Live Direct Marketing
ГоловнаБлогДоставність

SPF, DKIM, DMARC: як прописати записи в DNS перед холодною розсилкою

12 липня 2026 · 8 хв читання · Гайд: Доставність

Без правильно налаштованих SPF, DKIM і DMARC навіть ідеальний лист із персоналізацією потрапляє у спам або взагалі не доходить до отримувача. Ця інструкція — для тих, хто готує домен до перших холодних B2B-розсилок і хоче зробити все один раз і правильно, не гадаючи, які поля заповнювати в DNS-панелі. Розберемо, де шукати ці налаштування, які значення вписувати і як переконатися, що пошта поштових провайдерів довіряє вашому домену.

Коротко
  • SPF, DKIM і DMARC — це три окремі DNS-записи, і жоден із них не працює повноцінно без інших двох
  • Записи типу TXT додаються в DNS-панелі реєстратора або хостера домену, зміни поширюються від кількох хвилин до 48 годин
  • DMARC варто починати з політики моніторингу (p=none), а не одразу з жорсткого відхилення листів
  • Для холодних розсилок критично мати окремий піддомен для розсилок, відмінний від основного корпоративного домену
  • Перевіряти конфігурацію потрібно через dmarc checker dns після кожної зміни, а не покладатися на «має спрацювати»

Навіщо взагалі потрібні spf dkim dmarc dns records

Поштові сервіси на кшталt Gmail, Outlook чи українські корпоративні поштові системи більше не довіряють листам «за замовчуванням». Вони перевіряють, чи має право сервер, з якого прийшов лист, відправляти пошту від імені цього домену. Саме за це відповідають три DNS-записи: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) і DMARC (Domain-based Message Authentication, Reporting and Conformance).

SPF каже: «ось список серверів, яким дозволено відправляти пошту від імені мого домену». DKIM додає до листа цифровий підпис, який підтверджує, що вміст не підмінили дорогою. DMARC об'єднує обидва механізми в одну політику й каже поштовому серверу отримувача, що робити з листом, який не пройшов перевірку SPF чи DKIM — пропустити в спам, відхилити чи просто повідомити власника домену.

Для холодних B2B-розсилок це не опційна опція «для просунутих», а базова гігієна. Без цих записів навіть п'ять листів на день з персоналізованим зверненням до конкретної людини в конкретній компанії ризикують осісти у папці «Спам» — просто тому, що поштовий сервер не бачить підтвердження автентичності відправника.

Де в DNS шукати потрібні поля — покрокова інструкція

Незалежно від того, яким реєстратором ви користуєтесь — Ukrnames, Imena.ua, GoDaddy чи Cloudflare — логіка однакова: усі три записи додаються як TXT-записи (для DKIM іноді ще й CNAME) у зоні DNS вашого домену. Різниця лише в назвах пунктів меню.

Для запитів на кшталт spf dkim and dmarc records godaddy принцип той самий: заходите в DNS Management вашого домену, додаєте новий запис типу TXT, вказуєте ім'я хоста та значення. GoDaddy, Namecheap чи локальні українські реєстратори відрізняються лише інтерфейсом кнопок.

Приклади коректних записів і типові значення

Розглянемо конкретний приклад для умовної компанії «Технополіс Логістик», яка готує домен pošta.tehnopolis-logistics.ua до холодної B2B-розсилки менеджерам логістичних відділів.

Приклад

SPF: v=spf1 include:_spf.google.com include:sendgrid.net ~all — дозволяє відправку через Google Workspace і сервіс розсилок SendGrid, м'яко позначаючи інші джерела як підозрілі. DKIM: TXT-запис з іменем s1._domainkey.tehnopolis-logistics.ua і довгим значенням-ключем, який видає ваш ESP. DMARC: v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-reports@tehnopolis-logistics.ua — на етапі впровадження карантинить лише половину порушень і одразу шле звіти на пошту відповідального за домен.

Типові помилки, які ламають доставність

Найпоширеніша помилка — мати два SPF-записи одразу. DNS-стандарт дозволяє лише один запис типу TXT з v=spf1 на домен; якщо їх два, поштові сервери часто відхиляють обидва як недійсні. Друга по частоті помилка — забути додати нового провайдера розсилок у вже існуючий SPF-запис через include, через що новий сервіс просто не проходить перевірку.

Третя типова помилка — одразу ставити в DMARC жорстку політику p=reject, не проживши кілька тижнів у режимі моніторингу. Якщо DKIM чи SPF налаштовані з дрібною помилкою, жорсткий DMARC миттєво почне відхиляти навіть легітимні листи, і ви дізнаєтесь про проблему тільки з скарг клієнтів, що листи не доходять.

Четверта — розсилати холодні листи з того ж домену, що й основна корпоративна пошта, без піддомену. Це ризикує репутацією головного домену: якщо провайдер розсилок чи стратегія розсилки викличуть скарги, постраждає й звичайне корпоративне листування.

Як довести налаштування до робочого стану і перевірити результат

Після додавання всіх трьох записів обов'язковий крок — перевірка. Введіть домен у будь-який dmarc checker dns онлайн-сервіс, і він покаже, чи знаходить запис, чи коректний синтаксис, чи узгоджені політики SPF і DKIM з доменом у заголовку From.

Паралельно варто відправити тестовий лист на скриньку Gmail і подивитися заголовки повідомлення (Показати оригінал → Show original). Там будуть рядки SPF: PASS, DKIM: PASS, DMARC: PASS — якщо хоч один зі статусів FAIL чи NEUTRAL, потрібно повернутися до DNS-запису й перевірити синтаксис.

Як це роблять у LDM

У LDM налаштування SPF, DKIM і DMARC — це обов'язковий етап перед підключенням будь-якого домену до кампанії холодних розсилок, а не побажання «на потім». Платформа перевіряє коректність усіх трьох записів автоматично при підключенні поштової скриньки і показує зрозумілий статус: що саме не так і яке значення додати в DNS.

Для клієнтів, які масштабують кількість поштових скриньок під розсилки, LDM рекомендує окремі піддомени з власними DKIM-селекторами під кожен потік — це ізолює репутацію й дозволяє швидко відключити проблемний піддомен, не чіпаючи основний корпоративний домен.

Питання й відповіді

Що робити, якщо реєстратор домену не дозволяє додати TXT-запис з довгим DKIM-ключем?

Деякі панелі обмежують довжину одного рядка TXT-запису. У такому разі розбийте значення на кілька частин у лапках підряд — більшість реєстраторів автоматично склеюють їх у один запис під час поширення DNS. Якщо опції немає взагалі, перенесіть DNS-зону на Cloudflare — це безкоштовно і не вимагає зміни хостингу сайту.

Скільки часу займає поширення DNS-записів після додавання SPF, DKIM, DMARC?

Зазвичай зміни видно вже за 15–30 хвилин, але через кешування DNS-серверами процес може тривати до 24–48 годин. Не варто починати розсилку одразу після додавання записів — краще перевірити статус через dmarc checker dns і почекати повного поширення.

Чи можна мати кілька SPF-записів для різних сервісів розсилок?

Ні, стандарт дозволяє лише один TXT-запис з v=spf1 на домен. Якщо використовуєте кілька сервісів — Google Workspace для звичайної пошти і окремий ESP для розсилок — усі джерела перераховуються через include в одному-єдиному записі.

З якої політики DMARC краще починати?

Завжди починайте з p=none — це режим лише моніторингу, який не блокує жодного листа, але дозволяє збирати звіти про те, хто і як відправляє пошту від імені вашого домену. Підвищуйте до p=quarantine, а згодом до p=reject тільки після кількох тижнів чистих звітів без хибних спрацювань.

Чи потрібен окремий домен або піддомен для холодних розсилок?

Так, це рекомендована практика. Піддомен на кшталт mail.вашкомпанія.com дозволяє тестувати обсяги розсилок і прогрівати репутацію, не ризикуючи доставністю основної корпоративної пошти на головному домені.

Як перевірити, що DKIM-підпис справді працює, а не просто доданий у DNS?

Відправте тестовий лист на скриньку Gmail чи Yahoo і відкрийте оригінал повідомлення через пункт меню «Показати оригінал». У заголовках буде явний рядок зі статусом DKIM=PASS або DKIM=FAIL — це точніший показник, ніж просто наявність запису в DNS.

Важливо: це не масова розсилка і не спам. Ми працюємо адресно: кожне повідомлення надсилається конкретному представнику конкретної компанії з легітимного ділового приводу, невеликими щоденними обсягами та з персоналізацією під отримувача. У кожному листі вказано відправника і працює відписка в один клік; відписки та стоп-листи застосовуються до всіх наступних кампаній без винятків.

Хочете застосувати це у своєму аутрічі?

Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.

Обговорити задачу