Marketing
ГлавнаяБлогДоставляемость

SPF, DKIM, DMARC: как настроить аутентификацию домена перед холодной рассылкой

7 июля 2026 · 9 мин чтения · Гайд: Доставляемость

Письмо с идеальным текстом и точным оффером упадёт в спам, если домен не прошёл аутентификацию — почтовые провайдеры проверяют это раньше, чем открывают тему письма. SPF, DKIM и DMARC — три записи в DNS, без которых холодная B2B-рассылка обречена биться о фильтры вместо того, чтобы доходить до ЛПР. Разберём, что настраивать в первую очередь, как проверить результат и какие ошибки чаще всего встречаются на новых доменах.

Коротко
  • SPF, DKIM и DMARC — три независимые, но взаимодополняющие записи в DNS домена отправителя
  • Без всех трёх записей провайдеры вроде Gmail и Mail.ru всё чаще отправляют письма сразу в спам или отклоняют
  • DMARC нужно включать постепенно — от p=none к p=quarantine и только потом к p=reject
  • Для холодного аутрича важно, чтобы SPF-запись включала все реальные сервисы отправки, включая CRM и SMTP-релеи
  • Проверка настройки перед стартом кампании занимает 15–20 минут и экономит недели репутационных проблем

Зачем аутентификация важна именно для холодного аутрича

В массовой рассылке по подписной базе получатель уже знает отправителя и часто добавляет его в адресную книгу — это компенсирует слабую аутентификацию. В холодном B2B-аутриче адресат видит домен впервые, и почтовый сервис принимает решение «спам или входящие» именно по техническим признакам, потому что репутационной истории ещё нет.

SPF, DKIM и DMARC решают одну задачу с разных сторон: подтверждают получателю и его почтовому серверу, что письмо действительно отправлено от имени владельца домена, а не подделано злоумышленником. Без этого подтверждения провайдер вынужден подстраховываться и режет входящий поток агрессивнее — особенно если домен новый или раньше не отправлял почту вообще.

Отдельная причина настраивать все три протокола именно перед адресной рассылкой, а не после первых проблем: Gmail и Yahoo с 2024 года требуют аутентификацию как обязательное условие для доменов, которые отправляют больше определённого объёма писем в сутки. Для холодного аутрича, где отправка идёт с нескольких доменов и ящиков одновременно, это правило касается каждого домена в цепочке.

SPF: список разрешённых отправителей

SPF (Sender Policy Framework) — текстовая запись в DNS домена, которая перечисляет серверы, имеющие право отправлять почту от его имени. Принимающий сервер сверяет IP-адрес, с которого пришло письмо, со списком в SPF-записи — если адреса нет, письмо помечается как подозрительное.

Типичная запись выглядит так: v=spf1 include:_spf.google.com include:sendgrid.net ~all. Каждый include добавляет доверенный сервис — почтовый провайдер, CRM для рассылок, транзакционный SMTP. Важно перечислить все реальные источники отправки: если письма уходят и через Google Workspace, и через CRM для холодных кампаний, оба должны попасть в запись.

Частая ошибка в аутриче — забыть добавить сервис, через который реально идёт кампания, после смены инструмента. SPF-запись, оставшаяся от прежнего провайдера, не блокирует отправку технически, но резко снижает доверие: письма формально проходят, но выглядят подозрительно для получающей стороны.

У SPF есть жёсткое ограничение на 10 механизмов включения (include, a, mx и другие) — если в организации несколько доменов и сервисов, запись легко превысить, и тогда SPF перестаёт работать полностью, без явной ошибки на стороне отправителя. Это стоит проверять отдельно, особенно если аутрич ведётся с нескольких брендированных поддоменов.

DKIM: цифровая подпись письма

DKIM (DomainKeys Identified Mail) добавляет к письму криптографическую подпись, которую принимающий сервер проверяет открытым ключом из DNS домена. Если содержимое письма изменилось по пути — например, его подделали или исказили при пересылке через промежуточный сервер, — подпись не совпадёт, и письмо получит пометку о нарушении аутентификации.

Настройка обычно происходит на стороне сервиса отправки: почтовый провайдер или платформа для рассылок генерирует пару ключей и просит добавить публичный ключ в DNS как TXT-запись вида selector._domainkey.вашдомен.ru. Селектор (имя перед _domainkey) у каждого сервиса свой, поэтому при использовании нескольких инструментов для рассылки в DNS нужно добавить несколько отдельных DKIM-записей с разными селекторами.

Для холодного аутрича DKIM особенно важен, потому что письма часто проходят через CRM, которая добавляет трекинг открытий и переходов, — любая модификация тела письма на этом этапе должна укладываться в подпись, иначе легитимные письма будут ошибочно помечаться как изменённые.

DMARC: политика и отчётность поверх SPF и DKIM

DMARC не заменяет SPF и DKIM, а связывает их и говорит принимающему серверу, что делать с письмом, если проверки не прошли: пропустить как есть (p=none), отправить в спам (p=quarantine) или отклонить полностью (p=reject). Запись добавляется как TXT-запись на поддомене _dmarc.вашдомен.ru.

Для нового домена под аутрич правильная последовательность — начать с p=none и собирать отчёты о том, кто и как отправляет почту от имени домена, две-три недели. Это безопасный режим: он ничего не блокирует, но показывает, есть ли расхождения между SPF/DKIM и реальным потоком писем. После того как отчёты показывают чистую картину, можно переходить на p=quarantine, а затем на p=reject.

Пропуск этого постепенного перехода — частая причина, почему легитимные письма кампании внезапно перестают доходить: если сразу поставить p=reject на домене, где SPF-запись не учитывает все реальные сервисы отправки, часть писем будет отклоняться самим доменом-отправителем ещё до попытки доставки.

Пример рабочей DMARC-записи для начального этапа: v=DMARC1; p=none; rua=mailto:dmarc-reports@вашдомен.ru; pct=100. Адрес в rua — куда будут приходить агрегированные отчёты от почтовых провайдеров о прохождении проверок.

Пример

Порядок внедрения на новом домене: неделя 1–2 — p=none и сбор отчётов; неделя 3–4 — p=quarantine при чистых отчётах; после месяца стабильной работы — p=reject для полной защиты домена от подделки.

Как проверить настройку перед стартом кампании

Проверка занимает несколько минут и делается бесплатными онлайн-инструментами для диагностики DNS-записей, но её стоит проводить не один раз, а перед каждым добавлением нового домена или ящика в ротацию для аутрича.

Практический чек-лист перед первой отправкой: SPF-запись существует и включает все реальные источники, число include не превышает лимит в 10; DKIM-запись опубликована и совпадает с ключом сервиса отправки; DMARC-запись существует хотя бы в режиме p=none; отправка тестового письма на несколько разных провайдеров (Gmail, Yandex, Mail.ru) показывает статус аутентификации pass по всем трём проверкам в заголовках письма.

Типичные ошибки на доменах для холодного аутрича

Большинство проблем с доставляемостью в адресных кампаниях объясняется не текстом письма, а именно ошибками в этих трёх записях — часто незаметными до первой волны жалоб или падения открываемости.

Вопросы и ответы

Обязательно ли настраивать все три записи, или можно ограничиться SPF

Для холодной B2B-рассылки нужны все три. SPF без DKIM легко подделать при пересылке письма через промежуточный сервер, а без DMARC оба протокола работают независимо друг от друга и не сообщают получающей стороне, что делать при расхождении. Основные провайдеры прямо требуют DMARC для доменов с заметным объёмом отправки.

Сколько времени занимает настройка с нуля

Технически добавить три TXT-записи в DNS — вопрос 20–30 минут. Но полноценное внедрение с постепенным переходом DMARC от p=none к p=reject растягивается на три-четыре недели, потому что каждый шаг нужно подтверждать чистыми отчётами, а не переключать сразу.

Можно ли использовать одну DKIM-подпись для нескольких сервисов рассылки

Нет, у каждого сервиса свой селектор и своя пара ключей. Если письма уходят через два разных инструмента — например, CRM для холодных писем и отдельный SMTP для уведомлений, — в DNS должны быть отдельные DKIM-записи для каждого, иначе один из потоков не пройдёт проверку.

Что делать, если после настройки DMARC письма всё равно попадают в спам

Аутентификация снимает только техническую причину попадания в спам — репутация домена и ящика, поведенческие сигналы (жалобы, низкий процент открытий) на неё не влияют напрямую. Если протоколы настроены верно, а письма всё ещё в спаме, проблема обычно в прогреве ящика, объёме отправки или содержании писем.

Нужна ли отдельная настройка для каждого поддомена, с которого идёт аутрич

Да, если поддомен используется для рассылки отдельно от основного домена, для него стоит настраивать собственные SPF и DKIM записи. Это дополнительно изолирует репутацию: проблемы на поддомене для холодных писем не затронут основной корпоративный домен и наоборот.

Как быстро увидеть результат настройки аутентификации на открываемости

Сама по себе настройка не поднимает открываемость мгновенно — она убирает технический барьер для попадания во входящие. Реальный эффект на open rate обычно виден через одну-две недели, параллельно с прогревом ящика и ростом положительной репутации у почтовых провайдеров.

Важно: это не массовая рассылка и не спам. Мы работаем адресно: каждое сообщение отправляется конкретному представителю конкретной компании (юридического лица) по деловому поводу, небольшими дневными объёмами и с персонализацией под получателя. Соблюдаем требования ФЗ-38 «О рекламе» и ФЗ-152 «О персональных данных»: в каждом письме указан отправитель и работает отказ от коммуникации в один клик; отписки и стоп-листы применяются ко всем последующим кампаниям без исключений. Компании, попросившие их не беспокоить, исключаются навсегда.

Хотите применить это в своём аутриче?

Расскажем, как это работает на вашем сегменте и продукте — до старта работ.

Обсудить задачу